Contenu connexe
Similaire à DSI: préparez-vous à devenir cloud broker! (20)
DSI: préparez-vous à devenir cloud broker!
- 2. 2• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
Nous remercions l’ensemble de nos clients qui, fort de leur participation à l’Atelier Solucom, ont enrichi notre réflexion
sur le sujet.
Cette Synthèse a été rédigée avec la collaboration de Benoît Darde, Benoît Paroissin et Raphaël Tordjman (Solucom).
Thierry Debleds est senior manager chez Solucom.
Diplômé de Telecom ParisTech (ENST), il a à son actif près de quinze années de conseil
auprès des grands comptes. Il est responsable de la business line « Datacenter & Cloud
Services » au sein de la practice Architecture des systèmes d’information du cabinet
Solucom.
thierry.debleds@solucom.fr
Gérôme Billois est senior manager chez Solucom.
Diplômé de l’INSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans l’évaluation
et la mise en place de leur gouvernance sécurité et dans leurs projets de sécurisation de
l’information.
gerome.billois@solucom.fr
Julien Contal est manager chez Solucom.
Diplômé de l’UTBM, il accompagne depuis 10 ans nos clients dans leurs programmes de
transformation infrastructures. Il a développé une expertise pointue dans les approches
Cloud computing.
julien.contal@solucom.fr
Nicolas Thierry est manager chez Solucom.
Diplômé de Supélec, il intervient depuis 2003 auprès de DSI de grands comptes pour amé-
liorer leur performance opérationnelle et optimiser leurs processus. Il possède également
une forte expertise en définition et mise en place d’offres de service.
nicolas.thierry@solucom.fr
- 3. Janvier 2014 - Les Synthèses © Solucom 3•
ÉDITO
Le Cloud computing : une révolution annoncée
C’est absolument certain : le Cloud computing va révolutionner notre manière de concevoir, de gérer et d’utiliser le
système d’information !
Le grand public est aujourd’hui le premier bénéficiaire de cette transformation qui bouleverse tout l’écosystème de l’IT.
Mais les grandes entreprises doivent dès aujourd’hui rapidement saisir les opportunités apportées par ce nouveau modèle
de « consommation » de l’IT, et ceci pour au moins trois raisons :
Premièrement parce que ce sera un gage de compétitivité.
Deuxièmement parce que ce sera le plus sûr moyen de suivre le rythme des évolutions technologiques vécues par le grand
public et donc par les clients et les collaborateurs de l’entreprise.
Et troisièmement parce que ce sera la meilleure manière pour les entreprises, en se « débarrassant » de tout ce qui relève
de besoins « standards », de concentrer leurs efforts et leurs moyens sur ce qui crée une valeur différenciante pour leur
cœur de métier.
Les DSI ne doivent pas seulement se limiter à accompagner cette transformation : ils doivent l’impulser !
Et il ne s’agit pas seulement pour eux de construire des clouds d’infrastructures privés, certes utiles pour accélérer les
mutualisations, mais qui ne sont pas une révolution en soi. Il s’agit bien d’accompagner et fédérer les usages de services
« totalement Cloud » tout en veillant à leur bonne intégration avec le SI.
Pour cela, de nombreux leviers sont à actionner tant sur le plan des compétences, du modèle économique, de l’intégration
au sein du SI que de la sécurité.
Cette Synthèse consacrée au Cloud a justement pour objectif d’analyser ces différents leviers, en identifiant les trajectoires
qui permettront à la DSI d’incarner progressivement son nouveau rôle de « Cloud broker ».
Bonne lecture à tous !
Laurent Bellefin,
directeur associé du cabinet Solucom
- 4. 4• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
Le Cloud : quelle réalité derrière les nuages ?
Une réalité marché derrière le
marketing du Cloud
Phénomène confidentiel connu
dans les startups du web au début
des années 2000, le « Cloud com-
puting » est aujourd’hui devenu le
« Cloud ». Concept de consommation
à la demande de ressources informa-
tiques plus que de technologies en
particulier, il s’est d’abord épanoui au
travers des offres grand public : stoc-
kage de fichiers, accès mails, outils
bureautiques, sans oublier les réseaux
sociaux… Les utilisateurs s’y sont
habitués, inscrivant cette nouvelle
façon de consommer dans les mœurs :
accessibilité par internet, attractivité
des coûts et ergonomie des services.
Au-delà de ces usages grand public,
les fournisseurs se sont mis au
« cloud-washing » d’une large variété
de leurs produits, allant du simple
stockage de photos personnelles à des
serveurs « nouvelle génération ». Le
marché du Cloud offre d’importantes
perspectives : il devrait atteindre
6 milliards d’euros en 2016 en France
avec une croissance de près de 50%
par an d’ici là*.
Uneadoptionmotivéeparréduction
des coûts et recherche d’agilité
Malgré la dynamique du marché et la
promesse de gains sous-jacente, les
DSI des grandes entreprises tardent
à se mettre en mouvement, réagis-
sant plus au Cloud qu’elles ne l’an-
ticipent. Elles le privilégient essen-
tiellement pour des usages à risques
techniques limités et à ROI rapide,
principalement en IaaS et en SaaS.
SaaS : une utilisation massive
des services standardisés......
Le SaaS est aujourd’hui le princi-
pal vecteur d’adoption du Cloud.
L’adoption du SaaS est centrée sur
les fonctions support dont l’usage est
standardisé (bureautique, message-
rie, CRM, paie…). Le SaaS est éga-
lement fortement sollicité pour les
services de sécurité (antivirus, proxy,
services de tests d’intrusion…) qui
nécessitent une puissance de calcul
importante, des évolutions en cycle
court ainsi qu’une disponibilité maxi-
male pour des employés de plus en
plus mobiles.
PaaS : une adoption encore
confidentielle....................
C’est le segment le moins bien
appréhendé par les grands groupes
aujourd’hui. Il correspond à la fourni-
ture d’une plateforme d’exécution de
code informatique. Il permet la mise
à disposition d’une application en
limitant très fortement les opérations
sur les couches sous-jacentes (sys-
tèmes, bases de données, serveurs
d’applications...). Le PaaS reste
aujourd’hui cantonné chez les grands
comptes à des usages « jetables »,
comme des prototypes ou des sites
web temporaires (événementiels).
IaaS : des déploiements essentiel-
lement en mode « privé »...........
Le modèle IaaS, fourniture de
machines virtuelles (VMs) et res-
sources associées depuis un Cloud,
qu’il soit public ou privé, permet d’in-
troduire davantage d’agilité.
Les grandes entreprises déploient
aujourd’hui beaucoup de IaaS pri-
vés, dans l’optique de capitaliser sur
leurs compétences internes et leurs
investissements en infrastructures.
De son côté, le IaaS public est mis
en œuvre de façon très ciblée, par
exemple pour une filière web, ou
dans une logique de « bac à sable ».
Pour autant, grâce à la consolidation à
grande échelle, c’est le modèle public
qui permet d’obtenir les gains fonc-
*
Selon l’estimation du cabinet IDC
Segmentation du marché
du Cloud
Le marché du Cloud se scinde
aujourd’hui en 3 principaux
segments SaaS (Software-as-a-
Service), PaaS (Platform-as-a-
Service) et IaaS (Infrastructure-
as-a-Service), et selon 2 modes
de mise à disposition : privé
(usage dédié à une entité) ou
public (largement ouvert au mar-
ché et mutualisé). Ces 2 modes
peuvent être combinés dans une
approche dite « hybride ».
Niveau d’adoption du Cloud : motivations et services déployés
Leviers motivant une démarche Cloud Usages privilégiés des services Cloud
©Solucom
- 5. Janvier 2014 - Les Synthèses © Solucom 5•
marché devrait évoluer pour offrir des
solutions avec une valeur ajoutée de
plus en plus forte, pour répondre à
la fois aux offreurs en quête de relais
de croissance et aux entreprises uti-
lisatrices souhaitant optimiser leur
marge en se recentrant sur leur cœur
de métier.
