Gros plan sur les nouveaux modèles d’entreprise

Cloud computing: exploiter les opportunités tout en gérant les risques


Le cloud computing ou informatique en nuage constitue un pilier de la révolution numérique qui entraîne des changements profonds au sein de notre société et sur le mode de fonctionnement des entreprises. C’est également une opportunité immense pour les entités de toutes tailles. Les risques peuvent paraître considérables aux yeux de certains, toutefois, de nombreuses recommandations existent pour vous aider à réussir votre passage au cloud.

Jan Schreuder

Jan Schreuder

Associé, Cybersecurity and Technology Risk

Le cloud computing semble souvent très complexe, commençons donc par le définir. Il existe trois grandes catégories d’informatique en nuage: l’infrastructure en tant que service (IaaS), la plate-forme en tant que service (PaaS) et le logiciel en tant que service (SaaS).

IaaS: En utilisant l’infrastructure en tant que service, vous pouvez renoncer à votre propre infrastructure informatique, car vous disposez de l’infrastructure mise à disposition à votre demande par un fournisseur mondial ou local. Plutôt que de posséder votre infrastructure virtuelle, vous la louez «dans le nuage» que vous pouvez utiliser pour tout ce que vous auriez sur vos propres serveurs. Ceci n’implique aucune dépense financière.

PaaS: La plate-forme en tant que service consiste à utiliser un fournisseur de cloud plutôt que votre propre système comme plate-forme pour développer, exécuter et gérer des applications Web, sans la complexité associée à la création et à la maintenance de l’infrastructure nécessaire au développement et au lancement d’une application. Il existe plusieurs fournisseurs mondiaux bien connus, mais des acteurs locaux font aussi leur apparition – et peuvent être intéressants pour les entreprises inquiètes du fait que leur service soit hébergé à l’étranger.

SaaS: La plupart des utilisateurs de médias sociaux connaissent le logiciel en tant que service. En effet, les plates-formes telles que Facebook et Linkedln fonctionnent toutes selon ce modèle, avec leur logiciel dans le nuage plutôt que dans l’appareil de l’utilisateur. Le même principe s’applique dans le contexte des entreprises qui sont nombreuses à utiliser des logiciels de gestion de la relation client (CRM) ou de planification des ressources d’entreprise (ERP) fournis «en tant que service». L’utilisateur consomme simplement le logiciel sans savoir où il est localisé.

Ces trois types de cloud computing peuvent être fournis soit intégralement par un fournisseur tiers (cloud public), soit en interne par une organisation (cloud privé) ou de manière combinée (cloud hybride). Les entreprises internationales de taille suffisamment importante pour profiter des économies d’échelle investissent dans la construction de leur propre infrastructure de cloud privé. Cependant, la plupart des entités ne sont pas assez grandes pour que cela se justifie et tendent plutôt à utiliser les services de cloud public ou hybride.

Le cloud computing a le potentiel de réduire de manière significative les coûts informatiques et de déplacer les dépenses d’investissement de capital vers les dépenses d’exploitation. L’entreprise profite d’une plus grande souplesse avec la possibilité d’élargir ou de réduire à sa guise le service souhaité.

Arguments en faveur du cloud

Les entreprises trouveront des arguments en faveur des trois catégories de services de cloud, IaaS, PaaS et SaaS. Toutes offrent des avantages en matière de coûts – le potentiel de réduire de manière significative les coûts informatiques et de déplacer les dépenses d’investissement de capital (capex) vers les dépenses d’exploitation (opex) – ainsi qu’une plus grande souplesse, avec la possibilité pour l’entreprise d’étendre ou de réduire à sa guise le service souhaité.

De plus, l’infrastructure en tant que service vous permet de fournir des services complémentaires beaucoup plus rapidement, ce qui est particulièrement intéressant pour les grands événements de divertissement ou les événements sportifs par exemple. Cela décharge aussi le département informatique qui peut ainsi se concentrer sur la création de valeur ajoutée pour l’entreprise, plutôt que de s’enliser dans la gestion de l’infrastructure.

