Des changements notables depuis 10 ans
Le cloud est apparu il y a une vingtaine d’années et s’est professionnalisé vers 2008. Les serveurs sont désormais stockés dans des centres d’hébergements. On est passé de salles mal éclairées et non climatisées aux data centers, permettant de sécuriser correctement de données sensibles. Le cloud a connu des évolutions chaotiques : les environnements informatiques sur lesquels s’appuyait l’IT pour faire fonctionner les systèmes n’étaient pas stables. Il y avait beaucoup de connexions infructueuses, la bande passante n’était pas assez importante, les lignes telecom n’étaient pas d’assez bonne qualité ni suffisamment stables… La confidentialité et la sécurité sont devenus des enjeux majeurs, tout comme l’économie d’énergie et le recyclage.
Le paradoxe ? Parce que des données sensibles sont dans le cloud, on a tendance à vouloir les ramener en local. Est-ce une erreur
Des freins face au changement pourtant inéluctable
Les freins habituels, notamment pour les PME, portaient sur la localisation et la gestion des données et sur la perte de contrôle de leur environnement informatique. Un rapport de Cito Research indique que 93 % des entreprises utilisent désormais le cloud, pour un chiffre d’affaires mondial de 380 Milliards de dollars. Le cloud est donc devenu incontournable et la technologie doit être considérée comme un levier de transformation de l’activité des entreprises et non comme une contrainte. Les problématiques de la DSI ont changé : opérant originellement une infrastructure “on premise” (en local), elle doit désormais gérer l’externalisation et choisir un opérateur pour prendre en charge sa data. C’est une opportunité pour elle de se recentrer sur son cœur de métier : le choix de bonnes applications au service de la stratégie de l’entreprise.
“Le cloud devient incontournable car certaines applications ne seront disponibles que dans cet environnement en mode SaaS par exemple, et la DSI doit s’adapter à cette nouvelle donne. De grands opérateurs tels que Microsoft sont en train de transformer leur modèle technologique : Windows 2019 sera la dernière version du système d’exploitation utilisable “on premise”. L’Authentification Active Directory ne sera accessible que dans Azure. Providers et clients devront s’adapter à cette technologie. Les enjeux, notamment juridiques et de confidentialité sont énormes” explique André Franchon – Directeur Général de Visiativ Managed Services.
De quel cloud parle-t-on ?
Il existe actuellement trois types de Cloud :
- Le Cloud “On premise” : gestion des ressources en local (le cloud privé de l’entreprise)
- Le Cloud privé chez un opérateur public ou privé
- Le Cloud public, dans lequel les ressources sont mutualisées
Il faut différencier ce qui peut exister en local du pure player. On parle de “modèle pizza”. Avant, on avait la pâte et les ingrédients et on faisait tout soi-même. Désormais, on ne fait plus la pâte – la partie “machine” – mais on conserve les ingrédients. Sur la partie plateforme, on ne gère plus les infrastructures et l’entreprise reste focalisée sur la donnée et les applications. L’application devient un service et tous les éditeurs sont en train d’adopter ce modèle – ce qui affranchit les entreprises de toute contrainte – pour devenir des pure players SaaS.
L’application comme service : le principe du conteneur
Microsoft a développé un plus gros chiffre d’affaires qu’Amazon dans le cloud en 2017. Alibaba en Chine connaît une expansion croissante. Les éditeurs sont en train de réécrire leurs applications pour les adapter au cloud : elles fonctionneront sous forme d’API, de services dédiés de type Citrix, Firewall etc. L’entreprise doit en tenir compte : le serveur n’existe plus en tant que tel mais fait appel à des fonctionnalités externes. La longévité des applications jusque-là développées par des éditeurs ou hébergées en interne est remise en question, de même que le type de support.
La solution n’existe plus en local : quand elle est développée pour être hébergée, techniquement parlant, elle n’est plus construite comme une application en mode “private”, les deux ne sont pas compatibles. C’est là qu’intervient le principe du conteneur : l’application est bâtie par petits bouts pour ne pas perturber son fonctionnement global.
Chez DIMO Software, on a de l’infrastructure, de la Business Analytics, des applications de type Notilus, des ordonnanceurs… L’écosystème est bâti sur plusieurs blocs, l’idée étant de n’impacter que des petites parties. La partie “conteneur” est désormais un service. C’est plus facile à gérer ainsi, surtout lorsqu’on traite des métiers à l’échelon international et qu’il faut prendre en compte les fuseaux horaires.