Le SaaS devrait s’imposer dans les
entreprises comme le choix par
défaut. Les éditeurs de logiciels
vont proposer de manière systéma-
tique leurs solutions en mode SaaS,
tionnels et financiers les plus impor-
tants. C’est pourquoi les stratégies
de déploiement de IaaS privés sont
ou doivent être considérés comme
une étape sur une trajectoire plus ou
moins long terme de généralisation
d’IaaS public.
Un avenir qui promet plus
d’innovation et de valeur ajoutée
La 1ère
phase d’adoption du Cloud
est motivée par la recherche d’éco-
nomies et l’optimisation du niveau
d’agilité. Ces prochaines années, le
en partenariat avec les fournisseurs
IaaS. Ils s’assureront ainsi des reve-
nus constants et proposeront à leurs
clients des services très industrialisés,
flexibles et au meilleur coût.
L’usage du PaaS devrait exploser
lorsque les problématiques de por-
tabilité des applications, bien sou-
vent surestimées, seront résolues. Il
devrait alors devenir le socle d’exé-
cution par défaut de toutes les appli-
cations qui ne seraient pas consom-
mées en SaaS. Ces plateformes
vont s’enrichir pour fournir aux
développeurs un maximum d’accé-
lérateurs et de nouvelles possibilités
(composants et connecteurs pré-pac-
kagés, services de sécurité, réseaux
de distribution de contenus... ) et
donc en faire un choix par défaut
dans les filières de développement.
Par ailleurs, les éditeurs de progiciels
devraient rapidement proposer leurs
solutions en mode pré-packagé pour
les plateformes PaaS du marché.
Le IaaS devrait perdurer pour adres-
ser des besoins applicatifs très spé-
cifiques. Mais il ne permettra pas
d’aller chercher toutes les économies
d’échelle d’une approche Cloud.
Ce sont le SaaS et le PaaS qui porte-
ront le marché demain.
La puissance du Cloud au service du Big data
Le Big data* nécessite aujourd’hui des investissements et un savoir-faire
importants, ce qui freine sa mise en œuvre. Le challenge est double : mobiliser
d’importantes capacités de traitement sur des laps de temps réduits et mettre
en œuvre des algorithmes d’analyse des données les plus pointus possibles,
sur des jeux de données étendus. Le Cloud apporte là une vraie réponse. Les
fournisseurs Cloud ont la capacité de mobiliser des puissances de calcul et
de stockage importantes sur des périodes de temps variables.
Ils ont également la capacité à s’interconnecter à de multiples fournisseurs de données et à intégrer des algo-
rithmes de corrélation avancés pour que leurs clients puissent tirer un maximum de valeur de leurs données.
Ces possibilités techniques ouvrent de nouveaux horizons sur le pan des usages, dans tous les domaines de
l’entreprise. Il est par exemple possible d’optimiser les chemins logistiques en fonction de la météo, du trafic
et de sa gestion des stocks ou encore d’anticiper les tendances marketing sur la base de ses données clients,
des volumes de ventes et des bruissements sur les réseaux sociaux.
Panorama de la maturité des offres Cloud
*
Découvrez notre dossier Big data sur solucominsight.fr
©Solucom
©Chalvin
- 6. 6• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
Les 4 clés de l’intégration des
services Cloud
L’approche Cloud est par essence une
approche « sur étagère ». Les entre-
prises sont naturellement conduites
à souscrire différents services Cloud,
chacun étant le meilleur de ce que
sait offrir le marché sur son périmètre.
Mais sans vision d’ensemble et sans
anticipation, on s’expose à une mise
en silos préjudiciable. Le SI perd alors
enagilité,enexploitabilité,voireenper-
formance économique… soit l’opposé
des résultats escomptés. Voici quatre
domaines clés pour assurer l’intégra-
tion des services Cloud.
1 - Une intégration des données
sans couture.............................
Avec l’utilisation de services Cloud,
on exacerbe le besoin de mettre en
place des plateformes transverses
d’échanges entre les différentes
ressources, qu’elles soient Cloud ou
internes. Cette problématique est
essentiellement présente lorsque
l’on s’appuie sur des services SaaS.
Il s’agit ainsi soit d’étendre les plate-
formes d’échanges traditionnelles
aux services Cloud si elles offrent des
connecteurs vers les interfaces (API)
des applications Cloud, soit de s’ap-
puyersurdesservicesd’échangesrelais
(Cloudouinternalisés),quimasqueront
la complexité des interfaces et de leur
évolution.
2 - Une gestion centralisée des
identités............................
Celle-ci est essentielle pour fournir
aux utilisateurs un accès sans couture
à l’ensemble du SI, qu’il soit en mode
Cloud ou non. Elle doit notamment
permettre de gérer le cycle de vie des
comptes utilisateurs (décommission-
nement, gestion du mot de passe…).
Cet aspect est trop souvent négligé. Il
arrive par exemple de laisser des accès
ouverts à des employés ayant quitté la
société, l’exposant à de la surfactu-
ration et à d’importantes brèches de
sécurité. La DSI doit donc mettre en
œuvre une gouvernance des identités
globale ainsi que l’outillage adéquat.
3 - Des référentiels communs
de service management..........
Pour que la DSI puisse garantir les
niveaux de services de l’outil informa-
tique (disponibilité, impact des chan-
gements, capacité d’évolution…), il
est nécessaire qu’elle puisse intégrer
les services Cloud à ses référentiels de
servicemanagement.Ilsaurontnotam-
ment un rôle primordial pour gérer les
changements. En effet, les services
Cloudévoluentconstamment,encycle
rapide,sansquelesclientspuissents’y
opposer.Lesanalysesd’impactsdoivent
donc être précises et le plus automati-
sées possible. Pour s’adapter au Cloud,
les référentiels devront intégrer des res-
sources fournies en mode as-a-Service,
pourlesquelslesaspectsdelocalisation
oudedépendanceàdesressourcesphy-
siques ne sont pas connus.
4 - Des portails de services
par usage...........................
L’une des composantes essentielles
du Cloud est l’aspect self-service. Pour
optimiser l’apport des services Cloud, il
est primordial de limiter le nombre de
points d’entrées pour les demandes de
ressources, les déclarations d’incidents
et le suivi des consommations, et ce
quelquesoitlenombredefournisseurs.
En revanche, il n’est pas nécessaire de
se limiter à une seule interface globale
pour l’ensemble des services de la DSI.
Il s’agit ici de fédérer les différents por-
tails de services qui seront instanciés
par typologie d’usage et de population.
Pour ce faire, il faut anticiper au plus
tôt une cible globale d’intégration puis
s’appuyer sur un outillage adapté aux
services souscrits et à l’existant. Cet
outillage est à déployer progressive-
ment à l’occasion de chaque projet
Cloud jusqu’à atteindre la cible.
Un ordre de priorité qui dépend de
la stratégie Cloud
La cible d’outillage sera à définir en
fonction de la stratégie Cloud. Dans
une stratégie à dominante SaaS, le
challenge majeur sera d’intégrer sans
couture les nouvelles applications au
Avec la multiplication des nuages, attention à
l’orage !
Outils de pilotage et d’intégration de Clouds
SI ExterneSI ExterneSI interneSI interne
Applications legacy
Clouds privés
(IaaS et PaaS)
Services SaaS
Clouds publics
(IaaS et PaaS)
Portail de services
• Gestion de la demande
• AppStore
• Reporting d’usage
• Selfcare
• Ticketing
Service Management
• Catalogue de Services
• CMDB (Configuration
Management Database)
• SLA management
(Service level agreement)
• Change Management
• Capacity Management
Gestion des identités
• Référentiel utilisateurs
• (Dé)provisioning
• Fédération d’identités
• Single sign on (SSO)
Intégration
• Plateforme d’intégration
de services
• Plateforme d’intégration
de données
• Orchestration de Clouds
Les 4 clés d’intégration d’un service Cloud
- 7. Janvier 2014 - Les Synthèses © Solucom 7•
quiestenphased’évolutionrapide.D’un
côté, des startups aux offres fonction-
nellementrichesmaisdontlapérennité
n’est pas toujours assurée. De l’autre,
des fournisseurs traditionnels avec des
offres qui sont soit balbutiantes, soit
issues de rachats récents, donc peu
intégrées au reste de leur gamme et en
passe de subirdesévolutionsmajeures.
