Fondamentaux du Cloud Computing Le point de vue des Grandes Entreprises
Mars 2013
Fondamentaux du Cloud Computing
SYNTHSE Les travaux passs du CIGREF avaient rvl plusieurs lments de tension dans la comprhension du SaaS et du Cloud Computing. Le premier dentre eux tait labsence dune dfinition claire de ces concepts. Le groupe de travail du CIGREF sest donc intress cette anne aux fondamentaux du Cloud Computing. Il les a revisits et redfinis en fonction de la comprhension et de sa mise en uvre dans les entreprises et non partir des offres du march de lcosystme IT. Le groupe de travail a identifi quatre points qui permettent de dfinir un Cloud : 1. Un Cloud est toujours un espace virtuel, 2. contenant des informations qui sont fragmentes, 3. dont les fragments sont toujours dupliqus et rpartis (ou distribus) dans cet espace virtuel, lequel peut tre sur un ou plusieurs supports physiques, 4. qui possde une console (ou programme) de restitution permettant de reconstituer linformation.
Le groupe de travail a aussi dcrit et dtaill quatre typologies de Cloud Computing, que lon peut trouver dans les organisations membres du CIGREF. Chacune dentre elles a t dfinie et mise en regard du modle de service (SaaS, Paas, Iaas).
Au cours des changes et des partages dexprience, de nombreux conseils et bonnes pratiques ont t formuls. Le groupe a rassembl ces informations et les a organises en fonction des quatre typologies de Cloud dfinies. Fournissant ainsi une liste de points dattention pour toute entreprise sintressant au Cloud Computing. Source CIGREF Source CIGREF Mars 2013 Le point de vue des grandes entreprises
Le CIGREF, Rseau de Grandes Entreprises, a t cr en 1970. Il regroupe plus de cent trs grandes entreprises et organismes franais et europens de tous les secteurs d'activit (banque, assurance, nergie, distribution, industrie, services...). Le CIGREF a pour mission de promouvoir la culture numrique comme source d'innovation et de performance Titre du rapport : Fondamentaux du Cloud computing - Le point de vue des grandes entreprises Equipe du CIGREF Jean-Franois PPIN Dlgu gnral Frdric LAU Directeur de mission Sophie BOUTEILLER Directeur de mission Matthieu BOUTIN Charg de mission Anne-Sophie BOISARD Directeur de mission Marie-Pierre LACROIX Chef de projet Josette WATRINEL Secrtaire de direction Josette LEMAN Assistante de direction Remerciements : Nos remerciements vont Grard RUSSEIL, DSI de CHOREGIE, qui a pilot cette rflexion. Nous remercions galement les membres du groupe de travail, qui ont particip cette tude :
Michel BENARD - GROUPEMENT DES MOUSQUETAIRES - INTERMARCH Arnaud LE CONTE - GROUPEMENT DES MOUSQUETAIRES - INTERMARCH Cyril BARTOLO - LAGARDRE Philippe LEBAS - ELIOR ric BARNIER - AROPORTS DE PARIS Mina LEJAMBLE - AGIRC ARRCO Laurent BIEBER - SNCF Guillaume LIBET - CNES Thierry CHAMPEROUX - MAIF Christel LOITRON - OCP - GEHIS Jean-Yves CHOURAQUI - L ORAL Annelise MASSIERA - DISIC Cdric SIBEN - MINISTRE DE L'CONOMIE, DES FINANCES ET DU COMMERCE EXTRIEUR Marc MEYER - MINISTRE DE L'CONOMIE, DES FINANCES ET DU COMMERCE EXTRIEUR Lon DE SAHB - STEF Hlne MONIN - MANPOWER Luc DEBRAY - AGIRC ARRCO Alain MOUSTARD - BOUYGUES TELECOM Andr DELEVAQUE - NEXTER GROUP Bernard PARMENTIER - AIR LIQUIDE Jean-Pierre DELHEAU - RTE Jean-Luc PAULIN - AMADEUS Jean-Yves DROUGLAZET - MAIF Alain PERONNET - RENAULT Bernard DUVERNEUIL - ESSILOR Jean-Luc RAFFAELLI - LA POSTE Marie-Hlne FAGARD - EUROPCAR Claude ROUCHE - SAUR Jean-Louis GHIGLIONE - RENAULT Thierry SABLE - TOTAL Stphane HUIGNARD - LACTALIS Caroline SANDLER-ROSENTAL - CLUB MDITERRANE Herv JEGO - GENERALI Pierre DE LAJARTE - RSEAU FERR DE FRANCE Sylvie LABETOULLE - GEODIS Grgory SILVAIN - EURO DISNEY Rgis LACOUR - INSERM Pierre TOMIAK - CNES Grard LAGO - RTE Christian VALIN - LACTALIS Herv LAMBERT - GENERALI Andr-Gilles VITTEK - EDF Publications CIGREF en lien avec ce rapport : 2013 - Cloud et protection des donnes : guide pratique lattention des directions oprationnelles et gnrales 2012 - Quelle politique dinfrastructure de lentreprise numrique ? 2011 - La comprhension du SaaS par les grandes entreprises 2010 - Position du CIGREF sur le Cloud Computing 2010 - Impact du Cloud computing sur la fonction SI et son cosystme 2010 - Les dossiers du Club Achats Cloud Computing Pour tout renseignement concernant ce rapport, vous pouvez contacter le CIGREF aux coordonnes ci-dessous : CIGREF, Rseau de Grandes entreprises - 21, avenue de Messine 75008 Paris Tl. : + 33.1.56.59.70.00 Courriel : contact@cigref.fr Site internet : http://www.cigref.fr/ Mars 2013 Le point de vue des grandes entreprises
Fondamentaux du Cloud Computing
SOMMAIRE
Introduction ............................................................................................................................... 1 Revisitons la dfinition dun Cloud ............................................................................................ 3 Projection sur les modles de services ..................................................................................... 7 Cloud & IaaS - Infrastructure as a Service ............................................................................. 7 Cloud & PaaS - Plateform as a Service ................................................................................... 8 Cloud & SaaS - Software as a Service .................................................................................... 9 Modle as a Service vs modle ASP ........................................................................ 10 Les typologies du Cloud Computing ........................................................................................ 10 1. Clouds grs en interne et usage priv......................................................................... 12 2. Clouds grs en externe et usage priv ........................................................................ 13 3. Clouds grs en interne et usage ouvert ...................................................................... 14 4. Clouds grs en externe et usage ouvert ..................................................................... 15 Conseils et bonnes pratiques .................................................................................................. 16 1. Cloud Interne Priv ................................................................................................... 17 2. Cloud Externe Priv .................................................................................................. 17 3. Cloud Interne Ouvert ................................................................................................ 24 4. Cloud Externe Ouvert ............................................................................................... 24 Conclusion ............................................................................................................................... 29
FIGURES Figure 1 : Les 4 points permettant d'identifier un Cloud ........................................................... 5 Figure 2 : Structuration des diffrents Clouds par rapport au modle de service .................... 9 Figure 3 : Les typologies du Cloud Computing ......................................................................... 11 Mars 2013 Le point de vue des grandes entreprises
Fondamentaux du Cloud Computing
