[Fiche pratique] Optimiser sa stratégie de sourcing cloud
Avant de souscrire à un service cloud, mieux vaut prendre le temps de mettre en regard de ses propres besoins, les services et les conditions proposés par les différents prestataires cloud, tant en matière de coûts que de niveaux de services ou encore de sécurité des données.
Je m'abonneTechnologie au coeur des programmes de la transformation numérique de nombreuses sociétés, le cloud computing est peu à peu devenu une commodité répandue au sein des entreprises en France. Ses bénéfices ne sont plus à démontrer : réduction des coûts, accessibilité, élasticité, déploiement rapide de nouveaux services et applications, simplicité d'intégration, flexibilité, disponibilité du service, partage des données...
Avant-propos - Attention à ne pas commencer par se focaliser sur le choix du prestataire ! Il faut d'abord construire sa politique de sourcing, mener l'inventaire des services attendus, faire le tri entre ce qui doit être externalisé et ce qui doit rester en interne. Notre conseil : externaliser uniquement les services que vous maîtrisez déjà en interne ainsi vous garderez le contrôle en toute circonstance et vous vous assurerez de la réversibilité du service.
Aujourd'hui, il s'avère indispensable de se lancer dans le cloud et pour cela de bien préparer et budgétiser son projet afin de s'éviter toute déconvenue. Un tel projet étant susceptible de se révéler plus onéreux que prévu. Cet effet a été constaté par une étude menée en 2015 par le cabinet Vanson Bourne pour le compte de Sungard Availability Services, spécialiste de la continuité d'activités . S'il est aujourd'hui aisé et rapide de souscrire à un service cloud, mieux vaut prendre le temps de mettre en regard de ses propres besoins, les services et les conditions proposés par les différents prestataires cloud, tant en matière de coûts que de niveaux de services ou encore de sécurité des données .
Voici quelques points essentiels à vérifier avant de se lancer.
La réversibilité des données
Avant de confier ses données à un fournisseur Cloud, vérifiez en tout premier lieu les conditions de réversibilité. Le Cloud est et sera de plus en plus une commodité à acheter. L'entreprise agile doit pouvoir décider à tout moment et pour quelque raison que ce soit le changement de prestataire ou de service : le prestataire n'atteint pas les objectifs fixés ou ne respecte pas ses engagements ou bien l'entreprise a l'opportunité de bénéficier d'un nouveau/meilleur service chez un concurrent. Dans ce cas, le contrat doit stipuler les conditions de retour (préavis, coût, format de données, retour des données et suppression chez le fournisseur,...) et intégrer des clauses de réversibilité partielle et totale.
Lire aussi : Compliance et achats responsables - Comment naviguer entre réglementation et création de valeur ?
Note sur les obligations légales d'audit, traçabilité et de conservation des données : dans le cas d'une réversibilité partielle ou totale avec archivage des données (changement d'applicatif), le fait de récupérer uniquement les données peut ne pas suffir aux services règlementaires (fiscaux notamment) qui demanderont à voir / auditer le processus informatique qui a produit ces données. Une historisation de l'applicatif en plus des données à la date d'archive peut s'avérer nécessaire.
La visibilité sur les services
L'entreprise a besoin d'avoir un pilotage précis des activités et services fournis par ses fournisseurs internes ou de solutions cloud. Lorsqu'une entreprise met en place une stratégie cloud (voir ci-dessus), c'est parce qu'elle souhaite souscrire aux services complémentaires (éventuellement chez des prestataires différents) à ceux qu'elle produit en interne. Il est nécessaire de disposer de tableaux de bord afin de suivre les activités sur chacun de ces services, et donc de s'outiller pour avoir une vision globale et aussi spécifique sur ces activités et services.
Note : l'outillage doit s'intégrer fluidement au SI interne et notamment à l'outil d'ITSM de supervision et consolidation de l'activité informatique et remonter au minimum des éévnements type "incidents". Ce point qui semble évident représente un projet conséquent d'interfaçage.