Ces solutions n’étant pas pleinement
satisfaisantes, deux stratégies de
déploiement s’offrent aux entreprises.
Si l’on est dans un rythme d’adoption
du Cloud plutôt lent, mieux vaut tem-
poriser en s’appuyant sur l’outillage
existant et en l’adaptant au cas par cas.
Par exemple, des transferts de fichiers
nonautomatiséspeuventsuffiredansun
1er
temps pour assurer le provisionning
des identités. Cette stratégie évite d’in-
vestir dans des solutions peut-être non-
pérennes, au prix d’un surcoût modéré
en opérations.
En revanche, si l’on souhaite adopter
une démarche volontariste et cadencée
vers le Cloud, il n’est plus possible de
temporiseraurisquedevoirexploserses
coûts d’opérations. Il faut donc expéri-
menter ce que le marché sait fournir !
L’outillage Cloud-ready, qu’il per-
mette l’intégration de données, la
gestion des identités et le service
management ou offre un portail de
service, embarque de toute façon
un ensemble de connecteurs vers
les fournisseurs du marché. Charge
ensuite à l’éditeur de la solution de les
maintenir à jour en fonction des évo-
lutions apportées par les fournisseurs
Cloud.
Quoiqu’il en soit, il faut rester en veille
permanente pour adapter sa stratégie
aux évolutions des standards, à leur
niveau d’adoption par le marché et aux
mouvements de consolidation.
SI. Il faudra donc en priorité traiter les
problématiques d’intégration de don-
nées, la gestion unifiée des identités
et le portail de services. Si la stratégie
Cloud est essentiellement IaaS, les
enjeux seront plutôt liés à la gestion de
cenouveauparcderessources.Ilfaudra
alorssedoterrapidementd’unoutillage
permettantd’adresserlaproblématique
de service management.
Une stratégie d’outillage à définir
Deuxtypesd’acteursconstituentactuel-
lement le marché de l’outillage Cloud,
Comment assurer une gestion unifiée de votre Cloud hybride ?
Les outils de Cloud Management Platforms (CMP) permettent de gérer de manière unifiée des environnements Cloud privés,
publics ou hybrides en fournissant des interfaces self-service, du provisionning, de la facturation... Sur ce marché, deux grandes
approches se distinguent :
1 – L’approche best of breed, fondée sur l’utilisation de plateformes de gestion de Cloud privé open source comme OpenStack qui
permettent l’extension d’une infrastructure vers un Cloud public, ou sur des solutions logicielles propriétaires équivalentes. Cette
approche offre davantage d’indépendance par rapport aux fournisseurs des services Cloud souscrits et favorise la réversibilité, mais
elle induit des coûts et une complexité de mise en œuvre qui peuvent être bloquants pour certaines entreprises.
2 – L’approche intégrée, qui s’appuie sur l’extension de solutions de virtualisation déjà déployées. Microsoft et VMware proposent
ainsi à leurs clients d’utiliser leur hyperviseur (respectivement Hyper-V et vSphere) pour basculer de façon transparente vers leur
Cloud public ou celui d’un tiers. Si la simplicité de déploiement est attractive, le risque de lock-in chez le constructeur n’est pas
neutre et la réversibilité nécessairement plus difficile qu’avec un outil indépendant.
La standardisation, catalyseur du Cloud
Le Cloud impose des cadres de référence et de fonctionnement stricts. Pour s’y
adapter plus facilement, rien ne vaut un SI préalablement standardisé. Les efforts
de standardisation de la DSI doivent donc être intensifiés pour se préparer au Cloud.
Cela passe par la mise en place de catalogues de services refacturés, la gestion des
données référentielles (afin de garantir la maîtrise de la donnée) et l’adoption d’orienta-
tions SOA (pour être en capacité d’automatiser de bout en bout des processus métiers
dans les approches SaaS). Pour aller plus loin en matière d’intégration continue et
d’automatisation du provisioning et ainsi favoriser une transition vers le modèle PaaS,
l’industrialisation des filières études et production est à accélérer. Enfin, dernier levier,
la consolidation et la virtualisation des infrastructures, permet d’optimiser la surface
éligible au Cloud et donc d’optimiser l’apport d’une stratégie IaaS.
Ces efforts de standardisation ne doivent pas faire peur. En effet, si d’un côté le SI doit
se standardiser pour devenir Cloud-ready, de l’autre, le Cloud favorise le processus de
standardisation. Une ironie dont il faut savoir jouer !
- 8. 8• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
Sécurité et Cloud, un mariage de raison
Des craintes à relativiser…
Trois risques sont souvent mis en avant
mais il faut les relativiser.
Disponibilité du Cloud.............
Chaque incident touchant l’un des
grands acteurs du Cloud fait la « Une »
de l’actualité, mettant sur le devant de
lascènelaquestiondesadisponibilité.
Il s’agit pourtant d’un faux problème :
les taux de disponibilité des services
Cloud sont souvent supérieurs à ceux
des systèmes internes des entreprises.
La situation, d’un point de vue média-
tique, est comparable à celle des
accidents aériens : bien que rares, ils
choquent l’opinion et intéressent les
journalistes beaucoup plus que les
accidents de voiture, qui font pourtant
annuellement plus de victimes. La
disponibilité n’est donc pas un risque
inhérent au Cloud. Il reste néanmoins
une spécificité à laquelle il faut prêter
attention : la connectivité avec le four-
nisseur Cloud. Si celui-ci utilise inter-
netcommeuniquemoyend’accèsàses
datacenters, le risque d’indisponibilité
de cet accès et d’internet en tant que
tel doit être pris en compte.
Confidentialité des données.........
Mesdonnéessont-ellesisoléesdecelles
desautresclients?Lesadministrateurs
peuvent-ils y accéder ? Il est important
deremettrecescraintesenperspective.
D’une part, toutes les données de l’en-
treprisenesontpascritiquesentermes
de confidentialité. D’autre part, si ces
questions se justifient dans certains
cas, elles ne sont pas nouvelles et ont
trouvé leurs réponses il y a déjà plu-
sieurs années, à l’heure des premiers
contratsd’externalisationIToudel’em-
ploid’administrateursprestataires.Les
principales différences résident dans
l’éloignement potentiel et le degré de
contrôle possible du fournisseur.
Laconfidentialitédesdonnéesvis-à-vis
des Etats reste un sujet plus complexe
à adresser. Ces derniers disposent en
effet de textes leur permettant d’accé-
derauxdonnéesprésentesdanslessys-
tèmes hébergés sur leur sol. Les USA
fontsouventfigured’épouvantail,leurs
textesayantenplusuneportéeextrater-
ritoriale(PatriotAct,FISAA).Cestextes
permettent à la justice et aux forces de
l’ordre américaines d’accéder aux don-
nées manipulées par des sociétés de
droit américain quel que soit le client
etlalocalisationdesdonnées.Lerisque
est donc que des Etats aient accès
aux données dans un objectif d’es-
pionnage économique. Ce risque est
réel comme l’illustrent les révélations
sur les moyens dont dispose la NSA.
Mais là encore, la portée du risque est
à mesurer. Seules quelques données
ont un niveau de sensibilité élevé : éta-
tiques(administrations,défense,etc.),
stratégiques pour l’entreprise dans un
environnement à forts enjeux concur-
rentiels, géopolitiques, etc.
Conformité réglementaire........