INTRODUCTION Depuis maintenant 3 ans, le CIGREF sintresse au Cloud Computing 1 et aux modles de service. Dj en 2010, loffre de Cloud Computing faisait partie du paysage des solutions et services lis au SI. Le CIGREF le dfinissait alors comme une nouvelle manire pour les entreprises dacheter et de consommer des services lis aux SI dans le monde au travers du rseau internet. A lpoque on parlait nanmoins plus de SaaS 2 parce que le march tait en cours de structuration. Loffre rpondait bien certains besoins (applications transverses), moins dautres (aspects transactionnels et ERP notamment) et tait plutt perue comme une solution combiner aux solutions existantes. Mutualisation des ressources, paiement lusage, modularit et standardisation des fonctions proposes taient les principales caractristiques identifies. Les travaux des groupes de travail CIGREF, en 2010 3 et 2011 4 , sur le Cloud 5 et le SaaS avaient nanmoins permis de souligner plusieurs lments de tensions dans la perception du SaaS entre les entreprises utilisatrices et lcosystme IT. Les changes avaient notamment montr le dcalage de posture entre les fournisseurs et les entreprises utilisatrices, notamment sur linteroprabilit des solutions et la rversibilit des donnes. Les changes avaient aussi dmontr les potentiels du SaaS et du Cloud Computing vis--vis des processus dinnovation : flexibilit des solutions, rapidit de dploiement, investissement moindre court-terme. Ils avaient galement soulign le besoin dun accompagnement des mtiers par la DSI dans lacquisition de solutions SaaS. 1 Lexpression franaise pour Cloud Computing est Informatique en nuage . 2 SaaS : Software as a Service (logiciel la demande) 3 Position du CIGREF sur le Cloud Computing : http://www.cigref.fr/position-du-cigref-sur-le-cloud- computing Impact du Cloud computing sur la fonction SI et son cosystme : http://www.cigref.fr/impact-du-cloud- computing-sur-la-fonction-si-et-son-ecosysteme 4 La comprhension du SaaS par les grandes entreprises : http://www.cigref.fr/la-comprehension-du-saas- par-les-grandes-entreprises 5 On utilisera indistinctement dans ce document le mot Cloud lorsque lon parlera dun projet de Cloud Computing ou du Cloud en tant quoutil. Cette expression sera aussi utilise lorsque lon parlera des modles (technologiques, conomiques) que le concept vhicule. Mars 2013 Le point de vue des grandes entreprises
1
Fondamentaux du Cloud Computing
Aujourd'hui certains lments se sont prciss : Le Saas est peru comme un excellent moyen de servir les directions mtiers sur leur besoin en applications et de leur offrir, par l-mme, des services et applications innovants. Cest aussi un moyen de rpondre un besoin de flexibilit en adaptant trs rapidement les infrastructures ou architectures des besoins ponctuels mais variables. Le SaaS peut permettre de diminuer les cots de dveloppement et dintgration des applications mtiers. Mais loffre est encore faible et les solutions en mode de service sont ce jour relativement spcifiques et autonomes : il y a encore peu dintgration possible. Dans sa dfinition de 2010, le CIGREF indiquait : Quelle que soit la formule retenue par lentreprise cliente, loriginalit du Cloud computing rside dans son modle de facturation lusage, donc dans sa lisibilit, sa variabilit et sa prdictibilit des cots . Aujourdhui, la prdictibilit des cots nest pas garantie plus de 2 ou 3 ans. Le Cloud Computing garantit par contre la plasticit des solutions, par exemple, en cas de changement de volumes. La notion de consommation prvaut sur la notion dusage : on achte un abonnement, un permis de consommer, on nachte pas une licence dutilisation. Le SaaS propose donc la possibilit de passer dune logique budgtaire dinvestissement une logique de fonctionnement, se traduisant par la diminution des cots dacquisition et de maintenance. Alors quavant les utilisateurs n'avaient pas conscience de ce qui tait mis en place et consomm, le Cloud Computing permet aussi dapporter et de valoriser une vision immdiate de la consommation financire lusage. Les applications SaaS, offrent une standardisation fonctionnelle (les mmes services applicatifs sont disponibles pour tous les utilisateurs, sans dveloppement particulier) alors que les applications traditionnelles sont spcifiques et souvent adaptes lusage dune ou de plusieurs populations cibles. La forte disparit conomique entre les fournisseurs rend les comparaisons difficiles. Les modles (conomiques ?) ne sont pas encore bien tablis et standardiss et il est donc difficile de mesurer les TCO 6 possibles des diffrentes offres. 6 TCO : Total Cost of Ownership (Cot total de possession) Mars 2013 Le point de vue des grandes entreprises
2
Fondamentaux du Cloud Computing
Dans le cas dun Cloud, les solutions techniques des fournisseurs ne suffisent pas : les entreprises clientes doivent aussi avoir les comptences et les ressources en interne pour le paramtrer au mieux de son usage (de la mme faon que pour les ERP au dbut des annes 2000). Un nouveau mtier est peut-tre en train dapparaitre : paramtreur de Cloud (comme il existe paramtreur ERP).
Les offres ont donc volu, les usages et les concepts se sont prciss. Mais il est apparu au fil des changes quil ny a pas vritablement de comprhension commune, chacun donnant sa dfinition du SaaS, PaaS 7 , IaaS 8 , et du Cloud, dfinitions qui, du reste, varient dans le temps. Au cours des runions de travail, le CIGREF a donc souhait mettre en commun la connaissance et lexprience que ses entreprises membres ont du Cloud Computing, pour dcrire de manire reprsentative leur ralit des projets Cloud et lusage quelles en font. REVISITONS LA DFINITION DUN CLOUD Toutes les entreprises prsentes dans le groupe de travail du CIGREF ont un projet de Cloud Computing en cours. Certaines ont mme dj mis en uvre leur propre Cloud en interne. Elles savent donc pour la plupart ce quest un Cloud. Malgr tout, au cours des diffrentes discussions, il est rapidement apparu que le concept de Cloud Computing peut tre expliqu avec des dfinitions diffrentes, et qui voluent diffremment en fonction des acteurs qui lemploient. Les entreprises utilisatrices comme celles de lcosystme IT usent de termes plus en lien avec leur propre stratgie business que dans un esprit de clarification. Le groupe de travail a donc souhait, pour parler dune mme voix et avoir une comprhension commune, travailler dans un premier temps sur une dfinition partage du Cloud Computing. Cette dfinition repose sur quelques constats simples : Un Cloud est au dpart une solution technologique, mais sa dfinition dpend avant tout de lusage quon en fait. On pourra trouver des Clouds de services qui offrent des solutions applicatives qui concernent directement les utilisateurs finaux, comme des Clouds dinfrastructures qui concernent les centres de production et dexploitation, en traitant plus de la virtualisation ncessaire pour offrir des infrastructures de serveurs ou rseaux. 7 PaaS : Plateform as a Service 8 IaaS : Infrastructure as a Service Mars 2013 Le point de vue des grandes entreprises
3
Fondamentaux du Cloud Computing
