Faire le saut dans le nuage en 6 questions

Au mois de juin dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) publiait une série de recommandations destinées aux entreprises qui envisagent utiliser  des services d’infonuagique pour clarifier le cadre juridique entourant ce type de solutions. Avec cette initiative européenne, je me suis demandé s’il existe quelque chose de similaire, côté canadien cette fois. Et je suis tombé sur cette étude sur les perspectives canadiennes en matière de cloud computing. Ce rapport, qui date déjà de plus d’un an, met en lumière les problèmes contractuels, de protection des renseignements personnels et de droits d’auteur en proposant un modèle d’analyse des contrats avec un fournisseur de ce type de services.

Depuis quelques temps déjà, je m’intéresse à la question pour le travail. J’ai eu la chance d’évaluer quelques solutions disponibles, soit pour des clients ou pour des besoins internes. Ces analyses ont apporté leur lot de questions qui ne sont pas évidentes à répondre. Je me suis donc largement inspiré de cette expérience et des deux études citées plus haut pour définir 6 questions à se poser avant de se lancer dans le nuage.

Pourquoi le nuage?

Question de base. Et elle est importante. L’infonuagique a plusieurs avantages, que ce soit la flexibilité, les faibles coûts d’acquisition et de maintenance (entre autres pour la réduction des coûts énergétiques), la mobilité et l’accès à la demande. Devrait-on, comme le propose John Mancini (grand patron de l’AIIM), se commettre le plus possible dans le cloud? Certains croient que oui, et même que l’infonuagique deviendra un incontournable. Pour ma part, j’y crois plus ou moins. Même si ça reste séduisant, l’infonuagique a beaucoup de ressemblances avec les débats entourant les bureaux sans papier, qui refont surface périodiquement.

Il ne faut pas l’oublier, l’infonuagique n’est qu’une solution parmi d’autres. Avant de faire LE choix, il est préférable d’évaluer toutes les options qui sont sur la table, qu’elles soient infonuagiques, traditionnelles ou Open source. 

Le choix d’un outil ou d’un service technologique doit être d’abord motivé par un besoin d’affaires, pour répondre à un problème d’efficacité, de coûts ou encore de manque d’expertises. Les ressources manquent pour mettre en place des infrastructures technologiques coûteuses ou pour maintenir le nombre de licences d’un logiciel métier ? Alors là, le nuage est peut-être une solution.

Quoi transférer dans le nuage?

Est-ce que toutes les fonctions, activités ou processus d’une organisation devraient s’y retrouver? Ont-ils tous leur place? Ou veut-on transférer uniquement certains processus? Rare sont les solutions qui couvrent l’ensemble des besoins d’une entreprise et il existe un nombre sans cesse grandissant de services cloud sur le marché. En voici quelques exemples :

Se concentrer d’abord sur les processus qui ont une valeur ajoutée est une des meilleures stratégies. Pour éviter de s’éparpiller, et pour avoir une stratégie cohérente avec la mission. Dresser une liste de fonctions et d’exigences est donc un élément primordial pour bien évaluer les offres disponibles.

Souhaitez-vous utiliser cet espace pour stocker de l’information, pour collaborer à la production de documents ou encore pour le suivi et le contrôle de projets? Est-ce que l »information circulera entre les employés, avec vos clients ou seulement avec vos partenaires? Quelle information y sera transférée : celle destinée au grand public, ou tous vos renseignements personnels, confidentiels et stratégiques? Et dans tout ce dédale d’interrogations, quelle est la meilleure piste à suivre?

La réponse c’est qu’il n’y a pas vraiment de bonnes ou de mauvaises réponses à ces questions. Ça dépend. Chose certaine, avoir une idée claire du type d’information qui sera conservé dans un outil infonuagique permet de renforcer la qualité des critères de sélection, notamment en matière de sécurité et de risques. Au final, c’est toute la solution qui n’en sera que meilleure.

Quelles sont les exigences techniques et de sécurités?

Il ne faut pas laisser aux autres le loisir de définir nos exigences techniques et de sécurité. Avant de se lancer dans le choix d’un outil, définir ses propres exigences et évaluer si les offres répondent à ces exigences m’apparaît la meilleure chose à faire. Il est vrai que la sécurité du Cloud peut être meilleure que dans plusieurs PME, mais il faut être en mesure de le démontrer. Le CNIL dresse une liste intéressante de points à considérer :

  • Contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.)
  • Contraintes pratiques (disponibilité, réversibilité/portabilité, etc.)
  • Contraintes techniques (interopérabilité avec le système existant, etc.)

