Data driven

Cloud Computing : menaces et opportunités pour les DSI

18 septembre 2012

Le Cloud Computing est actuellement un sujet qui fait couler beaucoup d’encre, opposant de nombreux apologistes et détracteurs.

Pour rappel, le Cloud Computing est un concept informatique qui prône la mise à disposition d’un ensemble de ressources matérielles ou de services applicatifs prêts à l’emploi. Les clients, entreprises ou particuliers, peuvent donc y héberger leurs applications métier, voire même utiliser directement les applications disponibles en les adaptant à leurs besoins spécifiques.

Un concept qui trouve un fort écho chez beaucoup de clients, notamment chez les entreprises de taille intermédiaire qui n’ont pas de service informatique suffisant pour gérer un Système d’Information complet. Le Cloud Computing, et notamment sa déclinaison SaaS (Software-as-a-Service), est systématiquement retenu dans les scénarios permettant de répondre aux besoins.

Telle entreprise a besoin d’un système complet de CRM (gestion de la relation client) ? Aucun problème, de nombreux éditeurs, comme Salesforce ou Microsoft, proposent des offres packagées très fonctionnelles avec une tarification unique et sans coût caché, par abonnement. Besoin d’un système complet de gestion de messagerie d’entreprise ? Là encore, des éditeurs (Microsoft et Google, par exemple) proposent leurs messageries sous forme packagée SaaS, avec un abonnement fixe mensuel par utilisateur …

Le principe est le même pour de plus en plus de « briques » métier à assembler dans le SI d’une entreprise. Depuis quelques mois, certains composants très structurants d’un SI (par exemple des progiciels SOA, BPM ou MDM) sont même maintenant proposés par les éditeurs dans une version « As-a-Service ».

Mais l’objectif de cet article n’est pas de revenir sur la définition et les enjeux du Cloud Computing, car quantité d’articles traitent déjà de ce sujet. Citons entre autres celui publié par nos confrères chez Airmis. L’objectif de cette publication est de d’éclairer la vision de la DSI face à cet engouement croissant, en abordant d’une part les menaces qui planent sur les directions informatiques, mais également les moyens pour elles de transformer le Cloud Computing en opportunités.

A – Le Cloud Computing, non maîtrisé, engendre de nombreuses menaces pour les DSI

Certains risques sont déjà bien identifiés :

  • Un abaissement de la sécurité : comme le rappelle Patrick Pailloux, qui dirige l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le Cloud Computing est le degré le plus élevé de l’externalisation informatique. De fait, on confie ses données et/ou ses applications à un tiers, sur lequel on a très peu de contrôle. Contrairement à un sous-traitant traditionnel, il n’est pas possible pour l’entreprise cliente de dicter ses conditions à un prestataire « As-a-Service » car celui-ci a pour objectif de standardiser ses offres le plus possible. De plus, ces derniers, pour rentabiliser leurs investissements et proposer les meilleurs tarifs, n’hésitent pas à mutualiser à outrance et à rogner sur certains services pourtant importants (sauvegarde des données, reprise d’activité, …). Ainsi, d’après une autre étude récente, 39% des entreprises interrogées admettent que l’adoption du cloud a conduit à une réduction des mesures de sécurité. D’ailleurs, de plus en plus de détracteurs, comme Richard Stallman, le gourou du Logiciel Libre, ou plus récemment Steve Wozniak, le cofondateur d’Apple, alertent régulièrement sur ces risques.
  • La question de la localisation des données (le « patrimoine informationnel » de l’entreprise), qui découle directement du précédent point : le client et le prestataire hébergeur étant souvent dans deux pays voire deux continents distincts, le risque de rupture de conformité réglementaire et juridique est fort. Ceci est bien entendu encore plus impactant dans des secteurs métier régis par des lois très contraignantes, comme la Banque/Finance par exemple. Qui plus est, que dire des instances européennes qui n’arrivent pas à s’accorder sur une position commune, comme le souligne Gartner ? Enfin, comment ne pas mentionner les Etats-Unis et leur Patriot Act, qui leur permet potentiellement d’accéder à n’importe quelle donnée la plus confidentielle soit-elle ?
  • Les problématiques d’interopérabilité entre les systèmes sont moins connues mais tout aussi dangereuses : les solutions de Cloud Computing sont très hétérogènes et il n’existe aucune norme pour garantir leur interopérabilité. De fait, il est très simple d’acquérir un abonnement pour un service SaaS, mais dès qu’il s’agit de l’intégrer à d’autres applications du SI ou bien même d’accéder à des données d’un référentiel interne, cela devient immédiatement beaucoup plus complexe. Pour aller plus loin, utiliser N solutions Cloud aboutit à fractionner le SI en nouveaux silos, dont on connaît aujourd’hui très bien les impacts. Tout de même faut-il signaler le projet DeltaCloud, dont la première version vient de paraître, qui vise à répondre à cet épineux problème.
  • Le manque de portabilité des données d’un Cloud à un autre, ainsi que la question de la réversibilité lorsque l’on souhaite se désengager d’un Cloud : malgré l’existence de la norme CDMI (Cloud Data Management Interface) censée faciliter la récupération de données d’un Cloud, peu d’acteurs y mettent de la bonne volonté, et cela devient encore plus problématique lorsque le prestataire fait faillite, ce qui arrive assez fréquemment en cette période de forte attirance envers le Cloud.