Si laccs un Cloud se fait toujours par un modle de service 9 , linverse nest pas vrai. En effet de nombreuses applications as a Service ne sont pas des Clouds : ce sont de simples applications classiques qui sappuient sur une infrastructure traditionnelle de serveurs web, serveurs de GED ou sur un ERP. Encore maintenant la confusion est entretenue par de nombreux acteurs pour des raisons de marketing. Le modle du Cloud Computing est capable de traiter indiffremment les trois couches communment utilises du modle de service : o Le IaaS : Infratructure as a Service o Le PaaS : Plateform as a Service o Le SaaS : Software as a Service Cest la force du Cloud Computing : il peut soit traverser lensemble de ces couches, soit avoir un comportement spcifique chacune dentre elles. Pour le groupe de travail du CIGREF, mme si cela peut paraitre basique, un Cloud est avant tout une solution de stockage dinformations 10 (au sens large du terme : donnes structures ou non, logiciels, images, etc.) sur une ou plusieurs machines qui nont pas dattribution fonctionnelle particulire : elles peuvent se substituer les unes aux autres. Un Cloud se concentre sur la donne 11 indpendamment du support, et est capable de la restituer indpendamment de sa localisation. Dans sa recherche dune dfinition, le groupe de travail a identifi quatre points qui permettent de caractriser un Cloud : Point 1 : Un Cloud est toujours un espace virtuel, Point 2 : Un Cloud contient des donnes qui sont fragmentes, Point 3 : Les fragments de donnes dun Cloud sont toujours dupliqus et rpartis (ou distribus) dans cet espace virtuel, lequel peut tre sur un ou plusieurs supports physiques, Point 4 : Un Cloud possde une fonction de restitution permettant de reconstituer les donnes. Cette fonction peut tre intgre la gestion du Cloud ou dporte sur lapplication qui fournit le service. 9 Un modle de service permet dexternaliser intgralement un lment (fonction ou application) du systme dinformation dune organisation et de l'assimiler un cot de fonctionnement plutt qu' un investissement. On parle alors dun lment as a service . 10 Une information est un lment de connaissance susceptible d'tre reprsent l'aide de conventions pour tre conserv, trait ou communiqu (Larousse). 11 Une donne est la reprsentation conventionnelle d'une information en vue de son traitement informatique. Un ensemble de donnes constitue une information pouvant tre conserve ou communique (Larousse). Mars 2013 Le point de vue des grandes entreprises
4
Fondamentaux du Cloud Computing
Si lune de ces quatre conditions nest pas tablie, nous ne sommes pas en prsence dun Cloud
(Source CIGREF 2013) Figure 1 : Les 4 points permettant d'identifier un Cloud
En plus de ces points indispensables, il ressort galement de ces travaux : Quil nest pas possible de savoir o se trouve une information particulire (do la notion de Cloud/nuage ). En effet, les fragments des donnes la constituant sont rpartis sur lensemble des supports/devices composant le Cloud, et seule une application de restitution peut les localiser pour reconstituer les donnes et fournir une information complte. Cette facult de distribuer des donnes permet dtendre un Cloud plusieurs datacenters disposs dans des lieux gographiquement loigns et relis par des rseaux hauts dbits. Mais de nombreuses offres de Cloud se limitent une rpartition sur un ensemble de serveurs dans un unique datacenter.
Que la granularit de la fragmentation est importante. o En effet, si les fragments sont trop signifiants, il sera possible den lire le contenu, mais aussi les traitements - pour une plus grande fragmentation - seront donc plus nombreux. Mars 2013 Le point de vue des grandes entreprises
5 Fondamentaux du Cloud Computing
o Si les fragments sont trop petits (au-del du ncessaire scuritaire), ce sera le nombre daccs ncessaires pour reconstituer les donnes dune information qui pourra tre pnalisant en termes de performances. En tout tat de cause, la fragmentation des donnes augmente la fiabilit et la scurit mais peut ralentir leur agrgation. Dans ce cas, la qualit du rseau est importante, notamment dans le cas dun Cloud qui sappuie sur plusieurs datacenters relis entre eux.
Que la reconstitution des donnes pour la dlivrance dune information, lexcution dune application ou laccs une fonction constitue le service fourni.
Que cette dfinition peut sappliquer de manire identique quel que soit le modle de service mis en uvre : IaaS, PaaS ou SaaS. En termes de mise en uvre, dinfrastructure et de scurit, il est alors de possible de dduire plusieurs lments importants issus des quatre points cits prcdemment : La perte dune partie dun Cloud (une machine par exemple) na pas deffet sur les informations puisquelles sont dupliques et rparties sur plusieurs machines ou sur plusieurs sites. Une donne est donc stocke en de multiples endroits. Dans ce cas, la sauvegarde des serveurs dun Cloud est-elle toujours ncessaire ? De mme, si un Cloud venait manquer de ressources dans les serveurs existants, il est alors possible dajouter des devices 12 supplmentaires. Un Cloud sadapte alors naturellement la volumtrie ncessaire, il est dimensionnable. Cette particularit permet notamment dutiliser de manire optimum lespace disponible : dans un Cloud les donnes remplissent la place disponible plutt que dtre assignes des espaces dtermins. Certains membres du CIGREF, en passant de datacenters classiques un Cloud, ont diminu considrablement le nombre de serveurs mis en uvre. De la mme faon, le vol (ou la dlivrance) des donnes dun serveur ou dun ensemble de serveurs ne permet pas de lire les informations sy trouvant stockes puisque chacune delles ne contient que des fragments de donnes. Seul le programme de reconstitution des informations ( la console de restitution ) est capable de faire le lien entre les fragments. Si en plus les donnes ont t cryptes (avec une cl RSA par exemple) avant dtre fragmentes, la lecture des fragments en direct devient quasi impossible. Ce point particulier dpend nanmoins du niveau de 12 Essentiellement des serveurs, mais il est possible dimaginer dans labsolu dutiliser les espaces de disque disponibles sur nimporte quelle machine (serveurs, desktop, laptop etc.) raccorde un rseau. Mars 2013 Le point de vue des grandes entreprises
6
Fondamentaux du Cloud Computing
fragmentation des donnes, des gros fragments seront plus signifiants et permettront de lire plus dinformation. En termes de protection et de scurit, llment critique nest donc pas le Cloud en lui-mme avec ses serveurs de donnes, mais lapplication (ou console) de restitution qui permet de reconstituer les donnes ncessaires la dlivrance du service. Cest elle quil faut protger. Il faut notamment se soucier de son emplacement gographique et de quelle lgislation elle dpend (par exemple dans le cadre du Cloud dun prestataire). PROJECTION SUR LES MODLES DE SERVICES Le Cloud Computing est donc une solution qui fournit un espace dans lequel il est possible de placer, de manire virtuelle, des infrastructures serveur ou rseau, des plateformes de dveloppement ou dexcution, des catalogues de service etc. Un Cloud est ainsi capable de traiter les diffrentes couches du modle as a service , de linfrastructure jusqu lutilisateur. CLOUD & IAAS - INFRASTRUCTURE AS A SERVICE Il ne faut pas confondre une infrastructure Cloud et un Cloud dinfrastructure : une infrastructure Cloud correspond lensemble des ressources logicielles et matrielles qui sont ncessaires la constitution du Cloud. Cette infrastructure est particulirement ncessaire lorsquune entreprise met en place son propre Cloud en interne un Cloud dinfrastructure est le service rendu par le Cloud : une infrastructure virtuelle sur laquelle il est possible de btir une solution applicative par exemple. Cest ce qui est fourni une entreprise dans le cas dun Cloud dinfrastructure externe. Le IaaS concerne essentiellement les Clouds dinfrastructure. Ces derniers fournissent la demande un ensemble de services de niveau bas , cest dire des serveurs, rseaux etc. Cela permet ainsi une entreprise cliente de pouvoir bnficier de la puissance dune infrastructure, ponctuellement, sans devoir investir beaucoup. Lorsquil y a une certitude de variations fortes de charge, ou une incertitude sur la capacit dune infrastructure dlivrer un service, le Cloud Computing est alors une solution trs adapte : par exemple pour des besoins de type paie, messagerie ou ditique (cration Mars 2013 Le point de vue des grandes entreprises
