La migration vers

le cloud suisse

Conférence I 15.10.2019

+15années

d’expertise

40ingénieurs

& techniciens

+250clients PME

& corporates

une histoire d’expertise

5ans d’expérience

sur le Cloud

+80certifications

techniques

1lab

d’innovation

notre mission

Répondre au besoin de performance de

nos clients PME et grands comptes grâce

à des solutions technologiques et

innovantes, tout en plaçant le respect

de l’Homme et de l’Environnement au

cœur de nos actions

Passionnément techno.

Résolument humain.

Innovation & formationWorkplace mobile & digital

Infrastructure IT & cloudConseil & stratégie IT

CODALIS SA | 4

nos pôles complémentaires

Benjamin Müller

Datacenters Microsoft

en Suisse & Azure

Jérôme Toulet

Stratégie de migration

vers le cloud

Clément Bétacorne

Gouvernance et sécurité

Samuel Janin & Mirco di Gregorio

Conformité

Federico Rossi & Zahra Gaudin

Use case

Benjamin MüllerTerritory Channel Manager #Azure Microsoft

01

Microsoft Cloud in Switzerland

• CH North & CH West are paired within Switzerland,

customer data at-rest does not leave Switzerland

• Region pairing enables geo-replication for data backup,

in-country disaster recovery as a plus

• Based on the same trust principles as our global offerings

Swiss Set-up

• Azure IaaS and some PaaS (Azure SQL DB, Cosmos DB) launched in August 2019

• Further Azure services will be deployed in Switzerland step-by-step

• Office 365 follows roughly 3-6 months after the launch of the Swiss region

• Dynamics 365 and Power Platform follow in 2020

Rollout Sequence

Extract of services planned to launch in the weeks and months after go-live:

• Azure Firewall

• Log Analytics and Application Insights

• Web Apps / App Services / ASE

• Azure Kubernetes Services

• SQL Data Warehouse

• Media Services

• Azure DB for PostgreSQL / MySQL

• Automation

• Power BI

Azure Services Roadmap

https://azure.microsoft.com/en-us/global-infrastructure/services/

SAP-on-Azure

• M-Series are already deployed in CH DC and released for go-live

‐ SAP HANA certified

‐ Powerful specialized hardware

‐ Optimized for SAP Workloads

• In addition, SAP is also in the process to enable their own SAP managed

services offering “HANA Enterprise Cloud” based on the Microsoft Swiss DCs

• Office 365 follows roughly 3-6 months after the initial launch of the Swiss region

• Core customer data at-rest stays within Switzerland for the following services:

• Exchange Online mailbox content (e-mail body, calendar entries, and the content of

e-mail attachments)

• SharePoint Online (site content and files stored within that site)

• OneDrive for Business (uploaded files)

• Information on tenants move: http://aka.ms/move

Planned Office 365 Services

• Globally applicable certifications such as ISO 27001 to be inherited in Switzerland

• Microsoft commits in its contracts to abide by the requirements of the Swiss Data Protection law

• Microsoft’s commitment for the storage location of customer data at rest can be found in the

Microsoft Online Services Terms (OST) – CH to be listed as own geography in a future OST release

• Service Trust Portal including compliance documentation, audit reports etc

Compliance and Data Protection

Trust Center

Public Cloud in Swiss Financial Sector

Article from March 2019 Link to Publication

Microsoft Cloud in Switzerland

Jérôme TouletDirecteur TechniqueCodalis

02

CODALIS SA | 18

Infrastructure dédiée Infrastructure mutualisée

Hébergé dans votre centre de données Hébergé en dehors de votre centre de données

Coût unique (CAPEX) Coût mensuel (OPEX)

