1 points par GN⁺ 2025-06-22 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • La société danoise de gestion des effectifs Datapult indique avoir fortement réduit ses coûts mensuels, à environ 2 000 $, tout en conservant ISO 27001 en migrant son infrastructure basée sur AWS vers un cloud européen
  • Cette migration était motivée par les inquiétudes liées au fait que, sous le CLOUD Act et la FISA, les données des clients européens puissent être exposées à la juridiction du gouvernement américain, ainsi que par une facture annuelle de 24 000 $
  • En utilisant une infrastructure détenue en Europe comme Hetzner et OVHcloud, l’entreprise affirme avoir pu expliquer plus clairement à ses clients et aux auditeurs où se trouvaient les données
  • La commodité d’AWS Lambda, RDS et CloudWatch a diminué, mais l’automatisation et la supervision ont été reconstruites en interne avec Ansible, Prometheus, Grafana et Loki
  • Les playbooks Ansible ont été reliés aux contrôles de l’Annexe A d’ISO 27001 afin de servir de piste d’audit, et les dépenses cloud réduites ont été réinvesties dans l’activité

Pourquoi réduire la dépendance à AWS

  • Datapult est une entreprise danoise de gestion des effectifs qui gère la planification des employés, les ajustements de paie liés aux heures supplémentaires et sert de source unique de vérité pour les données de présence
  • Ce service a des exigences opérationnelles plus strictes qu’un simple service web, avec comme principe que les données doivent toujours être rapprochées, agrégées et ne jamais être perdues
  • L’infrastructure initiale avait démarré sur AWS, et une grande partie des exigences légales avait aussi été conçue autour de workflows basés sur AWS
  • La migration n’était donc pas un simple changement de fournisseur cloud, mais un réalignement simultané des exigences légales et des pratiques opérationnelles

La charge croissante de la conformité et des coûts sur AWS

  • La première contrainte était un vide de conformité
    • L’entreprise a estimé qu’un fournisseur cloud américain pouvait difficilement échapper totalement à la juridiction du gouvernement américain, quel que soit l’emplacement physique des serveurs
    • Sous le CLOUD Act et la FISA, les données des clients européens pouvaient potentiellement être exposées, ce qui affaiblissait selon elle les engagements pris au titre du RGPD
  • La deuxième contrainte était un coût mensuel de 2 000 $
    • Une facture annuelle de 24 000 $ a été jugée excessive par rapport aux besoins réels
    • L’entreprise a étudié la possibilité de remplacer RDS par des instances Postgres managées et des scripts d’automatisation
    • Elle a estimé qu’à coût égal, il était possible d’obtenir en Europe du matériel dédié résilient

Les commodités abandonnées en quittant AWS

  • Quitter AWS signifie perdre une partie de la commodité des services managés
    • Des services profondément intégrés comme Lambda
    • Le déploiement en un clic de RDS
    • L’écosystème d’outils de conformité intégrés qui facilite les audits ISO 27001
  • En renonçant au confort des services managés, l’entreprise a dû assumer directement un niveau plus élevé de contrôle et de responsabilité
  • Un tel changement peut être une source de crainte et de retard d’exécution dans de nombreuses équipes

Les bénéfices obtenus avec la migration vers Hetzner et OVHcloud

  • En migrant vers les fournisseurs européens Hetzner et OVHcloud, l’entreprise affirme avoir gagné en souveraineté des données, en efficacité des coûts et en contrôle opérationnel
  • Sur le plan de la souveraineté des données, l’hébergement sur une infrastructure détenue en Europe a permis de démontrer plus clairement la localisation des données
    • Il était possible d’expliquer sans ambiguïté où se trouvaient les données clients
    • L’entreprise considère que cela a constitué un changement important pour les audits RGPD et la recertification ISO 27001
  • Sur le plan des coûts, les dépenses cloud ont baissé de 90 %
    • Des services managés coûteux ont été remplacés par des solutions auto-hébergées automatisées
    • Le budget est devenu plus prévisible et plus transparent
  • Sur le plan opérationnel, la perte des outils préconstruits d’AWS a été compensée selon l’entreprise par un renforcement des capacités internes
    • Une infrastructure as code basée sur Ansible a été mise en place
    • L’entreprise indique avoir obtenu des contrôles de sécurité plus solides et une meilleure auditabilité qu’auparavant

Un fonctionnement bâti avec Ansible et de la supervision open source

  • Les playbooks Ansible ont été utilisés non seulement pour l’automatisation de la configuration, mais aussi comme moteur de conformité
    • Chaque ligne de configuration serveur peut être reliée directement à un contrôle de l’Annexe A d’ISO 27001
    • L’infrastructure as code devient ainsi une piste d’audit auto-documentée
  • L’entreprise estime qu’il est possible de mettre en place une supervision de niveau entreprise même sans CloudWatch
    • Elle utilise la combinaison Prometheus, Grafana et Loki
    • Elle affirme avoir recréé la visibilité dont elle disposait sur AWS, et même l’avoir améliorée sur certains aspects
    • Cela a contribué à accélérer la réponse aux incidents
  • En l’absence de solutions de sécurité prêtes à l’emploi activables en un clic, la sécurité a dû être conçue directement depuis les fondations
    • L’entreprise a adopté une approche security-by-design automatisée avec Ansible
    • Elle affirme avoir rendu l’ISMS, c’est-à-dire le système de management de la sécurité de l’information, plus robuste et plus facile à suivre pour les développeurs

Le résultat pour l’entreprise

  • L’entreprise indique avoir réduit le risque de conformité lié aux lois américaines de surveillance
  • Elle s’est servie de l’hébergement européen comme argument commercial pour renforcer la confiance dans la marque
  • Elle a réinjecté les 90 % de dépenses cloud économisés dans l’activité

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.