7 Fondamentaux du Cloud Computing
massive et ponctuelle de documents). De plus le Cloud peut permettre de tirer parti au maximum du partage du matriel (processeurs, disques etc.). Dans un Cloud dinfrastructure, lutilisateur, ou lentreprise cliente, est matre de son environnement virtuel et peut y installer ce que bon lui semble. De nombreuses offres proposent, par exemple, linstallation de serveurs virtuels, configurables la demande, sur lesquels il sera possible dexcuter ses applications. Remarque : Le groupe de travail du CIGREF note quil est ncessaire de trouver le bon acteur capable daccompagner le client. Et il prcise que ce nest pas facile, car il devra avoir une double casquette : infrastructure mais aussi service et usage pour aider les quipes grer et mettre en uvre sa solution. Aujourdhui pour le IaaS, on voit se dessiner une offre venant essentiellement des constructeurs, des oprateurs et des hbergeurs. CLOUD & PAAS - PLATEFORM AS A SERVICE Si le IaaS concerne essentiellement la production et lexploitation, le Cloud de niveau PaaS concerne les dveloppeurs et les producteurs dapplications, soit deux niveaux de service : les plateformes de dveloppement, et les applications qui fournissent le service du niveau suprieur (SaaS). Le PaaS permet, par exemple, de mettre disposition des dveloppeurs un framework de dveloppement adapt leurs besoins. Il permet aussi de donner aux applications un cadre dexcution qui produira des services SaaS (par exemple Salesforce). Remarque : Attention, les ressources requises par une application en mode PaaS peuvent dpendre du nombre important de clients qui y accdent en mode SaaS (par exemple pour la consommation de bande passante) et dans ce cas, le service de fourniture dune plateforme peut tre factur, par certains oprateurs, comme une plateforme de production classique, c'est--dire au nombre de licences utilisateurs et non pas avec un abonnement global au service. Mars 2013 Le point de vue des grandes entreprises
8 Fondamentaux du Cloud Computing
CLOUD & SAAS - SOFTWARE AS A SERVICE Le Cloud de niveau SaaS reprsente le plus souvent un catalogue dapplications accessibles en mode service aux utilisateurs ou clients finaux. Dans le mode SaaS, lusage prime sur la solution : on parle de service de messagerie, de CMS, de service dachat dans des boutiques en ligne, de service daccs des bibliothques etc. Lapplication est dj construite et oprationnelle, il ny a pas vritablement de dveloppement mais plutt du paramtrage ; do le succs de ce modle de service : il concerne et met la porte de nimporte qui tout un ensemble de services modelables et personnalisables trs simplement.
(Source CIGREF 2013) Figure 2 : Structuration des diffrents Clouds par rapport au modle de service
Pour une entreprise, lutilisation dun Cloud en mode SaaS peut tre particulirement pertinente dans les phases de maquettage ou de prototypage car cela permet, dans un dlai trs court et pour un cot rduit, dvaluer une solution, de pouvoir la tester sans mettre en uvre des ressources propres, puis de linternaliser, le cas chant, si le rsultat est concluant. Cest cette facilit dusage qui sduit notamment les directions mtiers. Elles peuvent, avec ce type de solutions, valider un concept (marketing par exemple), voire en tester plusieurs, faire des choix mtiers indpendamment du systme dinformation de lentreprise ; avec la possibilit dimpliquer immdiatement dautres acteurs (clients, partenaires) dans la rflexion. Et ceci en saffranchissant de laval de la DSI. Mars 2013 Le point de vue des grandes entreprises
9 Fondamentaux du Cloud Computing
Cest cette facilit dusage qui inquite nanmoins la DSI, car elle peut entraner des choix disjoints de la politique SI de lentreprise, notamment en termes dintgration ou de scurit. MODLE AS A SERVICE VS MODLE ASP Attention, on peut confondre le as a Service et ce que lon appelait auparavant le mode ASP (Application Service Provider). Si les concepts peuvent paratre proches, il y a des diffrences notables : Les applications sappuyant sur le modle as a Service ont t nativement conues pour le web et utilisent une architecture multi-tenant 13 . o En mode as a Service , lenvironnement de production est mutualis et virtualis : il ny a quune seule et mme instance pour tous les clients. Alors quen mode ASP, il y a une instance par client. o En mode ASP, la customisation est possible mais ncessite des dveloppements spcifiques ; en mode SaaS la personnalisation ne peut se faire que par le paramtrage car il nexiste quun seul et mme standard pour tous. Les montes de version en mode ASP, pour les raisons exposes ci-dessus, sont beaucoup plus complexes, problmatiques (et donc coteuses) quen mode as a Service , a fortiori si lapplication a fait lobjet de dveloppements spcifiques pour certains clients. Pour illustrer la diffrence entre les deux modes, on peut citer, par exemple, deux solutions leaders sur le march des applications Achat ayant des modles compltement diffrents : Ariba (100% SaaS) et Synertrade (100% ASP). LES TYPOLOGIES DU CLOUD COMPUTING Aujourdhui il nest pas toujours facile davoir une description simple dun Cloud et une explication claire des typologies concernes par les offres des fournisseurs. Il suffit de poser la question Quest-ce quun Cloud et quelles sont ses typologies ? lors dun vnement pour sen rendre compte. Or la clart des offres doit contribuer garantir la qualit des services proposs par la DSI aux directions Mtiers clientes. 13 Une architecture multi-tenant met en uvre une seule instance dapplication, mais utilisable pour tout un ensemble de clients de diffrentes natures. Mars 2013 Le point de vue des grandes entreprises
10
Fondamentaux du Cloud Computing
Le groupe de travail du CIGREF sest donc intress aux diffrentes typologies de Cloud Computing qui peuvent tre mises en uvre. La rflexion a t organise autour de deux notions : 1. Qui gre le Cloud ? : lentreprise elle-mme ou un oprateur de Cloud ? Le groupe a choisi dutiliser les termes suivants : Cloud interne dans le cas o cest lentreprise qui est matre de la gestion du Cloud, avec ses propres ressources. Cloud externe dans le cas o la gestion du Cloud est matrise par un prestataire oprateur de Cloud. 2. Qui est le client du service offert par le Cloud ? : lentreprise elle-mme ou une organisation externe (fournisseur, partenaire, filiale, etc.), voire le grand public (les clients de lentreprise par exemple) ? Le groupe de travail a choisi dutiliser les termes suivants : Cloud priv sil est ddi aux besoins propres de lentreprise. Cloud ouvert sil est ouvert au grand public ou une autre organisation externe lentreprise (fournisseur, partenaire, filiale etc.) Au final, 4 typologies ont t identifies. Chacune delles ne concerne pas toutes les entreprises, mais elles sont reprsentatives de ce quune DSI peut tre conduite envisager. Les typologies peuvent aussi tre mlanges, par exemple un GIE peut grer un Cloud interne, et offrir des services privs pour lentreprise et publics dautres entreprises. De mme un Cloud interne peut avoir besoin de stendre ponctuellement et donc de dborder sur un Cloud externe : on parlera alors de Cloud hybride.