Lire la suite en page 2: La visibilité budgétaire - La stratégie multi-cloud - Bien négocier son contrat cloud - L'orchestration des services cloud
et en page 3 : L'aspect achat-juridique - La réversibilité des données - Continuité de service - La sécurité - La confidentialité - Mesurer le niveau de service de ses opérateurs cloud - Vérification des SLAs
La visibilité budgétaire
Corollaire de la mise en place de plusieurs prestations cloud, cette "morcellisation" de l'activité cloud, entraîne une réduction du pouvoir d'achat (par manque de massification) et aussi un risque de perte de contrôle budgétaire des coûts d'infrastructure. De la même façon que le tableau de bord apporte de la visibilité "technique", il doit donner de la visibilité "budgétaire". Il doit répondre à la question essentielle : est-ce que ma stratégie me permet de remplir mes objectifs économiques ?
Note : Dans l'équation économique, il faut aussi intégrer le coût des licences sachant qu'elles peuvent être plus onéreuses dans le cloud que "on-premises".
La stratégie multi-cloud
Le Cloud étant devenu une commodité et afin de profiter du grand choix disponible et de flexibilité, la plupart des entreprises vont opter pour une stratégie multi-cloud dynamique (multi-fournisseurs, privée, publique et hybride). Dans cette optique, le premier pas est de commencer par établir une liste des besoins (et contraintes) métier et de constituer en réponse un catalogue de services. La communication avec les métiers s'en trouvera clarifiée puisqu'ils disposeront d'une liste de services avec les contraintes associées (exprimées par des SLA) et le prix du service correspondant.
L'orchestration des services cloud
Complément de la visibilité, l'orchestrateur apporte flexibilité et capacité d'intégration facilitée à la stratégie cloud. Des solutions d'orchestration et d'automatisation (voir ci-dessus) existent sur le marché et permettent aux entreprises de bénéficier d'une gestion souple et optimale de ses services cloud, tout en diversifiant ses prestataires et en étant agnostique. Une orchestration performante permet de sécuriser la continuité de services (voir ci-dessous).
Bien négocier son contrat cloud
Une fois la décision prise d'acquérir des services de cloud computing, il est indispensable de bien négocier son contrat afin d'être en mesure de bénéficier de tous les avantages précédemment cités et de contrôler les risques et contraintes.
Lire la suite en page 3: L'aspect achat-juridique - La réversibilité des données - Continuité de service - La sécurité - La confidentialité - Mesurer le niveau de service de ses opérateurs cloud - Vérification des SLAs
L'aspect achat-juridique
Avoir un oeil aguerri sur le versant juridique des offres des fournisseurs est alors indispensable. En effet, ces prestataires proposent généralement des contrats standards, qu'il convient de revoir, négocier et lorsque ce n'est pas possible de mesurer les risques sur l'activité. Ces risques deviennent des contraintes supplémentaires à intégrer au service fournisseur.
Note : les conditions générales des services cloud évoluent régulièrement dans le temps : l'achat du même service à deux moments distincts peut être assorti de contraintes différentes. Le tableau de bord (voir ci-dessus) doit pouvoir suivre ces contraintes.
La réversibilité des données
Nous avons traité ci-dessus la partie opérationnelle de ce point. Cependant nous constatons que cette clause se trouve la plupart du temps absente des contrats cloud. Et lorsqu'elle est présente, son coût n'est généralement pas précisé. Il est donc nécessaire d'aborder dans la phase de négociation avec son fournisseur potentiel les conditions minimales suivantes : mise en oeuvre de la réversibilité complète ou partielle incluant un plan de réversibilité, et la garantie d'effacement des données, historiques programmes et méta-données (logs...) chez le fournisseur une fois la réversibilité faite.
Continuité de service
La continuité de services de l'entreprise est dépendante de celle de ses fournisseurs cloud. Un fournisseur de services défaillant nécessite que les services qu'il rend puissent être repris sur d'autres systèmes ou basculés sur d'autres fournisseurs. Chez les fournisseurs de services cloud, cette opération peut entraîner une perte d'enregistrement des données, gérée contractuellement par des SLA de RTO (recovery time objective) et RPO (recovery point objective). Il est néanmoins nécessaire d'étudier attentivement le Plan de Continuité d'Activité du fournisseur, de vérifier la dernière date à laquelle il a été testé et d'inclure le fournisseur dans des tests réguliers du PCA de l'entreprise.