Par exemple, il serait possible d’exiger que le fournisseur soit certifié SSAE 16 (anciennement SAS 70), norme d’audit reconnue développée par l’American Institute of Certified Public Accountants (AICPA). Cette norme garantit qu’une société de service a subi un audit détaillé de ses objectifs et activités de contrôle afin d’assurer que le traitement et l’hébergement des données des clients se fassent de façon entièrement sécurisée.

Les utilisateurs de services infonuagiques sont en droit d’avoir certaines attentes légitimes, en matière de conservation par exemple. Dans ce cas précis, les utilisateurs s’attendent à ce que les données conservées ne soient pas perdues ou supprimées et qu’elles soient accessibles en tout temps. Les certifications d’audit et de sécurité sont évidemment un bon départ mais, avoir une sorte de « police d’assurances » est toujours une bonne chose si une perte ou une divulgation d’information survenait. Il est donc important que des garanties suffisantes soient offertes. Pour plus de détails, je vous invite à consulter le rapport produit par l’union des consommateurs du Canada où plusieurs exemples ont été analysés.

Quels sont les risques du nuage?

L’infonuagique a bien des avantages mais comporte son lot de risques et méritent d’être évalués adéquatement. Le niveau des risques ou encore les moyens d’atténuation influenceront la décision de choisir, ou non, une solution dans le nuage. En vrac, quelques risques à considérer, tirer en grande partie des recommandations du CNIL :

  • Impossibilité de migrer vers une autre solution due à la dépendance technologique envers le fournisseur
  • Indisponibilité du service
  • Indisponibilité des moyens d’accès au service (accès internet et problèmes de réseaux)
  • Fermeture du service ou acquisition du fournisseur par un tiers
  • Support inadéquat suite à un problème technique
  • Contrôle des droits d’accès défaillant par insuffisance de moyens fournis par le prestataire
  • Destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue de l’information
  • Perte de l’intégrité des documents par une faille de sécurité, par une modification ou un accès non autorisés
  • Diffusion non autorisée d’information confidentielle à des tiers
  • Perquisition ou réquisition judiciaires par les autorités étrangères dans les locaux du fournisseur

Et la liste pourrait s’allonger facilement. Une fois les risques identifiés, des applications comme @Risk permettent de les analyser   pour faire ressortir les nombreuses issues possibles et indiquer la probabilité que surviennent chacune d’elles. Ce type de méthodes permet de tenir compte du risque dans l’analyse quantitative et d’évaluer leurs coûts financiers dans la prise de décision. Pour dire si oui ou non le jeu en vaut la chandelle.

 Quel type de nuage choisir?

Privé, public, hybride, SaaS, IaaS? Selon les besoins fonctionnels et les exigences en matière de sécurité, le choix du type de services le plus pertinent devrait être facilité, notamment dans le choix d’un service public, privé ou hybride. Je vous invite à consulter ce glossaire du Cloud, dont il a été question dans un article précédent, pour démêler chacun des termes.

Quel impact pour l’environnement?

Greenpeace publie une étude très intéressante consacré aux pratiques des principaux exploitants de centres de données en matière de consommation énergétique. L’édition 2012 de ce rapport attribue un « indice de l’énergie propre » à quatorze fournisseurs de services d’infonuagique. Ce qui en ressort? Que ce ne sont pas tous les fournisseurs qui sont verts.

Par exemple, la plus faible note du rapport est donnée à Salesforce.com, qui a obtenu un indice d’énergie propre 4 %. À l’inverse, les fournisseurs avec le meilleur indice sont Yahoo! (56,4 %), Dell (56,3 %) et Google (39,4 %). Seriez-vous prêts à vous associer à un fournisseur dont les centres de données sont principalement alimentés par le charbon? Peut-être qu’une solution infonuagique permet de réaliser des économies d’énergie, mais à quel prix pour l’environnement?

—————

Ces quelques questions permettent de lancer la réflexion. Il en existe d’autres qui auraient pu être posées, sur le coût raisonnable d’une telle solution, ou encore sur le cadre de gouvernance ou les stratégies de déploiement. Nous traiterons certainement de ces questions dans des articles prochains.

Qu’en dites-vous? Est-ce que d’autres questions vous viennent à l’esprit?

Advertisements

2 réponses à “Faire le saut dans le nuage en 6 questions

  1. Très bon document qui pose les bonnes questions.

    Bonjour,

    En tant que responsable de la solution Sensaas dont vous faites mention, nous avons considérer pratiquement l’ensembles des points que vous mentionnez lorsque nous avons mis en place ce service.

    Le marché canadien est un peu plus long à convaincre que le marché européen des bienfaits de ce type de solution mais nous y travaillons ardamment.

    Merci de me garder dans vos contacts pour les précisions que vous apportez à ce marché émergent.

    Marc

Laisser un commentaire

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l’aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s