Avec le logiciel en tant que service, il n’est plus nécessaire de mettre à jour continuellement les logiciels ou de suivre les dernières sorties et patchs: comme vous payez pour utiliser le logiciel plutôt que de le posséder, vous êtes toujours assuré d’avoir la dernière version. De nombreuses offres de SaaS sont très flexibles et vous permettent de configurer le logiciel pour qu’il réponde à vos besoins, sans devoir le personnaliser ni développer vous-même une fonctionnalité supplémentaire.

Le SaaS est aussi un outil très performant pour la main d’œuvre mobile, car tout ce dont vos collaborateurs ont besoin pour accéder au logiciel est un accès Internet. Beaucoup d’entreprises trouvent aussi très intéressants les services associés souvent fournis avec le logiciel. Une bonne option pour de nombreuses petites entreprises peut être, par exemple, un logiciel comptable qui sera associé à des services de comptabilité mensuels fournis par une entreprise de renom. Elles pourront se passer de leurs propres logiciels et matériels et ne plus avoir besoin de fonctions comptables internes. En général, le cloud est particulièrement adapté aux entreprises qui, en raison de leur taille, ne peuvent avoir leurs propres départements et personnels spécialisés (comme dans le domaine informatique).

Le PaaS a des avantages très similaires à ceux du SaaS et vous donne, en plus, une plate-forme pour développer une fonctionnalité complémentaire. Autrement dit, vous pouvez individualiser la solution pour votre organisation bien plus qu’avec le SaaS.

Le cloud en action

À quels types d’entreprises le cloud profite-t-il?

Les entreprises faisant appel à des services d’analyse sont un bon exemple. Pour faire face à un pic de charge durant la période de Noël par exemple, vous pouvez désormais conclure un contrat temporaire avec un fournisseur d’analyses afin d’exploiter une base de données analytiques dans le nuage. Il vous suffit pour cela d’aller sur le site Internet du fournisseur de cloud avec une carte de crédit, et l’infrastructure sera disponible en une heure ou deux. Dans de nombreux cas, un service à distance est la seule manière de résoudre le problème – un exemple de nouvelle approche qui n’était pas possible avant l’arrivée du cloud.

Le cloud est aussi en train de se généraliser au sein du secteur public. Ainsi, le gouvernement du Royaume-Uni applique depuis plusieurs années le G-Cloud (Government Cloud), une stratégie qui oblige pratiquement les instances publiques à se procurer des services via le cloud. En Australie, les gouvernements d’Etat ont également des stratégies qui imposent aux acheteurs de tenir d’abord compte du cloud et de justifier le business case1 s’ils décident de renoncer à cette option. Le gouvernement suisse a mis en place, lui aussi, une stratégie d’informatique en nuage qui complète sa politique de cyberadministration et concerne en premier lieu la Confédération, les cantons, les communes et les entreprises affiliées à la Confédération. Dans ce domaine, les défis sont essentiellement les mêmes que pour le secteur privé, à une légère différence près: pour le gouvernement et le secteur public, les points les plus importants sont les modalités de souscription des services de cloud et la gestion des risques liés à la confidentialité des données.

Un autre groupe profite particulièrement du cloud, à savoir les organisations basées sur des projets, comme les entreprises de construction, les ingénieurs-conseil et les fournisseurs d’infrastructure. Elles avaient l’habitude de devoir provisionner pour chaque projet, dépensant ainsi un temps précieux et des ressources afin d’équiper chaque nouveau site en matériel, câblage, etc. Avec un modèle de cloud, tout ce dont les collaborateurs du projet ont besoin est un accès à Internet (par exemple à l’aide de leur carte SIM) et ils sont productifs dès le premier jour. De plus, il n’y a pas de matériels dont il faut se débarrasser une fois le projet achevé.