Laconformitéréglementaire(PCI-DSS,
LIL…)desoffresCloud,notammenten
matière de protection des données à
caractère personnel est également un
sujet d’inquiétude. La situation reste
très variable en fonction des acteurs,
même si des réponses techniques
(localisation des données, chiffre-
ment…) ou juridiques (Safe Harbour,
contrat type de la commission euro-
péenne…) existent aujourd’hui chez
la plupart d’entre eux.
… car la sécurité est au cœur de
la préoccupation des fournisseurs
Trèsvisiblesetrégulièrementattaqués,
les fournisseurs majeurs de Cloud
mettent souvent en place des équipes
dédiées pour assurer la sécurité de
leurs services. La sécurité est même
devenue pour certains d’entre eux l’un
des principaux arguments de vente.
Attention cependant : tous n’assurent
paslemêmeniveaudesécurité.Ilreste
donc important de préciser avec le
fournisseur les mesures incluses dès la
signature du contrat, d’autant qu’il est
difficiledefaireévoluerlesmécanismes
de sécurité d’un fournisseur quand
ceux-cinesontpasprévusinitialement.
Certains fournisseurs de solutions
« SaaS métier » de taille petite et inter-
médiaire négligent parfois la sécurité :
les audits et tests d’intrusion ont pour
cetyped’offresuneimportanceaccrue.
Vers une coresponsabilité
fournisseur / entreprise
Analyse de risque : passer de
l’intention à l’action..............
Suivre une démarche d’analyse de
risqueestimpératifpourleverlesfreins
relatifs à l’adoption du Cloud. La fina-
lité de l’analyse n’est pas d’interdire le
Cloud par défaut mais plutôt d’identi-
fierlesdonnéessensiblesafind’accom-
pagner les projets de la manière la plus
sûre et la plus pertinente.
L’implicationdesresponsablessécurité
dès le démarrage des projets est donc
essentielle. Ils doivent identifier les
risques que l’on peut réduire par des
moyenstechniquesetorganisationnels,
et ceux résiduels impossibles à couvrir.
Aux Métiers et à la Direction de déci-
der ensuite si ceux-ci sont acceptables
ou non pour l’entreprise. Et de revoir
si besoin le périmètre de la demarche
Cloud.
Et si on parlait réversibilité ?
L’importance de la réversibilité
est accentuée avec le Cloud. C’est
donc un sujet à prendre en compte
dès la phase de choix du fournis-
seur, pour notamment maîtriser les
risques opérationnels.
Concrètement, il s’agit d’éviter les
offres proposant des hébergements
privatifs trop spécifiques et de privi-
légier celles s’appuyant le plus pos-
sible sur des standards du marché.
En fonction du type d’offre sous-
crite, il s’agira aussi de s’assurer
que l’ensemble des données (SaaS)
et que le code applicatif peuvent
être exportés vers d’autres pla-
teformes (PaaS) ou qu’il est pos-
sible de récupérer les machines
virtuelles (IaaS).
*
PCI-DSS : Payment Card Industry Data Security Standard
LIL : Loi Informatique et Liberté
- 9. Janvier 2014 - Les Synthèses © Solucom 9•
Des contrôles à ne pas négliger..
Durant le projet ou en amont lors de la
phase de choix des fournisseurs, il est
recommandé de poser des questions
précises sur les mesures de sécurité
pournepaslaisserplaceàdesréponses
ambiguës. Par exemple, beaucoup de
fournisseursmettentenavantleurscer-
tifications.Ilconvientdevérifierletype
decertificationetlepérimètreconcerné
(voir schéma ci-dessus).
Un certain nombre d’acteurs du
Cloud acceptent d’ailleurs de four-
nir des détails sur l’architecture
de leur solution, après signature
d’un accord de non-divulgation.
La capacité à répondre rapidement et
demanièredétailléeauxquestionsper-
met de se forger un avis sur la maturité
de l’offre proposée.
En outre, la possibilité d’auditer le
prestataire Cloud est un bonus à ne
pasnégliger. Accepterunauditestune
preuve de transparence du fournisseur
et de confiance en son niveau de sécu-
rité. Même si les plus grands acteurs
anglo-saxonss’yrefusent,ilesttoujours
utile de poser la question, notamment
pourdesacteursdetailleintermédiaire.
Des référentiels émergents....
Un outillage commence à voir le jour
pour aider les entreprises à évaluer
les risques et le niveau de sécurité
inhérent. En France, l’ANSSI (Agence
Nationale de la Sécurité des Systèmes
d’Information) a publié un guide pour
accompagner les démarches de type
Cloud computing. Au niveau euro-
péen, l’ENISA (European Network and
Information Security Agency) fournit
une analyse générique mais complète
des risques liés au Cloud. Enfin, outre-
Atlantique,l’associationCloudSecurity
Alliance, qui regroupe les acteurs
majeurs, a mis au point la Cloud
Controls Matrix. Cette matrice permet
decomparerdenombreuxfournisseurs
surdescritèresdesécuritéprécis.Bien
que fondée sur les seules déclarations
desdits fournisseurs, elle peut s’avérer
utile pour comparer les offres.
Le chiffrement : graal de la sécu-
rité Cloud ?................................
Parmilessolutionstechniquespermet-
tant de réduire les risques du Cloud, le
chiffrement se positionne en tête. Et
si aujourd’hui son utilisation nécessite
souvent de donner les clés de déchif-
frementaufournisseur,desinnovations
technologiques se profilent. Elles per-
mettront de transférer et de traiter des
données à distance sans jamais don-
ner au fournisseur d’accès direct. Bien
qu’encore expérimentales, ces tech-
niques, rassemblées sous la bannière
du « chiffrement homomorphique* »,
méritentqu’onlessuiveavecattention.
Ne pas mettre ses responsabi-
lités dans les nuages..............
Contrairement à ce que trop d’entre-
prises pensent, leur responsabilité ne
s’arrête pas une fois la solution Cloud
mise en production. Si le fournisseur
esttenuderespecteruncertainnombre
de règles de sécurité, le maintien du
niveau de protection dans le temps
relève aussi de la responsabilité de
l’entreprise.
Pour cela, les bonnes pratiques appli-
quées au SI d’entreprise doivent être
transposées au Cloud : gouvernance de
la sécurité (processus, sensibilisation
des utilisateurs), administration fonc-
tionnelle de la sécurité, configuration
des options de sécurité avancées, res-
triction des droits requis par les utili-
sateurs, formation des administrateurs,
revuerégulièredesparamètresdeconfi-
guration… Ceci est particulièrement
vrai pour la gestion des identités et des
accès,élémentclépourgarantirlaconfi-
dentialité des données dans le Cloud.
La règlementation à l’ère du Cloud
*
Cf. nos articles sur le sujet sur www.solucominsight.fr
- 10. 10• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
Anticiper les usages pour garantir l’équilibre
économique du Cloud
Le développement du Cloud met la
DSI en risque sur ses deux objectifs
de maîtrise économique :
• L’atteinte de son propre équilibre
économique devient plus com-
plexe, avec l’évolution des modèles
de facturation des fournisseurs,
notamment à l’usage ;
• La garantie de maîtrise des coûts
IT à l’échelle de l’entreprise est
remise en cause par l’accès simpli-
fié aux services Cloud (souscription
directe de services par le Métier par
exemple).
Face à ce challenge, les DSI doivent
repenser le pilotage de l’équilibre
économique à l’ère du Cloud.
Déchiffrer la complexité des
modèles fournisseur
La maîtrise de la facturation du four-
nisseur constitue le premier pilier de
ce pilotage.
De prime abord, le système de fac-
turation du Cloud peut paraître
simple : prix à l’unité, facturation
au volume. Ce mode de fonctionne-
ment peut cependant générer des
surprises au bout de quelques cycles
de facturation : le modèle contractuel
embarque fréquemment des éléments
structurants tels que les volumes ou
montants minimaux, ou encore les
effets de seuil. De telles clauses
induisent des risques pour la DSI : si
la demande du Métier n’est pas au
rendez-vous, l’équilibre économique
du service pourrait ne pas être atteint.