Tout est donc fait pour que les applications partent dans le cloud et la DSI doit savoir anticiper ce mouvement et ne pas repousser l’échéance. Un exemple concret : si l’entreprise dispose d’Office 365, comment se fera la gestion des mises à jour ? Anticiper les changements inhérents aux évolutions du cloud permet à la DSI de devenir une force de décision vitale de l’entreprise.
Les points de vigilance sur la donnée
L’entreprise bascule vers un mode de coût à la consommation, alors qu’auparavant elle achetait serveurs et licences, et maîtrisait son informatique et son budget. Pour André Frachon : “Si le chargement de données dans Azure ne coûte rien, la redescente d’informations est payante et très difficile à évaluer en termes de volumes et donc de budget. Il est important de prendre des garanties auprès des providers en termes de confidentialité de données“.
Connaître la volumétrie de données qui va redescendre du cloud en fonction des utilisateurs, analyser le fonctionnement de chaque application dans l’entreprise et l’impact d’une interruption de service constituent autant d’enjeux pour la DSI. “Imaginons une chaîne de production fonctionnant H24 avec des ordinateurs reliés à un ERP : il faudra une informatique ininterruptible et penser à un plan de continuité d’activité (PCA) en conséquence, incluant des notions de RPO (objectif de temps de reprise) et de RTO (objectif de délai de restauration)”.
Le marché du cloud se structure
La notion de “cloud souverain” est apparue : il s’agit d’un cloud français régi par une entreprise française, donc de droit français, tels que OVH ou Jaguar – contrairement à Azure ou Google – ce qui prévient toute intrusion extérieure. Des certifications sont apparues sur le marché (ISO 27001, norme PCI DSS…). Des opérateurs tels que Visiativ Managed Services (anciennement NC2) proposent une intégration complète des différents services dont a besoin l’entreprise : sécurité, sauvegarde de données et de programmes, service management, gestion de coûts, dashboard de pilotage pour suivre la performance, gestion de ressources. C’est donc bien plus que de l’hébergement et on parle plutôt de “MSP” (managed service provider).
Pour constituer tous les services que comprend la production de l’informatique d’une entreprise, le provider va chercher un bout d’infrastructure chez ses clients qui disposent des machines faisant tourner une partie de leurs programmes et données. Le MSP peut aussi se servir de son propre cloud privé souverain ou bien aller chercher des bouts de puissance de stockage chez des opérateurs de clouds publics ou privés. La “boîte à outils” se compose en fonction du besoin et de la complexité du métier, des enjeux de continuité de service, du niveau de confidentialité etc. Le cloud devient donc multiforme et le MSP ira chercher la technologie adaptée à l’entreprise là où elle se trouve pour délivrer une capacité informatique le plus simplement possible. L’éditeur, quant à lui, se situe au-dessus de cette couche : ses applications s’appuient sur des technologies cloud pour produire un service informatique.
Des avantages multiples : continuité de service, conformité…
Dépendre d’un opérateur ne veut pas dire tout lui céder : l’entreprise doit rester le pilote du processus et décider si elle veut garder une partie des données en local, les faire héberger dans le cloud souverain ou dans un cloud privé, selon les enjeux. Comme le mouvement vers le cloud s’accélère, le choix de l’opérateur, de l’environnement, de la technologie est crucial. Le cloud permet d’obtenir une continuité de service qui n’existait pas en interne. Les providers doivent pouvoir proposer un plan de continuité d’activité en natif ou de reprise d’activité. L’avantage d’aller vers le cloud, c’est aussi qu’une partie des problématiques de conformité légale (RGPD, AGS, …) sera traitée par l’opérateur local utilisé. Rappel RGPD : ce n’est pas parce qu’un éditeur est conforme RGPD que l’entreprise doit se dédouaner en interne de la contrainte de protection de la donnée personnelle. La pénalité concerne potentiellement 4 % du chiffre d’affaires.
La priorité No. 1 du provider, avant la production, est la sécurité
A côté des trois acteurs majeurs du cloud que sont Azure, AWS et Google, il existe des éditeurs tels que IBM, Salesforce, SAP ou Oracle, mais aussi des fournisseurs d’outils tels que Visiativ Managed Services (NC2), OVH ou Jaguar. Les premiers cités sont tous soumis au Cloud Act ( lui-même issu du Patriot Act américain issu des attentats du 11 septembre 2001), donnant un droit de regard à l’administration américaine sur les données déposées dans les clouds correspondants. Ainsi, le cloud Google en France est soumis à cette directive, un point non négligeable pour les entreprises qui traiteraient des secrets industriels. Les opérateurs américains (Apple, Microsoft…) ne peuvent s’opposer à cette “intrusion”. Il n’existe pas de réglementation européenne sur les data centers.
Article construit sur la base d’un atelier du FORUM DIMO