Les véritables avantages du cloud

Cela nous amène au cœur du sujet: les avantages réels de l’informatique en nuage n’apparaissent pas dans une utilisation isolée mais en combinaison avec d’autres pièces du puzzle de la transformation numérique telles que les analyses, les solutions de main-d’œuvre mobile et les médias sociaux.

On commence à s’apercevoir de toutes les implications du cloud une fois que les pièces sont assemblées. Si on extrapole l’avenir, avec les économies d’échelle du cloud, les entreprises n’auront plus aucun intérêt à avoir leur propre infrastructure informatique, à moins d’être de taille très importante. Cette évolution est comparable à celle de l’électricité. Avec l’électricité en réseau, chaque usine n’a plus besoin de posséder sa propre installation de production d’électricité; avec le cloud, les services informatiques sont désormais universellement disponibles.

Ressources utiles pour le cloud computing

Cloud Security Alliance (CSA)

Présente sur tous les continents excepté l’Antarctique, la Cloud Security Alliance (CSA) est la plus grande organisation mondiale qui œuvre pour définir de bonnes pratiques et sensibiliser en la matière, afin d’aider à garantir la sécurité au sein des environnements cloud. La CSA tire parti de l’expertise des professionnels de l’industrie, des associations, des gouvernements et de ses membres, qu’ils soient des entreprises ou des individus, afin de proposer des recherches, des mesures de formation, des certifications, des événements et des produits spécifiques à la sécurité du cloud.

CSA Security, Trust & Assurance Registry (STAR)

La CSA dirige le programme de certification très populaire sur la sécurité des fournisseurs de cloud, le CSA Security, Trust & Assurance Registry (STAR), un programme à trois niveaux d’assurance qualité des fournisseurs basé sur l’auto-évaluation, l’audit de tierce partie et le suivi continu.

Cloud Security Alliance Switzerland Chapter (CSACH)

Le président du Chapitre suisse de la Cloud Security Alliance (CSACH), Klaus Gribi de Swisscom, décrit sa mission de la manière suivante: «La CSACH se concentre sur la protection des informations et des données, ainsi que sur des aspects juridiques du droit suisse, afin de soutenir et d’assister les consommateurs de cloud et les fournisseurs de services de cloud en Suisse. Pour atteindre cet objectif, la CSACH dirige des initiatives de recherche visant à compiler et à fournir des lignes directrices et des bonnes pratiques. Elle organise des événements sur la sécurité du cloud dans toute la Suisse et crée des plates-formes d’experts sur la sécurité du cloud en Suisse pour favoriser l’échange d’informations, de savoir-faire et d’expérience sur ce sujet.»

Préposé fédéral à la protection des données et à la transparence (PFPDT)

Le Préposé fédéral à la protection des données et à la transparence exerce une fonction consultative et de surveillance en matière de protection des données et pour les questions d’information et de transparence. Dans le secteur privé, le préposé agit avant tout en tant que conseil. Il explique les dispositions légales sur la protection des données et offre aide et conseil en matière d’enregistrement des fichiers, en cas de flux transfrontaliers de données, et pour les demandes relatives au droit d’accès. Il fournit également des conseils sur les questions juridiques et techniques et joue un rôle d’intermédiaire en cas de situations de conflit.

Au final, les entreprises peuvent ainsi réorganiser de manière dynamique leur chaîne de valeur pour la rendre plus souple et transformer leur façon de créer de la valeur. Il suffit de connaître la valeur fournie et la manière dont cette valeur est fournie, puis de «plug and play» (brancher et utiliser) les logiciels, services et infrastructures requis, à partir de fournisseurs basés sur le cloud. Si vous n’aimez pas un fournisseur en particulier, vous pouvez le remplacer par un fournisseur différent sans pertes en matière d’infrastructure ni de ressources financières ou humaines.