Avant de contractualiser, une atten-
tion particulière doit porter sur la
compréhension du modèle écono-
mique du fournisseur, et notamment
sur les services et options qui sont
les plus rentables pour ce dernier. En
effet, les tarifs de service anormale-
ment bas pourront cacher des options
coûteuses qui s’avéreront finalement
nécessaires (extension de volumes de
stockage, frais d’interconnexion, etc.).
Construire des scénarios
d’utilisation des services
La réflexion sur l’équilibre économique
doit amener à piloter les recettes de la
DSI et implique donc de bénéficier
Une transformation de Capex en Opex
Le passage en mode Cloud fait évoluer profondément le modèle économique de la DSI. Les dépenses d’investissement
nécessaires sont déportées chez le fournisseur ainsi que les contraintes liées à leur amortissement. La mutualisation
des investissements sur un large panel de clients permet d’obtenir un coût global moindre pour la DSI et une atteinte
plus rapide de l’équilibre économique.
Toutefois, une attention particulière doit être portée lors du passage à ce nouveau modèle pay per use pour tirer réelle-
ment parti de ces bénéfices. Deux points d’attention sont à étudier :
1 - Lors de la souscription d’un service Cloud, il faut veiller à ce que les investissements précédents soient amortis pour
éviter une perte sèche (write-off) lors de la migration vers le nouveau service.
2 - Le contrat proposé par le fournisseur doit être étudié finement : afin de couvrir ses investissements, celui-ci peut
demander un engagement sur la durée qui peut réduire la flexibilité inhérente au modèle Cloud.
Modèle classique Modèle Cloud
- 11. Janvier 2014 - Les Synthèses © Solucom 11•
tails self-service par exemple) et
l’amélioration de la qualité ont pour
effet de faciliter l’accès aux services
informatiques pour les utilisateurs,
qui ont ainsi naturellement tendance
à en augmenter leur utilisation : cette
amélioration de l’offre conduit à une
demande accrue.
La facturation à l’usage par les four-
nisseurs, associée à cette augmen-
tation de la demande peut d’ailleurs
induire une augmentation de la fac-
ture globale des services Cloud.
Sans freiner la productivité des
Métiers, la DSI se doit de les accom-
pagner et les conseiller, en mettant
à leur disposition des outils de suivi
de l’usage des services IT.
Il s’agit avant tout de donner un
maximum de visibilité au Métier sur
ses consommations :
• Refacturer au Métier peu de temps
après les consommations réelles,
au mois par mois ;
• Produire un reporting opération-
nel de l’utilisation des services,
intégrant notamment un suivi
des volumes consommés par rap-
port aux volumes prévus, et un
système d’alertes en cas de sur-
consommation (et également de
sous-consommation) ;
• Analyser cette consommation avec
les Métiers pour ajuster les priorités
et prévisions d’utilisation future.
Il est également recommandé de
fournir les systèmes techniques de
gestion de la demande (portails self-
service, outils de workflow), permet-
tant au client de valider les besoins
de ses utilisateurs.
Cet accompagnement de la demande
constitue un véritable service fourni
par la DSI, qui ne serait pas acces-
sible en cas de souscription des
services Cloud directement par les
Métiers. Ces derniers n’ont en effet
pas d’objectif régalien de maîtrise
globale des coûts IT : il s’agit donc
pour la DSI de valoriser l’image de ce
service, qui constitue un réel élément
différenciant.
d’une vue au plus juste des besoins du
Métier, présents et futurs.
Il s’agit, pour la DSI et ses clients,
de construire et de suivre une pro-
jection de l’évolution des volumes
d’utilisation des services Cloud, et si
nécessaire de formaliser des scéna-
rios d’évolution. Cette concertation
DSI / Métiers permet d’obtenir un
engagement mutuel entre la DSI et
les Métiers.
Cette connaissance permettra à la
DSI de souscrire au service Cloud
le plus adapté, d’évaluer le seuil de
rentabilité de ce service, et de mettre
en place une facturation à l’usage
permettant l’équilibre économique.
Pour le Métier, cette collaboration
permettra de disposer d’un certain
degré de maîtrise financière de ses
dépenses informatiques.
Les scénarios d’utilisation des
services constitueront in fine des
entrants précieux dans la démarche
de construction budgétaire, pour les
Métiers et pour la DSI.
Accompagner le Métier dans la
gestion de sa demande
La mise en place d’outils ergono-
miques pour l’accès au Cloud (por-
Comment démontrer l’apport de valeur de la DSI ?
L’utilisation accrue du Cloud dans la DSI ne remet pas en cause les principes de tarification des services
mis en place ces dernières années, avec une tendance actuelle à la simplification du modèle (réduction du
nombre d’unités d’œuvre et limitation des options).
Face à des Métiers en capacité de souscrire directement à certains services Cloud, la DSI se voit de plus en
plus challengée sur le tarif de ses services, notamment sur l’écart avec les prix publics des fournisseurs.
Sans remettre en cause le modèle de refacturation, la DSI doit anticiper ce frein, en mettant en avant la valeur
ajoutée que couvre l’écart tarifaire : frais liés au projet d’intégration dans le SI, services d’infrastructures
transverses tels que l’authentification, l’assistance au pilotage de la demande, etc. Ces services devront par
exemple être explicitement notés dans le catalogue de services et communiqués clairement au client.
- 12. 12• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
nique devient un enjeu majeur. Ce
sera tout particulièrement le cas sur
des actions opérationnelles comme la
mise en œuvre des changements ou
la résolution des incidents.
La présence de ces profils tech-
niques, capables de comprendre ce
SI multi-facettes et de coordonner les
fournisseurs, constituera même très
vite un impératif pour la DSI.
On assistera aussi à la montée en
puissance de profils techniques très
spécifiques, conséquence directe
de l’évolution de l’architecture du SI
dans le contexte Cloud. Les compé-
tences d’intégration technique des SI
(architecture, orchestration, intégra-
tion de données, etc.) vont ainsi être
amenées à se développer, avec un
objectif clé : garantir la cohérence du
SI. Des compétences sécurité (fédé-
ration d’identité, gestion des habilita-
tions) vont également se développer.
Une nécessaire transformation des compétences
et des pratiques
Changer les mentalités : du sur-
mesure au prêt-à-porter
La standardisation est l’une des
caractéristiques du Cloud. Si l’entre-
prise veut en tirer tous les bénéfices,
opérationnels comme économiques,
elle doit accepter et faire accepter
aux utilisateurs un degré de standar-
disation important. Le déploiement
du Cloud en entreprise implique
un changement de posture pour la
DSI et une évolution radicale dans
les mentalités, au sein des équipes
informatiques comme du côté des
Métiers.
Le challenge principal pour les
équipes de maîtrise d’ouvrage et de
conception du SI va avant tout être
de trouver le bon point d’équilibre
entre les besoins de personnalisa-
tion des services Cloud et le niveau
de standardisation imposé par les
fournisseurs.
En outre, les équipes informatiques
vont devoir apporter toute leur exper-
tise pour mettre en cohérence des
Clouds multiples et ainsi former un
SI homogène. Bien qu’habituées à
des environnements complexes, elles
devront également intégrer un cadre
moins flexible qu’auparavant.
Faire évoluer les fonctions
techniques
Avec le développement du Cloud, la
spécialisation des compétences est
de moins en moins d’actualité : la
tendance est au profil multi-géné-
raliste. On le voit par exemple avec
la mise en place de services SaaS,
comme la bureautique et la messa-
gerie : le besoin d’experts techniques
sur ces périmètres auparavant inter-
nalisés est de plus en plus faible.
