Codolie logo
CodolieDigital Innovation
Codolie logo
CodolieDigital Innovation
Client PortalStart Project
Back to Blog
Ai

Guide Pratique pour Choisir et Déployer un Stockage Cloud

Damien LarqueyDamien Larquey
October 1, 2025
4 min read
Guide Pratique pour Choisir et Déployer un Stockage Cloud

Objectif

Ce guide opérationnel vous aide à sélectionner et déployer un service de stockage cloud adapté à vos besoins métiers. Vous y trouverez :

  • Un POC de 2 semaines « apples-to-apples »
  • Un plan de migration phasé (4–12 semaines)
  • Garde-fous de sécurité, gestion des coûts, observabilité et conformité
  • Exemples concrets AWS S3, Azure Blob, GCS, Box, Dropbox, Citrix

Prérequis

  • Comptes cloud pour 2 fournisseurs shortlistés
  • Identity/SSO (Azure AD/Okta) avec MFA
  • CLI : aws, az, gcloud/gsutil, rclone
  • Jeu de données (50–200 Go) avec fichiers « chauds » et « froids »
  • Budgets pilotes et tags coûts (CostCenter, Project)

1 – Définir les critères de décision

  • Poids (somme 100) : Coût TCO (20), Sécurité & conformité (25), Écosystème (20), Performance (20), Time-to-Value (15).
  • Cas d’usage : data lake/IA, collaboration, sauvegarde, confidentialité, multi-région.
  • Shortlist :
    • IA/multi-région : AWS, Azure, GCS
    • Collaboration : Box, Dropbox, Citrix
    • Sauvegarde/TCO : IDrive, pCloud
    • Conformité renforcée : Sync.com, Tresorit

2 – POC de 2 semaines

  • Jeu de tests identique (métadonnées, ACL, tailles, workflows).
  • Paramètres minimaux :
    • Chiffrement server-side + KMS (ex. aws:kms, CMEK GCP)
    • Versioning
    • Lifecycle vers STANDARD_IA, INTELLIGENT_TIERING, GLACIER_IR, DEEP_ARCHIVE
    • Logs d’accès, CloudTrail/Azure Monitor/Cloud Audit Logs
    • Alertes budget (50/80/100 %)
  • SSO SAML + SCIM (Box/Dropbox/Citrix) ou IAM (AWS/Azure/GCP)
  • DLP et étiquetage si nécessaire

3 – Provisionnement et exemples

AWS S3 – eu-west-1

  • Clé KMS cross-account (exemple policy) : 
    {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{"AWS":"arn:aws:iam::123456789012:role/StorageAccessRole"},
      "Action":["kms:Encrypt","kms:Decrypt","kms:GenerateDataKey"],
      "Resource":"*"
    }
  ]
}
  • Créer bucket :
    aws s3api create-bucket --bucket $BUCKET --region eu-west-1 --create-bucket-configuration LocationConstraint=eu-west-1
  • Activer chiffrement SSE-KMS :
    aws s3api put-bucket-encryption --bucket $BUCKET --server-side-encryption-configuration '{"Rules":[{"ApplyServerSideEncryptionByDefault":{"SSEAlgorithm":"aws:kms","KMSMasterKeyID":"arn:aws:kms:eu-west-1:...:key/..."}}]}'
  • Mettre en versioning :
    aws s3api put-bucket-versioning --bucket $BUCKET --versioning-configuration Status=Enabled
  • Configurer lifecycle (exemple JSON) : 
    {
  "Rules":[{
    "ID":"tiering-optim",
    "Filter":{"Prefix":""},
    "Status":"Enabled",
    "Transitions":[
      {"Days":30,"StorageClass":"STANDARD_IA"},
      {"Days":60,"StorageClass":"INTELLIGENT_TIERING"},
      {"Days":120,"StorageClass":"GLACIER_IR"},
      {"Days":365,"StorageClass":"DEEP_ARCHIVE"}
    ]
  }]
}

    aws s3api put-bucket-lifecycle-configuration --bucket $BUCKET --lifecycle-configuration file://lifecycle.json

  • Object Lock/WORM & legal holds (mode GOVERNANCE/COMPLIANCE) pour obligations légales