(Source CIGREF 2013) Figure 3 : Les typologies du Cloud Computing Mars 2013 Le point de vue des grandes entreprises
11 Fondamentaux du Cloud Computing
1. CLOUDS GRS EN INTERNE ET USAGE PRIV Ce sont les solutions compltement gres par la DSI. La DSI peut faire ventuellement appel un prestataire (type infogrant) mais elle garde la matrise complte de la solution. Les solutions de Clouds internes et privs permettent de mettre disposition un catalogue de services internes et de se positionner comme une alternative oprationnelle aux services existants sur Internet. Elles permettent aussi une meilleure agilit et une qualit de service accrue, au dtriment peut-tre des dveloppements spcifiques qui ne sont plus possibles 14 . Nanmoins comme lentreprise en a la matrise, grer quelques particularits des clients en personnalisant le paramtrage des instances est toujours possible. Les retours dexpriences ont aussi montr que la mise en uvre dun Cloud interne peut permettre doptimiser lutilisation des ressources dun datacenter et de prenniser une infrastructure. En termes de scurit, tous les grands groupes ont dfini une politique de scurit entrant dans le cadre de la gouvernance du SI. Les serveurs supportant un Cloud interne sont donc contraints respecter cette politique de scurit. Il ny a donc pas de disposition supplmentaire prendre. Voici quelques exemples de Clouds internes usage priv, suivant les couches de service concernes : SaaS : espaces collaboratifs internes PaaS : plateformes de serveurs de dveloppement la demande (dveloppement web : ViFiB) IaaS : dploiement de serveurs virtuels la demande (ViFiB, VMware, EMC, IBM, HP, ) Remarques : 1. Il y a eu dbat au sein du groupe de travail du CIGREF sur lintrt de la mise en uvre dun Cloud Interne usage priv pour lentreprise. Si la plupart des participants au GT conoivent, dans leur contexte, lintrt dun Cloud, dautres y voient un concept marketing sans relle valeur ajoute vis--vis des infrastructures traditionnelles. Pour ces derniers, lintrt du Cloud Computing nest alors peru que comme une solution externe lentreprise. 14 Un Cloud offre un service gnrique lensemble de ses clients. Mars 2013 Le point de vue des grandes entreprises
12
Fondamentaux du Cloud Computing
2. Certains membres du groupe de travail pensent aussi quil y a une taille minimum (pour toutes les couches du modle de service) pour quun Cloud soit utile et efficace : par exemple un certain nombre de serveurs pour du IaaS ; un primtre applicatif suffisant pour une plateforme PaaS ; un catalogue assez toff de services pour le SaaS. Aucun lment quantitatif na cependant t donn. 2. CLOUDS GRS EN EXTERNE ET USAGE PRIV Ce sont des solutions qui permettent la DSI de ne pas investir dans une infrastructure spcifique, avec les processus accompagnant sa mise en uvre, et les comptences ncessaires. Cela ncessite nanmoins un minimum dtudes et dveloppements indispensables en termes dintgration avec lexistant 15 . Le choix dinvestissement dans la mise en uvre dun Cloud interne vs la location de services dans un Cloud externe est li la politique long ou court terme de lentreprise, sa taille, au nombre dutilisateurs. Dans cette typologie la relation avec le fournisseur volue. Des problmatiques nouvelles mergent en termes de localisation des donnes, dinteroprabilit des systmes et de rversibilit des applications. La contractualisation avec le prestataire ncessite alors un point dattention particulier. De manire gnrale, on nachte plus une licence, on sabonne un service . Dans le cas dune location de services, plusieurs membres du groupe de travail saccordent dire quelle est conomiquement intressante sur des dures de quelques semaines ou quelques mois, mais pas sur du long terme. Quand le modle de licence est possible, le ROI 16 semble plus intressant sur du long terme, mais avec lvolution des technologies, des usages, et surtout des politiques dentreprises, il nest pas possible de se projeter au-del de 3/4 ans. Labonnement prvaut donc avec succs. En termes de scurit, la problmatique du Cloud externe est diffrente de celle du Cloud interne : la politique de scurit du fournisseur nest pas maitrise par le client. Or dans ce cas prcis, le fournisseur doit pouvoir garantir la scurit des donnes du client. Il doit avoir une gouvernance adapte au client, sinon il y a risque dallgeance la politique du fournisseur. La question est donc de savoir comment influencer un fournisseur de Cloud 15 Le legacy 16 ROI : Return Of Investment (retour sur investissement) Mars 2013 Le point de vue des grandes entreprises
13
Fondamentaux du Cloud Computing
pour que le contrat ne soit pas compltement gnrique, notamment sur les questions de scurit des donnes 17 . Lusage dun Cloud externe et priv implique aussi de bien dfinir le primtre des services attendus. Ce primtre doit aller au-del des services logiciels et techniques, il doit pouvoir englober des expertises mtier pour tre performant et pertinent dans les phases de paramtrage, formation et conduite du changement. Si ces prestations mtier peuvent faire lobjet dun contrat de prestations avec une socit de conseil, il semble prfrable de responsabiliser le fournisseur de la solution en lui confiant une responsabilit de matre duvre avec une obligation de bonne fin. Enfin, une zone dombre persiste, lie au modle en couches : le prestataire sengage sur la couche de service concerne par le contrat, mais quen est-il des couches infrieures 18 ? Aucune rponse na pour le moment t trouve dans les diffrentes offres. Voici quelques exemples de Clouds externes usage priv suivant les couches de service concernes : SaaS : Suites bureautiques en ligne (Google Apps, Office 365), CRM (Salesforce), services de vente en ligne (Amazon) PaaS : Environnements de dveloppement (Oracle PaaS, Salesforce, ViFiB, ) IaaS : Location dinfrastructures virtuelles (OVH, Amazon, Numergy, CloudWatt, Cheops Technology, Intrinsec, ) 3. CLOUDS GRS EN INTERNE ET USAGE OUVERT Cette typologie concerne le plus souvent les organisations (comme les GIE 19 ) qui offrent des services en interne lentreprise et en externe des clients. Lentreprise est alors elle- mme Oprateur de Cloud . Dans ce cas de figure, les contraintes et remarques identifies prcdemment pour un Cloud externe usage priv, sappliquent mais de manire inverse : Savoir rpondre aux problmatiques de localisation des donnes, dinteroprabilit des systmes et de rversibilit des applications. Bien choisir le modle conomique : licence ou abonnement. 17 A ce sujet, de plus amples informations se trouvent dans le rapport ( paraitre) CIGREF/AFAI/IFACI Cloud Computing et protection des donnes. Guide pratique lattention des directions gnrales et oprationnelles 18 Hormis le IaaS qui est la couche la plus basse. 19 GIE : Groupement dIntrt conomique Mars 2013 Le point de vue des grandes entreprises
14
Fondamentaux du Cloud Computing
Sappuyer et communiquer sur sa propre gouvernance de la scurit pour garantir la scurit des donnes de son client. Dterminer le primtre des services offerts. Apporter une rponse sur lengagement sur les couches de services infrieures celle du service propos. Voici quelques exemples de Clouds internes usage ouvert suivant les couches de service concernes : SaaS : site web cl en main de type CMS pour une entreprise franchise PaaS : offre de plateforme de dveloppement la demande (Free Cloud Alliance, ), paramtrage de configuration virtuelle (VMWare, ) IaaS : offre de serveurs virtualiss (VMWare, IBM, HP, Free Cloud Alliance, ) 4. CLOUDS GRS EN EXTERNE ET USAGE OUVERT Cette typologie correspond, par exemple, aux cas des directions Mtiers qui sadressent directement aux oprateurs de service, pour mettre en place un Cloud de service destination de populations externes lentreprise comme les clients ou les partenaires. Cette situation, reconnue par de nombreuses entreprises membres, est donc singulire car elle permet aux directions mtiers de saffranchir , a priori, de la DSI. Cette typologie permet aussi souvent aux directions Mtiers de challenger la DSI dans sa capacit offrir un service quivalent en termes dusage, de cot, de dlai et de performances. Au-del de la communication ncessaire entre la DSI et les directions mtiers, le rle de la DSI est donc dans ce cas, de conseiller le client dans le choix du Cloud appropri son besoin, dviter les redondances avec le systme dinformation existant, ou les trous de scurit inopins crs par des raccords sauvages sur le SI de lentreprise. Voici quelques exemples de Clouds externes usage ouvert suivant les couches de service concernes : SaaS : rseaux sociaux publics ou professionnels (Facebook, Google+, LinkedIn), publication ou mise en ligne de produits dans des magasins numriques (AppleStore, Amazon) PaaS : plateformes de dveloppement dapplications mobiles (Kawet), paramtrage de configuration virtuelles (VMware), ou dhbergement dapplications (Windows Azure), dveloppement web (ViFiB) IaaS : espaces de stockage de donnes (iCloud, SkyDrive, Google Drive, DropBox, CloudWatt, Numergy, oprateurs tlcoms : Orange, SFR, Bouygues Telecoms) Mars 2013 Le point de vue des grandes entreprises