Avec un SI hybride, intégrant des ser-
vices Cloud et des composants héber-
gés en propre, la coordination tech-
Évolution des métiers de la DSI dans un contexte Cloud
- 13. Janvier 2014 - Les Synthèses © Solucom 13•
Renforcer les fonctions de
management des services ........
Le phénomène d’externalisation,
croissant ces dernières années, a
poussé au développement de compé-
tences de pilotage des activités exter-
nalisées, mais aussi à une réduction
de la prise en charge en interne des
activités opérationnelles de la DSI
(production, développement...).
Cette transition du « faire » au « faire
faire » est encore plus marquée dans
un contexte Cloud, où le niveau de
standardisation requis va imposer à
la DSI d’industrialiser encore plus ses
activités.
Les démarches de définition et de
mise en place de services et de lignes
de services ont conduit à l’appari-
tion de fonctions de type « Service
Manager » ou « Service Delivery
Manager », dont le rôle est de coor-
donner la production du service et sa
bonne fourniture au client.
Ces rôles doivent fortement se ren-
forcer sur le pilotage des volumes
consommés afin d’accompagner avec
proactivité les clients dans la gestion
de leur demande.
De cette manière, les service mana-
gers peuvent être responsabilisés sur
l’équilibre économique de leur ser-
vice et plus seulement sur les enga-
gements de qualité de service et de
performance opérationnelle.
Anticiper dès aujourd’hui les
impacts RH du Cloud
Il est crucial de bien accompagner
la transition des compétences asso-
ciées aux externalisations croissantes
induites par le Cloud.
Une méthode classique consiste à
mettre en place une démarche de
Gestion Prévisionnelle des Emplois et
Compétences (GPEC)*, aussi connue
sous le nom de Talent Management.
Pour analyser l’impact RH lié au
Cloud, les DSI doivent justement se
doter d’une véritable cartographie
de ces emplois et compétences. Les
déformations RH provoquées à court
terme par les décisions connues en
matière de Cloud peuvent ainsi être
évaluées et faire l’objet de plans d’ac-
tions de redéploiements optimaux.
Par ailleurs, une identification des
impacts potentiels à moyen / long
terme doit être réalisée. Elle permet
d’évaluer les plans d’actions RH et
management à dérouler en matière
de mobilité, formation, gestion de
carrière et objectifs...
Leviers d’action pour garantir l’employabilité des collaborateurs
Favoriser l’évolution horizontale
autant que verticale
Valoriser la voie de l’expertise ou
les nouveaux rôles clés autant
que celle du management
Définir des objectifs permettant
de faire progresser rapidement
les collaborateurs sur les savoir-
faire nécessaires à l’adaptation
Recrutement par profil et poten-
tiel d’évolution et non sur poste.
Un candidat doit être choisi pour
son adaptabilité et sa capacité à
évoluer dans différents postes.
Développer une politique de mobilité
pour servir la gestion des carrières.
En profiter pour initier des passerelles
avec les entités métiers.
Développer les soft skills transverses gages
d’adaptation des collaborateurs aux nouveaux
environnements
*
Cf. le Focus « Et si les DSI tiraient enfin partie de leur capital RH ? », www.solucom.fr, rubrique Insights / publications
2
5 leviers pour garantir l’agilité des collaborateurs et de la DSI
Recrutement
Mobilité
Formation
Évaluation
Gestion des
carrières
Employabilité
du collaborateur
Repenser l’évolution en
favorisant l’évolution
horizontale autant que
verticale. Séparer la voie
de l’expertise de celle du
management.
Définir des objectifs
permettant de faire
progresser rapidement les
collaborateurs sur les
savoir-faire nécessaires
à l’adaptation
Développer une politique de
mobilité pour servir la gestion
des carrières. En profiter pour
initier les passerelles avec
les entités métiers
Recrutement par profil et
potentiel d’évolution et non
sur poste. Un candidat doit
être choisi pour son
adaptabilité et sa capacité à
évoluer dans différents postes.
Développer les soft skills (qualités humaines
et relationnelles) transverses gages
d’adaptation des collaborateurs aux
nouveaux environnements
- 14. 14• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
Un incubateur au sein de la DSI pour fédérer
les initiatives Cloud
L’avant-posted’unetransformation
réussie vers le Cloud................
Anticiper et fédérer l’ensemble des
initiatives Cloud est un enjeu clé pour
la DSI. Elle risque sans cela de se
retrouver en situation de devoir opérer
ou intégrer en urgence de nouveaux
services qui ne s’inscriraient pas dans
une stratégie d’évolution globale du
SI.
Pour répondre à cet enjeu, nous
préconisons la mise en place rapide
et temporaire d’une petite équipe
au sein de la DSI pour constituer
un « incubateur Cloud ». Cette
structure transverse a pour vocation
d’accompagner les initiatives Cloud de
l’entreprise pendant 2 à 3 ans, le temps
que les services Cloud trouvent leur
place dans une stratégie et des modes
de fonctionnement plus long terme.
Par ce biais, la DSI sera en mesure de
piloter la trajectoire et le rythme de la
transformation induite par le Cloud.
Elle pourra aussi promouvoir l’usage
des services Cloud qui permettront
de combiner au mieux innovation,
maîtrise financière et maîtrise
technique du SI.
L’incubateur constituera par ailleurs
un observatoire privilégié des
compétences et savoir-faire que la
DSI devra développer afin d’évoluer
vers un rôle de Cloud broker capable
de choisir et d’intégrer les services
Cloud les plus adaptés aux besoins
de l’entreprise.
Des missions au service d’une
adoption progressive du Cloud
L’une des priorités de l’incubateur est
de se faire connaître, de promouvoir
son action afin de capter au plus tôt
les initiatives Cloud qui pourraient
émerger.
Ceci fait, son leitmotiv doit être de
favoriser les initiatives autour du
Cloud en facilitant le déploiement et
l’intégration de ces nouveaux services
dans le SI.
Pour cela, il doit jouer un rôle de
conseil et de contrôle dans le cadre
des projets, pour anticiper d’éventuels
écueils techniques ou juridiques réels,
mais aussi permettre de relativiser un
certain nombre de risques ou de freins
non justifiés.
Il diffuse également son expertise
et ses retours d’expérience issus
d’initiatives précédentes, pour
sensibiliser les Métiers et les équipes
de la DSI aux impacts du Cloud.
Ceux-ci concernent aussi bien le SI
(problématiques d’intégration et de
réversibilité, décommissionnement
de l’existant pour justifier le ROI de
l’initiative…) que l’utilisation des
services (limitations fonctionnelles
liées à l’usage d’une solution
standard, perte de maîtrise sur les
processus d’évolution et de gestion
des changements…).
Ensuite, en s’appuyant sur une
veille marché active, il identifie les
périmètres du SI éligibles au Cloud
et promeut les nouveaux usages
porteurs de valeur pour l’entreprise.
Enfin, il a vocation à préparer la
transformation de la DSI et du SI
pour passer à l’ère du Cloud. Il
animera ainsi les réflexions autour des
évolutions et de l’outillage nécessaires
à la DSI pour maîtriser les impacts du
Cloud sur les plans suivants :
• Compétences et organisation ;
• Modèle économique et pilotage des
coûts ;
• Garantie de la qualité de service et
de la sécurité ;
• Cohérence et homogénéité du SI.
La communication au cœur des missions de l’incubateur
« Anticiper et fédérer l’ensemble des initiatives
Cloud est un enjeu clé pour la DSI.Pour y ré-
pondre, nous préconisons la mise en place ra-
pide et temporaire d’une petite équipe au sein
de la DSI pour constituer un incubateur Cloud ».
- 15. Janvier 2014 - Les Synthèses © Solucom 15•
Une équipe de 3 à 5 personnes aux compétences transverses
Si son action est efficace,
l’incubateur favorisera un passage en
douceur vers une gestion industrielle
des services Cloud par les équipes
de la DSI.
Une structure visible et agile...