Mais le risque le plus important, il est tout autre. Suivant l’exemple des PME, les grandes entreprises adoptent de plus en plus cette philosophie pour créer ou développer de nouvelles offres métier, de manière rapide et économique. Ainsi, il n’est pas rare qu’une direction métier, au sein d’une grande entreprise, souscrive une offre SaaS externe pour satisfaire ses propres besoins, sans même solliciter ni notifier la DSI.

Ce constat est étayé par une étude récente, réalisée auprès de 650 dirigeants et DSI (dont 31% en France), qui nous apprend que 38% des dirigeants français ont court-circuité leur DSI en adoptant des solutions Cloud.

La DSI était jusqu’à présent l’unique fournisseur de services informatiques pour les directions métier  au sein de l’entreprise, et ainsi, cette exclusivité est dorénavant remise en cause. Face à cette mise en concurrence, la DSI doit être compétitive … ou mourir.

Cette dernière phrase, volontairement un peu provocatrice, retranscrit bien la nécessité de ne pas rester passif face à ce phénomène qui semble à priori incontrôlable pour les directions informatiques. En effet, selon une étude du Forrester, la tactique du recours direct par une direction métier au Cloud extérieur accroît la complexité du système d’information pour 58% des répondants. 71% se posent la question de la garantie de qualité de service qui est normalement assurée par la DSI, ce qu’il lui est impossible à assumer lorsqu’elle n’est pas décideur. Or la complexité est justement l’un des problèmes récurrents auxquels les DSI sont confrontés. La réduction de la complexité et des coûts induits est la première priorité pour la plupart d’entre eux.

B – Un nécessaire repositionnement de la DSI

La réponse à cette épineuse situation, elle n’est pas nouvelle. Chez weave Business Technology, nous prônons un état d’esprit où il faut penser métier et technologie simultanément, et c’est exactement le schéma qu’il faut mettre en œuvre ici : la DSI doit se replacer comme l’interlocuteur privilégié des directions métier au sein de l’entreprise, en encapsulant pour elles l’ensemble des thématiques informatiques, que celles-ci soient des offres internes historiques ou bien les plus récentes offres Cloud Public pour lesquelles un besoin peut se faire sentir. Ce qui sous-entend que la DSI assure le pilotage des prestations et fonctions externalisées, sous tous les angles : opérationnel projet, financier/administratif, contrôle du respect des engagements de service des prestataires, …

Pour présenter brièvement un retour d’expérience illustrant ce principe majeur, weave intervient depuis deux ans chez un client où la DSI, au départ, ne parvenait plus à jouer son rôle de facilitateur et où les directions métier réalisaient de plus en plus souvent leurs projets informatiques elles-mêmes. En créant une offre de service d’hébergement d’applications se basant sur une infrastructure Cloud privée et qui soit proche des attentes du métier, cela a suscité un fort intérêt chez eux. En allant encore plus loin, une « assemblée des copropriétaires » a été créée, sur le fondement que la gestion du SI est bien de la responsabilité de la DSI mais également des autres directions de l’entreprise. L’objectif est que, d’un côté, le métier se sente impliqué dans la gestion de la complexité et la maîtrise des coûts, et de l’autre, que la DSI puisse mieux comprendre les besoins métier afin, bien entendu, d’y répondre au mieux.