15 Fondamentaux du Cloud Computing
CONSEILS ET BONNES PRATIQUES Les tableaux qui suivent contiennent un ensemble de conseils et de bonnes pratiques concernant les 4 typologies de Cloud. Cette liste nest pas exhaustive, elle est issue des multiples changes et retours dexprience effectus lors des runions du groupe de travail. Ces conseils et bonnes pratiques ont t regroupes en 5 catgories : A. Juridique B. Scurit et risques C. RH et comptences D. Donnes et audit E. Infrastructures Mars 2013 Le point de vue des grandes entreprises
16 Fondamentaux du Cloud Computing
1. Cloud Interne Priv Lentreprise gre un Cloud pour son usage interne 2. Cloud Externe Priv Lentreprise utilise un Cloud gr par un oprateur externe pour son usage interne A. JURIDIQUE CONTRAT Veiller aux contrats avec les diteurs et constructeurs (notamment la structure tarifaire des licences et la dpendance avec linfrastructure) pour les logiciels dploys sur le Cloud Interne. Etablir une offre de service interne pour cadrer les prestations et engagements vis--vis des usagers internes. Veiller aux contrats avec les oprateurs de Cloud, et notamment que loprateur fournit des niveaux de service diffrencis (SLA). Contractualiser un engagement dassistance du fournisseur pour une rcupration des donnes (en cas de faillite, fin de contrat). Veiller aux contrats de licence pour les logiciels dploys sur le Cloud. Attention, un contrat SaaS ou ASP est assez complexe construire car il doit reposer sur des obligations relevant de diffrents types de contrats (contrat de licence, TMA, infogrance, hbergement, assistance technique). Si le fournisseur dune solution SaaS utilise des modules applicatifs qui ne lui appartiennent pas, il faut bien sassurer que le ou les fournisseurs de ces modules sont engags contractuellement sur toute la dure de votre propre contrat. Mars 2013 Le point de vue des grandes entreprises
17 Fondamentaux du Cloud Computing
1. Cloud Interne Priv Lentreprise gre un Cloud pour son usage interne 2. Cloud Externe Priv Lentreprise utilise un Cloud gr par un oprateur externe pour son usage interne RESPONSABILIT Couvrir les risques dun usage dtourn de la donne (ex : charte IT interne lentreprise, annexe spcifique dans les conditions contractuelles dachat de prestation). Dfinir les moyens permettant didentifier les responsabilits en cas de perte ou daltration de la donne (traabilit, contrle, audit). Obtenir de loprateur des garanties ou a minima les modalits mises en uvre pour couvrir les risques dun usage dtourn de la donne. Exiger que les responsabilits puissent tre dtermines en cas de perte ou daltration de la donne. PRIX Sassurer que les prix/conditions sont garantis dans le temps (notamment dans le cas du rachat du fournisseur par un autre...) Sassurer que les prix sont bien assujettis sur un usage on demand c'est--dire que lon peut rduire le nombre dutilisateurs et donc les frais (mensuels, annuels) si lactivit le justifie. RVERSIBILIT Formaliser les conditions de rversibilit. PROPRIT Sassurer de la proprit intellectuelle sur les processus mtier et les donnes de lentreprise qui sont sur le Cloud. Avoir des garanties quant la proprit et la localisation des donnes (en termes de pays pour les aspects de rglementation). valuer limpact du Patriot Act dans le cas dun prestataire amricain. Mars 2013 Le point de vue des grandes entreprises
18 Fondamentaux du Cloud Computing
1. Cloud Interne Priv Lentreprise gre un Cloud pour son usage interne 2. Cloud Externe Priv Lentreprise utilise un Cloud gr par un oprateur externe pour son usage interne B. SCURIT & RISQUES PRA/PCA Repenser et adapter les procdures de PRA/PCA Mtier internes lentreprise. Prvoir les tests de PRA. Repenser et adapter les procdures douverture et de synchronisation des flux ainsi que les procdures de PCA Mtier internes lentreprise. Remarque : Vrifier lapplicabilit dun PRA/PCA implique de sassurer au pralable que cest possible avec la solution externe propose. GARANTIES Obtenir des garanties sur les dlais de reconstruction flux ferms des applications externalises. Rexaminer les contraintes et recommandations de la CNIL au regard de lenvironnement externalis. CONTRAINTES PRESTATAIRE Exiger du prestataire quil soit certifi ISO 27001 ou label SAS 70 type II afin de garantir aux utilisateurs que toutes les obligations de scurit sont bien respectes. Exiger du prestataire la liste de tous les lieux de stockage des donnes, y compris les sites de secours. Mars 2013 Le point de vue des grandes entreprises
19 Fondamentaux du Cloud Computing
1. Cloud Interne Priv Lentreprise gre un Cloud pour son usage interne 2. Cloud Externe Priv Lentreprise utilise un Cloud gr par un oprateur externe pour son usage interne C. RESSOURCES HUMAINES COMPTENCES Besoin de comptences plutt techniques, support et virtualisation. Certaines comptences peuvent voluer dun profil doprateur technique vers un profil danalyste ou de dveloppeur dautomatismes. Disposer de comptences mtiers permettant de comprendre et danticiper les besoins et les usages que les mtiers peuvent faire dun Cloud, pour viter par exemple quils fassent appel un Cloud externe. Mme si on a moins besoin de comptences techniques et de support aux oprations il faut conserver un noyau dexpertise technique, notamment dans le cadre des rversibilits ou du dclenchement de PRA/PCA. Renforcer les comptences en matire de contrat, dachat et de juridique. Se recentrer sur le mtier tout en conservant le volume de comptences techniques cls en interne, pour la gestion des infrastructures internes restantes, pour garantir linteroprabilit entre linterne et lexterne. Limplication et, surtout, la disponibilit des utilisateurs sont essentielles pendant les phases de paramtrage, recette et migration. Le dploiement dun projet SaaS sans la mobilisation des clients utilisateurs de loutil est vou lchec. Le succs du dploiement dune solution SaaS est notamment proportionnel linvestissement ralis dans la conduite du changement (information, formation, communication, coaching ). Un fournisseur dune solution SaaS doit avoir des comptences mtier en rapport avec lapplication quil fournit, cest l sa vraie valeur ajoute. Le fournisseur ne doit pas seulement se contenter de mettre disposition du client un outil, il doit aussi apporter de la valeur business permettant au client dautomatiser et doptimiser ses processus. Dans certains cas, la Mars 2013 Le point de vue des grandes entreprises
20 Fondamentaux du Cloud Computing
1. Cloud Interne Priv Lentreprise gre un Cloud pour son usage interne 2. Cloud Externe Priv Lentreprise utilise un Cloud gr par un oprateur externe pour son usage interne solution SaaS valeur ajoute (accompagne de services mtier) peut mme rpondre des besoins de Business Process Outsourcing (BPO) pour les entreprises qui souhaitent externaliser tout ou partie de leurs fonctions mtiers (Finance, RH, Achat ). Les comptences mtier du prestataire sont trs importantes pendant la phase de paramtrage de loutil. Cette phase ne doit pas tre nglige car elle correspond la phase de conception de loutil. Et au cours de cette phase, il peut tre trs utile de travailler sur la rationalisation, la standardisation, voire loptimisation des processus mtier existants, avant de se lancer tte baisse dans le paramtrage. ORGANISATION Attention, certaines solutions Cloud concentrent les responsabilits techniques et financires : une modification dans le Cloud peut alors dclencher immdiatement un engagement financier. La mobilit des utilisateurs est offerte par les services dun Cloud, cela peut avoir des impacts sur les contrats de travail.