Cloud privé Cloud publicIT traditionnel

Cloud hybride

PUBLIC PRIVE HYBRIDE

Extensibilité +++ ++ +++

Offre de services +++ ++ +++

Vitesse d’intégration +++ ++ ++

Performances ++ +++ +++

Opérations +++ ++ ++

Sécurité +++ ++ ++

Conformité ++ +++ +++

Offre up to date +++ ++ +++

Localisation des données + +++ +++

Coûts +++ ++ ++

CODALIS SA | 20

posez-vousles bonnes questions

Demandeurs

Besoins et raisons d’aller dans

le cloud

Audit des compétences

internes et externes

Contraintes légales

Besoins en sécurité

CODALIS SA | 21

impliquer les acteurs de la migration

IT internes

Prestataires IT

Utilisateurs clés

Décisionnaires

CODALIS SA | 22

cartographierle système d’information

Applications

métiers

Classification

des données

Outils de

gestion IT

Liens

réseaux

CODALIS SA | 23

stratégie de migration applicative

Application cloud-native

Eff

ort

s

Déplacer

Rehost

Mettre à jour

Refactor

Re-architecturer

Rearchitect

Re-développer

Rebuild

Remplacer

Replace

IaaS PaaS SaaS

- +

+

CODALIS SA | 24

stratégie de migration de données

Migration à vide

Streaming

Réplication complète

On-premise Cloud

CODALIS SA | 25

tests | proof-of-concept Tester et utiliser les ressources des cloud

providers ! Évaluer les performances

Ajuster les configurations

Se prémunir d’éventuels problèmes

Valider la sécurité

Vérifier les coûts

CODALIS SA | 26

étapes de migrationSi la phase de test est concluante,

la migration peut démarrer. Suivre le plan de migration

Préférer une migration pas-à-pas

Vérifier que l’intégralité des

données est bien présente

Assurer le retour arrière en cas de

dysfonctionnement majeur

Attention à la bande passante sur

les liens réseaux !

CODALIS SA | 27

next steps | opérer, contrôler & optimiser Utiliser les outils intégrés du cloud

pour les opérations

Adopter les outils d’automatisation

pour gagner du temps sur les

opérations

Faire un contrôle des coûts

Ajuster les ressources

Clément BétacorneConsultant Gouvernance et Sécurité, RSSICodalis

03

CODALIS SA | 29

La confiance

n’exclut pas le

contrôle.Vladimir Ilitch Lénine

Contrats

Gestion des coûts

Règles de sécurité

Socle des identités

Déploiement des ressources

Conformité des ressources

Shadow IT

Protection des données

périmètre de la gouvernance

? ? ? ? ?

? ? ? ?

? ?

?

?

?

? ? ? ? ? ?

APPROCHE TRADITIONNELLE CLOUD-ENABLED SECURITY

? ? ? ? ?

? ? ? ?

? ?

?

?

?

? ? ? ? ? ?

Satisfied responsibility

Partially met responsibility

Unmet responsibility?

Cloud Provider responsibility (Trust but verify)

Shift commodity responsibilities to provider and re-allocate your resources

Leverage cloud-based security capabilities for more effectiveness

introduction à la sécurité

Le client principalement

Infrastructure as a Service

Platform as a Service

Le cloud provider principalement

Software as a Service

Délégation des responsabilités

en termes de sécurisation (IaaS,

PaaS et SaaS)

CODALIS SA | 33

certification & notion de confiance Solutions de sécurité à

implémenter (MFA, DLP, CASB)

Monitorer une infrastructure

on-premise ou cloud en termes

de sécurité

Gérer les identités (B2C, B2B,

SCIM)

CODALIS SA | 34

zerotrustChangement de paradigmeSécurité périmétrique → Identité

CODALIS SA | 35

se préparer & maîtriser les risques Définir une équipe composée

d’un architecte cloud

Définir les règles de base et

corriger les erreurs potentielles

Commencer par les workloads

non critiques pour gagner en

expérience

Inclure dans son choix du cloud

provider les solutions de sécurité

CODALIS SA | 36

Si vous n’allez pas

vers le cloud, le cloud

viendra à vous.

