Cloud
Passer au cloud public : quel impact pour les métiers de l’entreprise ?
Par La rédaction, publié le 16 septembre 2011
Directions des achats, de la sécurité, de la cellule architecture et de la production sont concernées de plein fouet par la montée en puissance des offres cloud. Octo Technology donne quelques pistes d’évolution de ces métiers.
Problématiques. A quelle juridiction une entreprise française doit-elle se soumettre en matière de cloud computing ? Sur quelles bases les contrats doivent-ils être définis ? Les gros acteurs américains du cloud comme Google ou Amazon, issus du grand public, sont encore néophytes en matière de relations commerciales avec les entreprises. D’autant que toute relation, y compris la facturation, passe par un portail de self-service sur internet.
Recommandation. « Le département juridique de l’entreprise devrait créer un pôle de compétences dédié au cloud. Celui-ci, suffisamment informé (en termes de réglementations, d’offres, de prix,…), viendrait en support lors des négociations de ces contrats atypiques », explique Guillaume Plouin d’Octo Technology.
Problématiques. La sécurité des données reste un des freins majeurs à l’adoption du cloud computing : en matière de criticité des données, d’authentification sur le cloud ou encore de sécurisation des flux. Dans un réflexe de protection, beaucoup de responsables de la sécurité des systèmes d’information (RSSI) s’avèrent réticents face à ces services externalisés.
Recommandations.
• Une classification des données (critique, confidentiel-défense, fonctionnement, etc.). « Il est pertinent de définir l’éligibilité ou non au cloud de chaque classe de données », relève-t-on chez Octo Technology.
• En matière de sécurité d’accès aux données, « le RSSI peut exiger de son opérateur de cloud l’utilisation d’un outil de fédération des identités », conseille le spécialiste. Ainsi, celui-ci ne stocke ni identifiant, ni mot de passe. Ces données d’authentification restent dans l’entreprise, qui en conserve la gestion (changement périodique des mots de passe, syntaxe, authentification forte, etc.). « De nombreux opérateurs de cloud proposent cette fonctionnalité », rassure-t-il.
• De façon générale, le RSSI peut homologuer ces opérateurs en fonction du respect de certaines normes : ISO 17 001, SA70 de type II, chiffrement, etc. Il pourrait par ailleurs lancer des tests d’intrusion pour éprouver l’efficacité des clouds. « Le RSSI apparaîtrait ainsi comme l’instance de validation de l’usage de tel ou tel opérateur de cloud », indique Guillaume Plouin.
Problématique. L’urbanisation du système d’information évolue : cloud privé, public ou hydrique, il est de plus en plus complexe de maintenir la cohérence entre les données dispersées à travers le monde. Et les fournisseurs ne sont pas moteurs sur ce point, car « les middlewares des offres clouds sont encore simplistes », explique Guillaume Plouin. De plus, cette échelle internationale soulève la question des performances des réseaux et donc des applications.
Recommandations.
• « Les départements architecture devraient monter un centre de compétences cloud proposant l’état de l’art sur les multiples plates-formes du marché Paas (Platform as a Service) et Iaas (Infrastructure as a Service) », conseille Octo Technology. Il précise : « Les architectes ont un vrai rôle à jouer en matière d’intégration entre le cloud et le système d’information de l’entreprise. »
• En termes de réversibilité, Guillaume Plouin recommande aux entreprises de la tester à partir des interfaces de programmation (API) proposées par les opérateurs de cloud, ou bien de leur déléguer la gestion de ces tests. « Il est même possible de demander à l’opérateur de fournir une solution de réversibilité clé en main », ajoute-t-il.
• Avec le RSSI, la cellule architecture peut contribuer à l’homologation des opérateurs de cloud.
Problématique. Les Clouds Saas (Software as a Service) et Paas réduisent drastiquement le niveau d’intervention du service de production, qui se libère ainsi de la gestion du matériel et se centre sur l’analyse des performances applicatives et des reseaux, ainsi que sur l’allocation de ressources et le déploiement (provisionning).
Recommandations.
• « La production devrait travailler sur les applications métier innovantes aidant l’entreprise à rester concurrentielle et à déléguer la gestion d’applicatifs tels que la messagerie », indique Guillaume plouin.
• Les personnes dédiées à l’exploitation de l’informatique se recentreront probablement sur le support aux utilisateurs via Itil, ainsi que sur la gestion du cycle de vie des opérations du système d’information.
Tout savoir sur le Cloud Computing dans notre dossier spécial