Dans son retour d’expérience, Jacob Knobel fondateur de Datapult exprime « le dilemme que beaucoup de dirigeants connaissent bien » à savoir quitter les fournisseurs de cloud américains. En l’espèce, il était jusqu’alors client d’AWS avec des services certifiés ISO 27001. Mais selon lui, il existe aujourd’hui « un trou noir de la conformité » avec le Cloud Act et le Fisa Act [ NDLR : en particulier la section 702] Il est clair que les fournisseurs de cloud américains ne peuvent pas nous protéger totalement des requêtes du gouvernement américain ». Il ajoute que cette situation « compromettait nos promesses sur le RGPD ». Il a du être conforté dans sa démarche avec l'affaire récente du procureur de la CPI (cour pénale internationale) qui a vu son compte bloquait par Microsoft à la demande du gouvernement américain.

Le second point de tension portait sur le coût des services cloud. L’éditeur indique tout de suite ne pas être un grand client d’AWS avec une facture de 24 000 dollars par an. Mais la facture « semblait disproportionnée par rapport à nos besoins réels », observe le dirigeant. Il s’est alors posé des questions sur ses usages : « A quelle fréquence un serveur Linux bien entretenu tombe-t-il réellement en panne ? RDS n'est-il pas simplement une instance Postgres gérée avec des scripts que je pourrais écrire moi-même ? »

Quitter le confort, mais gagner en conformité et en économie

Après ces réflexions, la décision de migrer n’a pas été facile. « Quitter AWS, c'est comme s'éloigner d'une forteresse de commodité. Vous perdez la « magie » des services profondément intégrés comme Lambda, les déploiements RDS en un clic et le riche écosystème d'outils de conformité intégrés qui facilitent les audits ISO 27001 », reconnait Jacob Knobel. Même si quitter ce confort constitue un réel effort, le changement est aussi source de gains et de reprise de contrôle.

Pour l’hébergement, l’éditeur danois s’est tourné avec le français OVH et l’allemand Hetzner. « Nous pouvions dire à nos clients où se trouvaient exactement leurs données, sans aucune ambiguïté » rapporte le fondateur. Sur les fonctionnalités, il s’est appuyé sur Terraform pour le provisionnement des VPS et Ansible pour tout ce qui concerne le durcissement (auditd, ufw, politiques SSH) et les déploiements continus (avec intégration de Cloudflare). Par ailleurs, le projet combine Promotheus, Alertmanager et Blackbox pour surveiller l’infrastructure, les applications et l’expiration des certificats SSL. Il est complété par l’association Loki et Grafana Agent pour gèrer les logs vers un stockage objet compatible S3. Jacob Knobel estime avoir réduit de 90% ses dépenses cloud. Il observe pour conclure que « le fait de perdre les outils prédéfinis d'AWS nous a obligés à nous améliorer ».