Clément Illitch Bétacorne

Samuel JaninSenior Manager Technology & Digital SolutionsMazars

Mirco di Gregorio Manager IT Audit & Advisory ServicesMazars

04

G D P R , F I N M A , P - L P D : D E S P R I N C I P E S C O N V E R G E A N T

Toutes les parties doivent assurer la sécurité des donnéesElles doivent en connaître les traitements

Chaîne de traitement

Le commanditaire et le sous-traitant partagent des processus de gestion des incidents( (violation de données et/ou continuité d’activités)

Gestion des incidents

Il fournit des instructions claires à ses sous-traitants (RGPD)Il connaît les mécanismes de sécurité proposés par le sous-traitant (FINMA)Il les contrôle régulièrement

Notion de responsable de traitement

L’ensemble des parties doivent être en mesure de satisfaire aux demandes de suppression ou modification de données Le RGPD introduit la demande de portabilité

Prétentions ou droits des personnes

Responsabilités

Localisation

Sécurité

Une place de plus en plus importante à la responsabilité et à l’auto-contrôle

G D P R , F I N M A , P - L P D : D E S P R I N C I P E S C O N V E R G E A N T

La localisation des données doit être connue et contrôléeAucun doute n’est permis

Le pays hébergeant est-il politiquement stable ?Les pouvoirs en place peuvent-ils avoir des intérêts dans les données hébergées ?Est-on protégé contre toute intrusion étatique / juridique décidée unilatéralement de surveillance de ces données ?

Tout est question de choix

A condition que la législation du pays soit au moins équivalente aux exigences nationales (LPD et/ou FINMA)Des contrats contraignent et permettent de maîtriser les entités hébergeant les données

Echanges transfrontaliers autorisés

Responsabilités

Localisation

Sécurité

La localisation des données n’est pas formellement contrainte mais …

G D P R , F I N M A , P - L P D : D E S P R I N C I P E S C O N V E R G E A N T

Tiers administrateurs non contrôlés ou jeux de tests dans le cadre des développements & changements logiciels :• Anonymisation• Pseudonymisation• Chiffrement

Principe à systématiser dans le cas de données sensibles (RGPD)

Pour les environnements non maîtrisés

Listes nominatives des personnes disposant d’accès privilégiés aux données (FINMA)Capacités d’auditer les accès

Maîtrise des accès privilégiés

Responsabilités

Localisation

Sécurité

Au-delà de pratiques à l’état de l’art …

C O M P L É M E N T S

▪ Spécificités suisses :

• Champ d’application de la LPD limité aux personnes physiques

• Importance de l’auto-réglementation sous forme de guidelines ou de best practices sectorielles (validation préposé)

• Le P-LPD limite la notion de portabilité et omet la question du profilage

• Les autorités pénales (pas le préposé) auront la compétence de prononcer des sanctions pénales

• Montant des sanctions relativement bas par rapport aux sanctions RGPD

▪ Circulaires FINMA

• 2008/21 risques opérationnels banque : données d'identification du client (client identifying data ou CID)

• «La banque doit connaître le lieu où les CID sont stockées, les applications et systèmes IT avec lesquels elles sont traitées et le lieu où il est possible d’y accéder par voie électronique. Il faut s’assurer par des contrôles appropriés que les données sont traitées conformément […].»

• «Lorsque les CID sont stockées hors de Suisse ou qu'elles font l'objet d'un accès depuis l'étranger, les risques accrus qui en résultent sur le plan de la protection des données des clients doivent être limités de manière appropriée.»

▪ Eléments clés à considérer

• Cloud en Suisse : qu’est-ce qui est effectivement hébergé en Suisse ?

• Quelles sont les fonctions ou services disponibles et leurs champs d’applications géographiques ?

• L’entité qui est propriétaire de ces services est-elle une entité Suisse ?

• Est-on protégé contre toute intrusion étatique / juridique décidée unilatéralement de surveillance de ces données ?

• Qu’est-ce qui est prévu en cas de rachat de l’entité ou de modification des ses statuts ? Qui peut en devenir le propriétaire ? Quels sont dès lors nos droits ?

42

TÉMOIGNAGE CLIENT-Federico RossiBusiness AnalystRAM Active Investment

05

Nous sommes à votre

disposition !

info@codalis.ch + 41 (0) 58 404 10 00

www.codalis.ch

@Codalis @codalis.gva

Codalis SA