Pour pouvoir assumer pleinement son
mandat, l’incubateur doit bénéficier
d’un haut niveau de sponsorship
et d’un rattachement transverse au
sein de la DSI afin d’être légitime
et connu des différents Métiers. Il
est ainsi plus facilement identifié et
dispose des moyens nécessaires pour
accompagner toutes les initiatives.
Il doit également avoir la capacité de
mobiliser les ressources de la DSI,
sans pour autant s’inscrire totale-
ment dans le cadre des processus
classiques de la DSI. Ainsi, il sera en
mesure d’accélérer et de favoriser les
initiatives, en particulier lorsque le
service Cloud concerné est en phase
d’expérimentation ou de pilote.
C’est la seule façon pour l’incuba-
teur de réussir à ancrer la DSI dans
l’adoption du Cloud et la seule façon
de démontrer la valeur ajoutée que la
DSI peut apporter aux utilisateurs. À
l’image d’une cellule « Innovation »,
c’est au travers de la réussite durable
des initiatives qu’il aura accompa-
gnées et du changement d’image de
la DSI qu’il aura véhiculé que l’in-
cubateur prouvera sa propre valeur
et justifiera l’investissement qu’il
représente.
…mobilisant de larges compé-
tences regroupées sur quelques
personnes..................................
Afin de conserver l’agilité nécessaire,
l’incubateur doit rester compact : 3 à
5 personnes suffisent. En revanche,
le succès de l’incubateur repose
avant tout sur la qualité du casting
de ces personnes.
Pour mener à bien les missions de
l’incubateur, les profils à cibler sont
ceux alliant compétences IT larges et
parfaite connaissance de l’entreprise
et disposant d’un leadership fort pour
promouvoir de nouveaux usages et de
nouvellespratiques.Detelsprofilssont
généralement des ressources critiques
et libérer une partie de leur temps pour
qu’ils se consacrent à l’incubateur est
un réel investissement.
Cet investissement est un impératif
pour la DSI. Même si l’appel à de la
prestation externe est envisageable
pour apporter compétences tech-
niques et connaissance des offres
Cloud, il n’est pas suffisant pour
assurer la maîtrise de l’organisation
et de l’existant de l’entreprise.
Si les bonnes ressources ne sont
pas disponibles en nombre suffi-
sant, alors il faut réduire la taille de
l’incubateur : à choisir, mieux vaut
privilégier le caractère compact de
l’équipe à la couverture exhaustive
des compétences nécessaires.
Quelles actions pour débuter ?
La priorité doit être donnée à
l’accompagnement des initiatives qui
permettront d’obtenir des quick wins
visibles par le Métier et aux actions de
communication valorisant les apports
duCloudetdel’incubateur.C’estparce
biaisquel’incubateurpourraréellement
être l’avant-poste de la transformation
induite par le Cloud.
Deuxélémentsnoussemblentessentiels
à produire immédiatement par
l’incubateur : un kit de sensibilisation
aux bénéfices et aux impacts du
Cloud (paiement à l’usage, localisation
des données, évolution des relations
DSI / Métiers...) et le catalogue des
services Cloud déjà déployés ou à venir.
Une chose est sûre, l’objectif n’étant
pas de pérenniser son existence dans
l’organisation, l’incubateur doit avancer
viteetdonnerlaprioritéàl’actionetnon
à la réflexion !
«L’incubateur doit avancer vite et donner la
priorité à l’action et non à la réflexion ! »
- 16. 16• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
Combiner approche tactique et vision straté-
gique : les clés d’une bonne stratégie Cloud
Des choix tactiques court terme
assez homogènes…
Même si de grandes tendances se
dégagent, le rythme et le périmètre
d’adoption du Cloud sont propres à
chaque entreprise : il n’y a pas de
stratégie universelle Cloud.
Pour autant, il n’est pas surprenant
aujourd’hui de voir bon nombre de
DSI s’orienter vers les mêmes services
Cloud, comme la mise à disposition
de machines virtuelles ou de plate-
formes web, ou encore la messagerie
en mode SaaS (voir pages 4 & 5).
En effet, les travaux déjà réalisés en
matière de virtualisation des infras-
tructures, d’externalisation des opé-
rations IT et de standardisation des
architectures web simplifient l’évolu-
tion vers ce type de services.
Déployer de tels services relève plutôt
d’une approche tactique, qui permet
à la DSI d’obtenir des succès rapides
et de démontrer sa capacité à offrir
des services de type Cloud, tout en
commençant à se confronter à ses
impacts et à la réalité des offres du
marché.
…en attendant une stratégie
Cloud plus spécifique
Ces services ne constituent toutefois
qu’une première étape, la stratégie
Cloud de chaque entreprise devant
se bâtir sur une analyse plus fine du
patrimoine SI de l’entreprise, appli-
cation par application, comme l’il-
lustre notre arbre de décision Cloud
(voir schéma ci-dessous).
Cette analyse peut se faire dès à
présent par le biais de l’incubateur
Cloud qui, au fur et à mesure qu’il
identifiera les périmètres éligibles,
sera en mesure de bâtir un catalo-
gue de services cible et une roadmap
permettant de rythmer l’adoption des
services Cloud.
Voici les grandes étapes de la
démarche à suivre pour y parvenir :
• Identifier les applications et ser-
vices IT éligibles au Cloud en
évaluant la valeur apportée à l’en-
treprise, le niveau de confidentia-
lité des données manipulées et le
niveau de spécificité du système ;
• Rechercher des services SaaS pour
les applications ou services dont
l’usage peut être standardisé et
dont la criticité (business ou sécu-
rité) n’est pas bloquante pour envi-
sager une évolution vers le Cloud ;
• Envisager le passage au PaaS ou
au IaaS lorsqu’aucun service SaaS
n’existe sur le marché ;
• Renforcer le niveau de standardi-
sation des socles logiciels et tech-
niques des applications aujourd’hui
trop spécifiques à l’entreprise pour
pouvoir trouver leur équivalent dans
le Cloud.
Le marché étant dans une dyna-
mique d’évolution rapide et perpé-
8 questions pour définir sa cible Cloud
1
S’appuie-t-elle sur un
socle standardisé
(progiciel, socle logiciel,
socle serveur) ?
L’application est-elle
fortement intégrée
au SI ?
Les interfaces avec les
autres applications sont-
elles standardisées ?
PaaS / IaaS
SI traditionnel
SI traditionnel
PaaS / IaaS privé
Les données manipulées par
l’application sont-elles soumises à un
cadre de confidentialité strict que les
fournisseurs ne peuvent respecter ?
L’application est
elle spécifique à
l’entreprise ?
S’appuie-t-elle sur un
socle standardisé
(progiciel, socle logiciel,
socle serveur) ?
SaaS
PaaS / IaaS
Existe-t-il un service
équivalent en mode SaaS ?
Oui Oui
Non
NonNon
Oui
Non
Oui
Non
Oui
Non
Non
Non
Oui
Oui
Oui
Arbre de décision v3
S’appuie-t-elle sur un
socle standardisé
(progiciel, socle logiciel,
socle serveur) ?
- 17. Janvier 2014 - Les Synthèses © Solucom 17•
tuelle, cette approche est à réitérer
régulièrement et à enrichir d’une
veille permanente sur les acteurs et
les offres Cloud.
Au-delà de la maturité des offres
du marché, des critères plus spéci-
fiques à l’entreprise peuvent influer
sur son rythme d’adoption du Cloud.
Ainsi, un niveau élevé d’industriali-
sation et d’externalisation facilitera
et accélérera la transition vers des
offres Cloud. De même, l’arrivée à
échéance de contrats existants ou
l’obsolescence de certaines solutions
ou applications seront des opportu-
nités d’évolution vers le Cloud, sans
oublier bien sûr des ruptures plus
fortes dans la stratégie de l’entreprise
(forte réduction des coûts, fusion ou
désimbrication de pans entiers du
SI...).
