Close
  • Français
  • English

Migration vers le cloud : principaux défis pour les entreprises

Le principal problème est que la majorité des entreprises sous-estiment les vrais défis, qui sont en quelque sorte les « incertitudes de l’inconnu ». La migration vers des services cloud entraîne un changement de paradigme qui va concerner une grande partie de l’entreprise. Sans être anodines, les considérations techniques représentent un moins grand défi que les transformations concrètes qui vont survenir au sein de l’entreprise. Ces transformations vont opérer sur de nombreux plans : de la réglementation aux normes en passant par la structure, les procédures et les outils.

De nombreux risques en matière de sécurité ou de finance existent du fait que la gouvernance et la gestion des services cloud restent des territoires pratiquement inconnus pour de nombreuses entreprises, qui rechignent d’ailleurs à s’y consacrer avec rigueur. L’enfermement propriétaire représente notamment un réel danger pour les entreprises. Malheureusement, il n’existe aujourd’hui aucun plan universel qui pourrait être copié et collé d’une entreprise à l’autre.

 

Qu’est-ce que la gouvernance, la conformité et la gestion du cloud ?

La gouvernance du cloud reprend l’ensemble des décisions individuelles, des organes de décision, des responsabilités, des modèles de prise de décision et des fonctions de contrôle que les entreprises estiment nécessaires afin d’assurer une conformité et une gestion du cloud judicieuses et adaptées à leurs besoins. Les entreprises devront mettre sur pied des comités, des conseils et une hiérarchie qui permettront de prendre des décisions cohérentes et adaptées en matière de cloud. Chaque organe de gouvernance aura ses propres prérogatives en termes d’orientation thématique, de lieu de prise de décision, de périodicité, de remontée et de documentation. Nombreux sont les cas où la gouvernance et la protection des données ainsi que la sécurité de l’information doivent se conformer à des normes inflexibles et centralisées alors que la gestion des coûts est assurée par la fonction informatique correspondante de l’unité commerciale. Évidemment, bien des éléments de la gouvernance du cloud sont inspirés de la gouvernance informatique. Néanmoins, certains risques sont propres au fonctionnement des services cloud et requièrent une révision et d’éventuelles modifications du cadre de gouvernance informatique existant.

La conformité du cloud équilibre les compétences des acteurs de l’offre et de la demande pour chaque cas potentiel d’utilisation du cloud. Cela permet à des équipes hétérogènes d’experts une prise de décision et une documentation rapides, rendant ainsi invisibles les premières étapes d’une migration vers le cloud. Elle aide les entreprises à prendre pleinement conscience du type de service souhaité ou requis, à déterminer si cela doit nécessairement être un service cloud, et les conditions liées à ce service. En d’autres termes, elle prépare le terrain pour gérer la migration vers le cloud avant même la transition. Son volet normatif et son auditabilité en matière de contrôle des risques font de la conformité du cloud une composante importante de la gouvernance du cloud.

La gestion du cloud désigne les activités quotidiennes qui devront être réalisées pour chaque service cloud. L’éventail des activités de gestion du cloud comprend le suivi des SLA, la gestion des licences, la gestion des incidents, des problèmes et des évènements, la gestion des identités et des accès, la gestion des sauvegardes et de la récupération, et bien d’autres.

 

Une bonne gestion du cloud est indispensable à la sécurité de l’information

Compte tenu de la forte augmentation des cas d’utilisation du cloud, les entreprises courent le risque de perdre le contrôle sur de nombreux aspects de leurs opérations des services cloud, dont la sécurité de l’information. C’est pourquoi l’ensemble du cadre de gestion multi-cloud vise à instaurer des contrôles adéquats et à institutionnaliser un modèle de fonctionnement adapté au changement de paradigme qui découle du cloud. Ce cadre de gestion aide les organisations à prendre conscience de leurs politiques de sécurité de l’information, à établir des priorités et à appliquer ces politiques de manière cohérente au niveau des cas d’utilisation. Bien des organisations pensent que la certification ISO 27001 de leur SGSI suffit, mais ce n’est malheureusement pas le cas. Un lien direct peut être établi avec les principaux défis propres à la migration vers des services cloud.

Imaginez un fournisseur de services cloud qui diminuerait l’intervalle de sauvegarde standard tout en améliorant sa fonctionnalité de restauration après sinistre. Dans certains cas d’utilisation, les exigences légales en matière de conservation des données ne pourraient alors être satisfaites qu’en choisissant un service différent ou supérieur. Dans d’autres cas, le service supplémentaire de restauration après sinistre deviendrait superflu et l’entreprise dépenserait plus que nécessaire. Quoi qu’il en soit, chaque entreprise concernée devra faire face aux changements pour se conformer à la législation et en définir avec précision l’impact financier.

Cet exemple illustre la nécessité de changer de perspective afin de passer à des combinaisons service/cas d’utilisation et de transformer en opérations certaines activités de planification, d’approvisionnement et de transition. C’est précisément la raison d’être de la gestion du cloud.

Le cloud est-il la solution la plus sûre en matière de protection des données ?

Pour faire court : « En principe, oui, mais ça dépend. » En effet, il faut tenir compte des considérations suivantes : pour l’exploitation des centres de données, les perspectives sont meilleures pour les entreprises au portefeuille bien garni qui disposent d’une armée d’experts en protection des données et de plusieurs niveaux de sécurité physique que pour une entreprise sans compétences de base en informatique et dotée d’une équipe responsable de l’infrastructure informatique présente sur site. Toutefois, en termes de temps de fonctionnement des serveurs et de détection et de prévention des intrusions, le cloud s’imposera, reléguant aux oubliettes les temps d’arrêt occasionnés par les ventilateurs poussiéreux.

En termes d’exploitation des plateformes, les fournisseurs de services cloud – en particulier les hyperscalers AWS, Azure et GCP (Google Cloud Platform) – proposent de nombreuses fonctionnalités utiles, comme la notification et la prévention automatisée d’attaques DDoS grâce à l’IA (dont le réacheminement automatique du trafic). Cependant, lorsque la plateforme est configurée et gérée en interne, les spécialistes de l’entreprise sont chargés de concevoir une architecture de réseau et de VM sûre et fiable, transférant ainsi un certain risque d’exécution à l’entreprise.

Le « software as a service » (SaaS) comporte des risques d’exécution supplémentaires. Le cas d’utilisation « gestion des talents » (par exemple SAP SuccessFactors ou Workday) démontre clairement que la consommation des services peut dépasser le stade de la conformité. Imaginez un abonnement SaaS comprenant des fonctions de « recherche de talents » que le service des ressources humaines d’une entreprise déciderait d’utiliser quand bien même elles ne sont pas couvertes par le régime RGPD de l’entreprise. Le traitement des données des candidats serait alors illégal et comporterait un risque d’amendes. Dans ce cas, le fournisseur de services cloud aurait un contrôle limité sur la protection des données, et l’entreprise serait responsable de la mise en œuvre de contre-mesures techniques ou organisationnelles.