Ainsi, en plus de l’effet recherché qui est que la DSI soit force de proposition vis-à-vis de ses prescripteurs, cette ouverture à l’extérieur permettra une rationalisation du SI à moyen terme. En comparant les offres internes (sous forme de Cloud privé ou non) avec ce qui peut être proposé sur le marché, cela va stimuler l’innovation au profit du métier et favoriser une mise en concurrence propice à rendre la DSI plus compétitive. En effet, pourquoi ne pas aller jusqu’à remplacer des « briques » obsolètes ou non légitimes du DSI par du Cloud public, si c’est pertinent ? Evidemment, il sera toujours de bon ton de donner la priorité aux solutions internes pour d’évidentes raisons éthico-économiques (supprimer une offre interne implique moins de chiffre d’affaire et des ressources humaines à replacer ailleurs).

Sans utiliser la formule banalisée du « cercle vertueux », adopter cette démarche apporte de nombreux autres avantages :

  • obtenir une vision globale des offres du marché et ainsi pouvoir conseiller le métier sur les différentes solutions proposées en interne et en externe,
  • mutualiser les coûts (pour l’ensemble de l’entreprise) et atteindre un seuil critique de rentabilité par le volume engendré (surtout dans le cas du Cloud privé, mais également par des négociations groupées avec certains prestataires Cloud publics),
  • mieux maîtriser la complexité du SI, la sécurité (la DSI reste garante de la qualité de service) et les données qui sont le patrimoine de l’entreprise,
  • améliorer la compétitivité de la DSI vis-à-vis de l’extérieur, non pas en faisant systématiquement du « low-cost », mais en améliorant qualitativement le service rendu aux prescripteurs,
  • travailler différemment en nouant une relation forte avec des prestataires de services SaaS, au travers de contrats spécifiquement conçus pour couvrir, notamment, les risques liés à la fuite de données confidentielles,
  • généraliser le principe de la facturation à l’usage, permettant de calculer simplement le coût et le ROI d’un projet applicatif,
  • dans un objectif Green IT, réduire la consommation d’énergie.

Enfin, une stratégie Cloud doit nécessairement être associée à un modèle économique probant, qui est à définir au cas par cas. En effet, le Cloud Computing repose sur le principe de la refacturation à l’usage, ce qui implique :

  • de pouvoir mesurer et contrôler en permanence la consommation de services/ressources faites par chaque client,
  • de définir un coût de l’usage de chaque service/ressource, qui tienne compte des importants investissements de départ (en ne refacturant pas tout aux premiers clients) mais également de la période d’amortissement souhaitée, en fonction du nombre de clients potentiels.

Bien évidemment, ce modèle économique doit être compétitif par rapport aux autres offres équivalentes, aussi bien internes qu’externes à l’entreprise.

Synthèse

Dans une situation de perte de contrôle face aux directions métier qui n’hésitent plus à saisir l’opportunité du Cloud public pour satisfaire leurs besoins, la DSI a tout intérêt à se repositionner comme leur interlocuteur privilégié, au sein de l’entreprise.

En effet, le modèle préconisé est que la DSI fédère l’ensemble des offres informatiques, que celles-ci soient les solutions internes historiques, du Cloud Privé ou bien même du Cloud Public.

Nos retours d’expérience prouvent que, lorsque toutes les conditions sont réunies, les gains sont au rendez-vous (économies d’échelle liées à la mutualisation, satisfaction des clients porteurs de projets métier, repositionnement de la DSI en réel fournisseur de services à valeur ajoutée, …).

Christophe DEMULDER (@cdemulder)

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités*

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé de gestion des Clients et Prospects (CRM).

Le Responsable de traitement est la société weave, 37 rue du rocher 75008 Paris RCS Paris 802 396 085.

Elles sont destinées à l’activité marketing du groupe weave ainsi quà celle de ses filiales, à l’exclusion de tout transfert hors de l’UE. Elles sont conservées pour une durée conforme aux dispositions légales (par exemple 3 ans pour les données prospects).

Ce traitement nécessite votre consentement que vous pourrez retirer à tout moment sans que cela ne remette en cause sa licéité.

Conformément à la loi « Informatique et Libertés » et au règlement européen n°2016/679, vous bénéficiez d’un droit d’accès, de rectification ou d’effacement, ainsi que d’un droit à la portabilité de vos données ou de limitation du traitement. Vous pouvez également pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données et donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

Vous pouvez exercer vos droits en nous contactant à l’adresse contact@weave.eu.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus sur notre politique de cookies et notre charte des données personnelles