Autant de facteurs qui, bien pris
en compte, permettront d’aboutir
à une stratégie Cloud spécifique et
efficace !
Une cible hybride à anticiper
De même qu’il n’existe pas de straté-
gie Cloud unique applicable à toute
entreprise, il est impossible d’identi-
fier l’intégralité des services qui s’ap-
puieront sur des offres Cloud à moyen
terme, tant le marché est dynamique
aujourd’hui. En revanche, une chose
est sûre : le SI cible sera hybride et
les services Cloud devront être par-
faitement intégrés au SI traditionnel.
Alors préparez-vous ! En parallèle
du déploiement des premiers ser-
vices Cloud, plusieurs chantiers
techniques et organisationnels trans-
verses sont à lancer dès maintenant.
Ces chantiers doivent permettre de
maîtriser la prolifération des ser-
vices Cloud et de faire face à un SI
de plus en plus éclaté, tant géogra-
phiquement qu’en termes de res-
ponsabilité. Il s’agit en premier lieu
de définir un cadre d’adoption des
services Cloud (règles d’éligibilité,
politique de sécurité, clauses juri-
diques et contractuelles) et de bâtir
un socle d’intégration et de pilotage
de ces services (architecture d’in-
terconnexion, portail(s) self-service,
Cloud Management Platform…). Ces
évolutions majoritairement techno-
logiques doivent s’accompagner
d’une redéfinition des modalités de
pilotage économique des services IT
et de la définition d’un plan d’évo-
lution des compétences, pour que
la transition vers des services IT à
l’usage s’opère en douceur au sein
de l’entreprise, tant pour la DSI que
pour les Directions Métiers.
Ainsi, la DSI se positionnera peu à
peu comme un Cloud broker, propo-
sant à ses utilisateurs (clients finaux,
collaborateurs de l’entreprise ou
équipes projet IT) des services acces-
sibles au travers d’un ou plusieurs
portails et offrant les moyens tech-
niques (intégration, sécurité, pilo-
tage) et humains (conseil, support,
accompagnement au changement)
nécessaires pour garantir l’usage
de ces services dans de bonnes
conditions.
Ces chantiers transverses doivent
faire partie intégrante de la straté-
gie Cloud, au risque de ne pouvoir
garantir la cohérence du SI à moyen
terme…
Cloud interne ou externalisé ?
En cible, la DSI n’a pas vocation à
se positionner comme opérateur de
services informatiques communs,
i.e. pour lesquels des fournisseurs
spécialisés existent. La notion de
Cloud interne n’a alors de sens
qu’en trajectoire, pour tenir compte
du contexte RH et des pratiques
de sourcing existantes au sein de
l’entreprise. Ainsi, ceux ayant déjà
franchi le pas de l’externalisation
pour infogérer leurs infrastructures
évolueront presque naturellement
vers le Cloud externalisé, seule cible
possible à moyen terme pour obtenir
les bénéfices promis par le Cloud.
Vers une DSI Cloud broker
1
Vers une DSI « broker de Clouds »
Incubation
Cohabitation avec
le SI traditionnel
Intégration
sans couture
Promoteur /
Fédérateur
Intégrateur Broker
Palier
d’adoption
du Cloud
Rôle de la DSI
2014 2016+
De multiples chantiers à lancer pour se préparer à un futur hybride
Déploiement des
premiers services
Cartographie des
services éligibles
2012+
Évolution des processus et des compétences (GPEC)
Veille marché
permanente
Déploiement continu
de nouveaux
services
Cadre d’adoption
(éligibilité, sécurité…)
Socle d’intégration et de pilotage
technique de multiples Clouds
Mise en place des modalités de pilotage
économique de services à l’usage
Stratégie
d’adoption
Outillage &
gouvernance
- 18. 18• Les Synthèses © Solucom - Janvier 2014
DSI, préparez-vous à devenir
Cloud broker !
Conclusion
Le Cloud computing constitue un nouveau palier de maturité pour le domaine de l’informatique : le sur-mesure va
laisser la place au prêt-à-porter, ce qui va se traduire par une banalisation des ressources IT et une automatisation
accrue des chaînes de production.
La valeur ajoutée de la DSI ne sera plus de fournir et de maintenir des solutions pour répondre aux besoins des Métiers,
mais bien de choisir et d’orchestrer des services IT externes pour ne garder en interne que les systèmes les plus spé-
cifiques ou les plus critiques pour l’entreprise.
Ce rôle de Cloud broker consistera à trouver les solutions offrant le meilleur équilibre entre adéquation aux besoins
et attractivité économique, en veillant à conserver l’agilité nécessaire pour changer de fournisseur si des offres plus
performantes apparaissent sur le marché.
Si la maturité des offres doit encore progresser avant qu’un tel mode de fonctionnement ne soit atteignable, cette
évolution dans la façon de consommer et de produire des systèmes informatiques implique également un changement
de posture radical pour la DSI.
Des transformations profondes sont à opérer au sein de la DSI, notamment en matière de pilotage économique et de
gestion des compétences. Parallèlement, des chantiers techniques sont à ouvrir pour anticiper les problématiques
d’intégration et de sécurité associées à ce nouveau modèle de delivery des services IT. Pour mener à bien ces travaux,
il sera nécessaire de définir la cible et la trajectoire d’adoption du Cloud pour votre entreprise.
Si ces transformations et ces réflexions ne doivent pas être achevées pour demain, elles sont suffisamment complexes
pour être engagées sans attendre. Lao Tseu disait « Un voyage de 1000 km commence toujours par un pas ». Alors,
pour réussir le virage vers le Cloud, engagez-vous dès maintenant sur le chemin d’un SI hybride et faites-le savoir en
interne ! Ce sera un atout de plus pour renforcer l’image de la DSI et son rôle de partenaire efficace auprès des Métiers.
« Un voyage de 1000 km commence toujours par un pas » Lao Tseu
- 19. Janvier 2014 - Les Synthèses © Solucom 19•
À propos de Solucom
Solucom est un cabinet indépendant
de conseil en management et
système d’information.
Ses clients sont dans le top 200
des grandes entreprises et
administrations. Pour eux, le cabinet
est capable de mobiliser et de
conjuguer les compétences de plus
de 1200 collaborateurs.
Sa mission ? Porter l’innovation au
cœur des métiers, cibler et piloter les
transformations créatrices de valeur,
faire du système d’information
un véritable actif au service de la
stratégie de l’entreprise.
Solucom est coté sur NYSE Euronext
et a obtenu la qualification entreprise
innovante décernée par BPI.
Découvrez SolucomINSIGHT, le
magazine en ligne de Solucom :
www.solucominsight.fr
Imaginé sous forme de « club », et porté par deux directeurs associés du cabinet, l’Atelier Solucom est un rendez-vous
bimestriel auquel sont conviés sur invitation quelques clients. Certains sujets adressent les DSI, d’autres
les Directions métiers. L’objectif ? Identifier et réfléchir avec eux aux challenges de demain et s’y préparer.
Quelques mois après chaque Atelier, la Synthèse associée est mise en ligne sur notre site internet.
Quelques récents thèmes d’Ateliers :
• Et si les DSI tiraient enfin partie de leur capital humain ?
• L’entreprise face au risque cybercriminalité : think global !
• Oser la rupture dans les relations DSI / Métiers pour accélérer les transformations du SI
• Le Smart - au-delà du buzzword, préparez la transformation !
• Bring Your Own Device, phénomène de mode ou mutation profonde des relations DSI / utilisateurs ?
• Le pilotage économique : 1ère
priorité du DSI !
Pour en savoir plus sur le programme, ateliersolucom@solucom.fr
- 20. Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8
92042 Paris La Défense Cedex
Tél. : 01 49 03 20 00 Fax. : 01 49 03 20 01
www.solucom.fr
CopyrightSolucom-ISBN978-2-918872-17-7EAN9782918872177-Responsabledelapublication :LaurentBellefin