Azure Blob – westeurope

  • Créer resource group :
    az group create -n rg-codolie -l westeurope
  • Créer storage account :
    az storage account create -n stcodolie123 -g rg-codolie -l westeurope --sku Standard_GRS --https-only true
  • Container privé :
    az storage container create -n poc --account-name stcodolie123 --auth-mode login --public-access off
  • Diagnostic logs :
    az monitor diagnostic-settings create --name diag --resource "/subscriptions/.../storageAccounts/stcodolie123" --workspace "" --logs '[{"category":"StorageRead","enabled":true},{"category":"StorageWrite","enabled":true}]'

Google Cloud Storage – EU

  • Créer bucket UBLA :
    gcloud storage buckets create gs://$BUCKET --location=EU --uniform-bucket-level-access
  • Versioning :
    gsutil versioning set on gs://$BUCKET
  • Lifecycle (exemple lifecycle.json) : 
    {
  "rule":[
    {"action":{"type":"SetStorageClass","storageClass":"COLDLINE"},"condition":{"age":30}},
    {"action":{"type":"SetStorageClass","storageClass":"ARCHIVE"},"condition":{"age":90}}
  ]
}

    gsutil lifecycle set lifecycle.json gs://$BUCKET

Box/Dropbox/Citrix

  • Configurer SSO SAML, activer SCIM pour le provisioning
  • Activer rétention légale et étiquettes (Box Governance, Citrix Legal Hold)
  • Exporter logs vers SIEM (API ou connecteurs natifs)

4 – Tests de performance et observabilité

  • Migration pilote (50–200 Go) :
    • rclone copy ./data s3:$BUCKET/dataset --checksum --s3-chunk-size 64M --transfers 16
    • gsutil -m rsync -r ./data gs://$BUCKET/dataset
  • Latence & débit :
    • fio (latence P50/P95, throughput en MB/s) sur objets de 100 MiB
    • gsutil perfdiag, aws s3 perf, az storage blob test-perf
  • Métriques API rate (calls/sec, 429), erreurs 4xx/5xx
  • Mesure coût egress via billing export, scripts pour € par Go sorti

5 – Coûts, budgets et alertes

  • AWS Budgets & SNS :
    aws budgets create-budget …
  • Azure Consumption Budget & Action Group :
    az consumption budget create …
  • GCP Billing Budgets :
    gcloud billing budgets create …
  • Logs/Audit :
    • AWS CloudTrail data events S3
    • Azure Diagnostic Settings → Log Analytics → alertes 4xx/5xx
    • GCP Cloud Audit Logs + Alertes egress et erreurs

Vérification

  • Checksum source/target (rclone check, gsutil hash)
  • RPO/RTO via suppression/restauration d’objet
  • Test d’accès hors périmètre (principe least privilege)
  • Conformité Object Lock/WORM et légal hold fonctionnels
  • Vérifier réduction coûts froid vs chaud après 30 jours
  • Retour UX pilotes (partage, liens, co-édition)

Dépannage

  • 403 KMS : ajuster policy ou utiliser clé gérée
  • Lifecycle inactif : valider JSON, portée de filtre, IAM bucket
  • Coûts egress élevés : VPC egress, private endpoints, CDN
  • Throttling 429 : backoff exponentiel, ajuster chunks/parallélisme
  • Caractères/Syntaxe noms : nettoyer chemins (>255 chars, interdits)
  • SCIM non activé : comptes orphelins → activer SCIM et mapping groupes
  • Logs non routés : ajouter export continu, rétention ≥365 jours

Considérations opérationnelles et légales

  • S3 Object Lock/WORM pour conformité, legal holds
  • Fonctionnalités dépendantes des plans (SSO/SCIM/Retention)
  • Classification, modèles RBAC, revue des accès trimestrielle
  • Politiques de rétention (ex. 30 j chaud → 90 j froid → archive)
  • Date des tarifs indiqués : 15/09/2024

Annexe – Grille décisionnelle

  • Volume & croissance mensuelle
  • Écosystème (Microsoft, Google, indépendant)
  • Contraintes (chiffrement E2E, résidence, certifications)
  • Budget & TCO 12–36 mois, sensibilité egress
  • ROI cible (1–3, 3–6, 6–12 mois)
  • Intégrations (SSO, DLP, e-sign, IA)
  • Logs/SIEM/alertes
  • Plan migration, vérif intégrité, rollback

Résumé : Alignez votre choix sur ROI et écosystème, pilotez 2 fournisseurs avec configuration identique, mesurez performances et UX, puis déployez par phases avec IaC, FinOps et gouvernance dès le jour 1.

Damien Larquey

Damien Larquey

Author at Codolie

Passionate about technology, innovation, and sharing knowledge with the developer community.

Back to Blog