Mars 2013 Le point de vue des grandes entreprises
21 Fondamentaux du Cloud Computing
1. Cloud Interne Priv Lentreprise gre un Cloud pour son usage interne 2. Cloud Externe Priv Lentreprise utilise un Cloud gr par un oprateur externe pour son usage interne D. DONNES & AUDIT AUDIT Pas de modification particulire par rapport une exploitation interne traditionnelle. Prvoir les conditions daudit de la scurit et du service. Prvoir dans le contrat une clause daudit technique et daccs aux locaux du prestataire. LOCALISATION Loprateur du Cloud doit pouvoir fournir des informations sur la localisation des donnes dans ses datacenters. Loprateur doit pouvoir garantir les risques dun usage dtourn de la donne. RESPONSABILIT Loprateur doit tre en mesure de dterminer les responsabilits en cas de perte ou daltration de la donne. DONNES Sassurer que loprateur puisse garantir lentreprise cliente la conservation de la proprit intellectuelle sur les processus mtier et les donnes du client. Si des donnes caractre personnel sont gres sur les serveurs du Mars 2013 Le point de vue des grandes entreprises
22 Fondamentaux du Cloud Computing
1. Cloud Interne Priv Lentreprise gre un Cloud pour son usage interne 2. Cloud Externe Priv Lentreprise utilise un Cloud gr par un oprateur externe pour son usage interne fournisseur, le client doit procder lensemble des obligations qui lui incombent dans le cadre de la loi de janvier 1978 Informatique & Libert . Des autorisations CNIL sont donc ncessaires (mme dans le cas dun Cloud externe priv). Dans le cas o les donnes sont stockes sur des serveurs localiss dans des pays en dehors de lUnion Europenne, une autorisation spciale de transfert des donnes doit tre demande la CNIL. Migration des donnes : prparer les donnes migrer, mais laisser au prestataire la responsabilit de la migration. Le diable est dans le dtail et en matire de migration, il ny a que des dtails grer. E. INFRASTRUCTURES La solution sappuie sur le rseau de lentreprise. Lentreprise doit garder la matrise de lintgration de la solution Cloud dans linfrastructure existante. Lentreprise doit garder la maitrise de la structure tarifaire des licences des outils constituant le Cloud. Etre vigilant sur le rseau informatique qui donne accs au fournisseur de Cloud : qualit de service, disponibilit, mesures Savoir faire face aux mises niveau de linfrastructure reste internalise, induites par les volutions techniques du Cloud externe (en particulier sur les postes de travail). Vrifier qui gre les infrastructures du Cloud : loprateur lui-mme ou lun de ses sous-traitants. Dans ce dernier cas, demander avoir des informations sur le contrat qui les lie.
Mars 2013 Le point de vue des grandes entreprises
23 Fondamentaux du Cloud Computing
3. Cloud Interne Ouvert Lentreprise gre un Cloud ouvert vers des organisations externes ou le grand public 4. Cloud Externe Ouvert Lentreprise utilise un Cloud gr par un oprateur externe pour un usage tourn vers des organisations externes ou le grand public A. JURIDIQUE CONTRAT Lentreprise offrant un service de Cloud, elle doit sinterroger sur les modalits du service quelle offre. Font-elles partie dune offre globale ou peuvent-elles tre ngociables ?