La sécurité
La sécurité des données doit également faire l'objet d'une étude approfondie et documentée dans le contrat. Sur cet aspect, il est recommandé de se faire accompagner par les équipes opérationnelles (RSSI), qui seront à même de réviser et challenger les clauses contractuelles relatives aux niveaux de sécurité attendus (Plan d'Assurance Sécurité de l'entreprise).
La confidentialité
Il est important de connaître les mesures du fournisseur concernant la confidentialité des données. Notamment, il faut s'assurer que les règles de confidentialité correspondent aux standards de la société et les faire valider là aussi par le RSSI. Cela couvre entre autres l'accès et le traitement des données à caractère personnel.
Mesurer le niveau de service de ses opérateurs cloud / mise en place de Service Level Agreements
Il semble évident que l'on ait une mesure du niveau de service de ses opérateurs cloud. En pratique, cela demande un important travail de mise en place.
La mise en place de Service Level Agreements (SLA) - Tout service doit s'accompagner de SLA, spécifiant non seulement le niveau mais les contraintes du service proposé. Plus les SLA sur un service sont forts et donc contraignants pour le fournisseur, plus ils seront chers.
Note sur les obligation clients : le SLA implique des obligations réciproques de la part du client. Acheter un service en 24/7 n'a de sens que si le client est en mesure de traiter les informations qui lui sont remontées au fil de l'eau. Exemple : un client a acheté une prestation en 24/7 alors que ses propres ressources étaient organisées en 9/5. Il a dû, dans un premier temps, rajouter des astreintes non prévues avant de revoir sa demande dans un second temps.
Note sur le métier : le SLA doit avant tout répondre à un besoin métier. Annoncer une disponibilité de 99,5% ou 99,9% parle peu au métier. Ce dernier va s'exprimer en terme de ressenti. C'est une bonne pratique de le challenger et de le faire réagir à des tests avec des SLA plus faibles, plus faciles à atteindre et donc moins chers à l'achat.
Vérification des SLAs
Les SLAs sont toujours mesurés et communiqués par le fournisseur. Comment vérifier ces mesures ? La première étape consiste à connaître les bases de mesure et les calculs faits sur ces mesures. Exemple : fréquence de sauvegarde incrémentale et totale de bases de données. Certaines de ces mesures sont mensuelles (sauvegarde, restauration) d'autres sont semestrielles ou annuelles (Rapport de tests de DRP) et certaines sont continues (disponibilité du service). Dans ce dernier cas, la vérification de la mesure demande un système de suivi automatisé. Par exemple l'ITSM de la société relié (interface ou mail) au système de déclaration et suivi des incidents du fournisseur.
Conclusion
La stratégie de sourcing cloud consiste à acquérir les meilleures ressources pour un service optimisé (time to market, disponibilité, fiabilité, redondance...) au meilleur coût avec le moins de contraintes possibles. Dans un premier temps, les directions IT ont répondu à ce challenge en faisant monter en compétence leurs ressources clefs sur les trois fronts : technique, achat et juridique. Avec le développement des offres du marché, la banalisation de services cloud, les exigences de niveau de service, les offres du marché remplacent progressivement les services produits en internes.
Par ailleurs chacun de ces "systèmes" génère des quantités astronomiques d'information : logs d'exploitation, remontées d'événements de supervision, alertes sur les seuils, reporting divers... L'analyse de ces données en temps réel impose de nouveaux traitements : réduire le "bruit" pour ne se concentrer que sur les données qui ont un sens. Corréler ensuite ces données à d'autres données de contexte pour en faire une information pertinente. Réagir à cette information. Et encore mieux, anticiper.
Chaque infogéreur a géré - et d'abord pour son propre compte - la question et propose aujourd'hui au marché des outils d'intelligence artificielle qui permettent d'exécuter la stratégie cloud choisie par l'entreprise (exemple Ignio de TCS, Dryce de HCL...). Stratégie qui doit être revue régulièrement en fonction des conditions changeantes du marché et des besoins de l'entreprise.
Par Sia Partners - Leader des sociétés de conseil français indépendantes et pionnier du consulting 4.0, Sia Partners développe une approche innovante en explorant les possibilités offertes par l'Intelligence Artificielle, en investissant dans la data science et en développant des consulting bots.