Les modalits du contrat dpendent de loffre fournisseur, elles peuvent tre difficilement ngociables. Loffre multi-device (notamment sur les outils mobiles) est souvent prsente pour rpondre au march mais il nest pas garanti quelle fasse rellement partie du contrat. RESPONSABILIT Prciser les engagements de lentreprise en termes de PRA. Bien dterminer le primtre de responsabilit du client du Cloud en cas de PRA/PCA. Dans la ngociation dun SLA avec le client, dfinir le primtre de ladministration fonctionnelle le cas chant. Dfinir les modalits de publication de la roadmap technique de lentreprise afin de permettre aux clients de prparer et mettre en uvre les adaptations le cas chant. Fournir un PRA/PCA implique de sassurer au pralable que cest possible avec la solution externe propose. Lentreprise ne matrise pas lvolution de la plateforme, elle doit donc se tenir informe de la roadmap de la solution administre pour en informer ses clients. Mars 2013 Le point de vue des grandes entreprises
24 Fondamentaux du Cloud Computing
3. Cloud Interne Ouvert Lentreprise gre un Cloud ouvert vers des organisations externes ou le grand public 4. Cloud Externe Ouvert Lentreprise utilise un Cloud gr par un oprateur externe pour un usage tourn vers des organisations externes ou le grand public RVERSIBILIT Dfinir les formats supports pour la restitution de donnes. Dfinir les formats supports pour la restitution de donnes. Garantir au client une rversibilit des donnes implique de sassurer au pralable que cest possible avec la solution externe propose. INTEROPRABILIT Linteroprabilit de la plateforme dpend des choix darchitecture interne lentreprise et doit sadapter aux besoins des clients. La mise en uvre de solution Open source dans un Cloud interne ncessite de dfinir un processus dinformation, vers les clients, sur les licences. Linteroprabilit de la plateforme dpend de la solution choisie. Pour un Cloud externe, il est difficile de savoir si des modules Open source sont mis en uvre, lesquels et leurs modes de licence ; et donc de prvoir les incidences sur les clients. PRIX Lentreprise peut dfinir son pricing en fonction de critres matriss (investissement, usage, volumtrie, niveau de service, besoins des clients etc.), mais attention la dpendance tarifaire avec certains fournisseurs, notamment les diteurs des logiciels constituant le Cloud. Lentreprise qui utilise un Cloud externe ouvert est dpendante des prix pratiqus par son oprateur de Cloud. Dans le cas o elle offre un service externe lentreprise, elle peut tre amene le faire payer. Sa tarification devra suivre celle de son oprateur. Mars 2013 Le point de vue des grandes entreprises
25 Fondamentaux du Cloud Computing
3. Cloud Interne Ouvert Lentreprise gre un Cloud ouvert vers des organisations externes ou le grand public 4. Cloud Externe Ouvert Lentreprise utilise un Cloud gr par un oprateur externe pour un usage tourn vers des organisations externes ou le grand public B. SCURIT & RISQUES AUDIT Une solution interne doit tre auditable et soumise des tests dintrusion. DONNES La loi franaise impose une entreprise offrant un espace de stockage de donnes, la connaissance de la localisation des donnes. Sinterroger sur la possibilit dassurer le client que ses donnes ne sont reconstituables que par lui (pour viter laccs dun tiers). La traabilit, larchivage et la rversibilit doivent tre garantis en termes de scurit. Sassurer du respect de la rglementation auprs de la CNIL. Les garanties offrir un client sont celles que lentreprise exigerait si elle sappuyait sur un oprateur de Cloud externe. La loi franaise impose une entreprise offrant un espace de stockage de donnes, la connaissance de la localisation des donnes. Mais si la solution nest pas fournie par un oprateur franais, la localisation des donnes nest pas garantie. La solution externe choisie doit rpondre aux contraintes de la CNIL. La garantie de laccs par lentreprise la reconstitution de ses donnes (pour viter laccs dun tiers) dpend de la solution choisie. La traabilit, larchivage et la rversibilit dpendent de la solution choisie. Il est difficile pour lentreprise offrant le service de les garantir. Une solution externe peut tre soumise des tests dintrusion mais est difficilement auditable car la localisation des donnes est difficilement possible. Mars 2013 Le point de vue des grandes entreprises
26 Fondamentaux du Cloud Computing
3. Cloud Interne Ouvert Lentreprise gre un Cloud ouvert vers des organisations externes ou le grand public 4. Cloud Externe Ouvert Lentreprise utilise un Cloud gr par un oprateur externe pour un usage tourn vers des organisations externes ou le grand public C. RESSOURCES HUMAINES COMPTENCES Pour un Cloud interne, les comptences sont plutt techniques, support et virtualisation. Certaines comptences peuvent voluer dun profil doprateur technique vers un profil danalyste ou de dveloppeur dautomatismes. La mobilit des utilisateurs est offerte par les services dun Cloud, cela peut avoir des impacts sur les contrats de travail. Pour un Cloud externe, les comptences couvrent les aspects techniques et support, mais aussi achat et juridique. D. AUDIT & DONNES DONNES Lentreprise doit pouvoir fournir des informations sur la localisation (gographique) des donnes dans ses propres datacenters. Couvrir les risques dun usage dtourn de la donne. Obtenir les informations sur la localisation (gographique) des donnes. Lentreprise doit sinformer sur ses moyens daction sur la solution en cas dun usage dtourn de la donne. Mars 2013 Le point de vue des grandes entreprises
27 Fondamentaux du Cloud Computing
3. Cloud Interne Ouvert Lentreprise gre un Cloud ouvert vers des organisations externes ou le grand public 4. Cloud Externe Ouvert Lentreprise utilise un Cloud gr par un oprateur externe pour un usage tourn vers des organisations externes ou le grand public RESPONSABILIT Lentreprise est responsable en cas de perte ou daltration de la donne. Garantir la conservation de la proprit intellectuelle sur les processus mtier et les donnes du client. Sinformer sur la responsabilit de lentreprise en cas de perte ou daltration des donnes. tudier limpact du Patriot Act dans le cas dun prestataire amricain. Sassurer de la conservation de la proprit intellectuelle sur les processus mtier et les donnes du client. E. INFRASTRUCTURES Linteroprabilit de la plateforme dpend des choix darchitecture interne lentreprise et peut sadapter aux besoins des clients. Il faut toutefois veiller respecter les standards simples du march en termes daccs ou dchange. Loffre multi-device (notamment sur les outils mobiles) nest pas simple mettre en uvre car il faut la dvelopper (il y a de nombreux devices diffrents et il en apparat rgulirement) et la maintenir dans le temps (les devices voluent trs rapidement).
Mars 2013 Le point de vue des grandes entreprises
28 Fondamentaux du Cloud Computing
CONCLUSION Le Cloud Computing est aujourdhui un lment cl de la transformation numrique des entreprises. Il permet ces dernires de se dgager de la contrainte technique au profit de lagilit et de ladaptation du service aux besoins des Mtiers. Il permet aussi de rpondre efficacement la problmatique de la mobilit en donnant accs aux informations et services en tous lieux. Au-del des diffrentes dfinitions identifies par le groupe de travail, qui sont ncessaires pour changer et faciliter la comprhension entre les diffrentes parties prenantes, le dfi de la DSI est de savoir marier les 4 typologies du Cloud Computing dcrites dans ce rapport. De fait, les entreprises devront, si ce nest dj fait, faire cohabiter des solutions externes et internes, ouvertes et prives. Dans ce patchwork de solutions qui sinstallent dans le SI de lentreprise, la valeur ajoute de la DSI est dy mettre de la cohrence, darchitecturer les services et de garantir une qualit de service constante et quivalente en externe comme en interne. Cest aussi de prenniser linfrastructure et larchitecture du SI en les transformant pour faire face lvolution de la stratgie de lentreprise mais aussi de lenvironnement dans lequel elle volue. Dans ce cadre, le rle de la DSI pourrait voluer vers un rle de courtier qui propose ses propres services internes mais aussi encapsule des services externes pour les intgrer et les proposer en interne. Le challenge est, en sappuyant sur une relation avec des mtiers de plus en plus mature, dtre suffisamment en amont des besoins (une veille auprs des directions Mtiers est indispensable) pour fournir et intgrer, sils sont pertinents, les services, tout en maitrisant la scurit, linteroprabilit, etc. Ce challenge comprend aussi ltablissement dun contrat qui, tout en protgeant le SI et lentreprise vis--vis de ses fournisseurs, garantit la prservation du service sur laccs, la qualit et les donnes, ainsi que la rversibilit, et ceci au-del de la priode contractuelle (dans le cas dun changement de contrat, les donnes doivent toujours tre accessibles tant que la migration na pas eu compltement lieu). Lmergence du cloud computing et des services associs constitue une mutation qui se traduit par des modles conomiques diffrents et des offres nouvelles ayant un impact important sur lcosystme des services dinformation des entreprises Le cloud computing est une solution combiner aux solutions SI existantes. La fonction SI a un rle dintgrateur ultime avec les processus mtiers et les autres solutions constituant le patrimoine applicatif de lentreprise tendue. Les offres de cloud computing doivent donc tre interoprables, rversibles et reposer sur des standards ouverts. Loffre de cloud computing doit tre source dinnovation pour les entreprises, en termes de financement, de sourcing, darchitecture et surtout de services diffrencis LEntreprise numrique Quelles stratgies ? (dcembre 2010) Mars 2013 Le point de vue des grandes entreprises