Les implications sont immenses, mais les changements requièrent une évolution des mentalités. Au lieu de penser qu’il vous faut posséder ou contrôler votre chaîne d’approvisionnement, vous devez commencer à penser en termes d’écosystème créateur de valeur, et configurer votre chaîne d’approvisionnement en conséquence, en ayant recours aux spécialistes les mieux adaptés dans chaque domaine. Pour réussir dans le monde de l’économie numérique, il sera important de bien gérer les informations et d’en tirer le meilleur parti possible sans pour autant posséder ou contrôler la chaîne physique d’approvisionnement. Les gagnants seront les entreprises ayant la meilleure visibilité de leur chaîne de valeur et qui utiliseront le plus efficacement ces informations plutôt que celles qui en ont le contrôle physique.

Qu’en est-il des risques?

Les avantages du cloud sont considérables. Mais qu’en est-il des inconvénients? Paradoxalement, les principales inquiétudes concernant l’informatique en nuage – à savoir des questions cruciales telles que la souveraineté, la confidentialité et la sécurité des données – sont déjà bien comprises et de bonnes recommandations sont disponibles. Des instances internationales comme la Cloud Security Alliance (voir encadré) existent depuis plusieurs années déjà. Elles se sont employées à clarifier les bonnes pratiques et à publier des directives sur la manière de gérer le cloud et les risques qu’il comporte.

Bien entendu, les entreprises qui entrent dans le cloud doivent aussi se plier aux exigences réglementaires – mais une fois encore, elles sont très bien comprises et des informations existent. Par exemple, le Préposé fédéral à la protection des données et à la transparence (PFPDT; voir encadré) a publié un guide sur le cloud computing sous l’angle de la confidentialité des données suisses.

En revanche, de nombreux nouveaux venus dans le cloud tendent à sous-estimer toute une série de risques moins bien compris, dont beaucoup sont de nature contractuelle. Il est fondamental de savoir s’il y a une marge de négociation pour les termes et conditions de votre contrat. Traiter avec un grand fournisseur de cloud peut signifier que vous n’avez aucune marge de négociation. Par exemple, si vous souhaitez convenir de niveaux de service garantis et que vous ne le pouvez pas, quelles seront les conséquences en cas de panne, si le contrat ne prévoit aucun remède? Les modalités de résiliation peuvent également poser problème. Que ferez-vous s’il arrive quelque chose à votre fournisseur de cloud, s’il dénonce le contrat dans un délai très court et que vous n’avez plus accès à vos données, ou que vous n’avez pas suffisamment de temps pour les déplacer vers un nouveau fournisseur? Il s’agit ici de l’un des aspects d’un plus gros risque bien souvent négligé: la viabilité à long terme de votre fournisseur de cloud. Les petits fournisseurs (et les grands) peuvent mettre la clé sous la porte, et il peut s’avérer difficile de récupérer vos données si votre fournisseur fait faillite ou est racheté.

L’e-discovery représente un autre danger potentiel. En cas de problème juridique, dans le cadre d’une procédure d’e-discovery, il est possible que vous n’ayez pas le droit d’accéder à vos données – ou que vous en ayez le droit seulement pour une durée limitée. Il est donc primordial d’examiner vos exigences en matière de conservation et d’archivage des données et d’étudier dans quelle mesure votre fournisseur de cloud les remplit. La situation deviendra problématique, par exemple, si vous devez conserver des données pendant sept ans et que votre fournisseur ne les garde qu’une année.

Le flou concernant les coûts est également un facteur de risque. Lorsqu’elles commencent à évaluer un business case de cloud computing, les entreprises oublient ou sous-estiment souvent les dépenses liées à l’obfuscation des données: il s’agit de l’ensemble des technologies, y compris le cryptage et la tokenisation, destinées à cacher des données ou à les protéger des regards indiscrets. Le processus pouvant s’avérer coûteux, il est important d’avoir une idée réaliste des coûts induits.

Le cloud peut aussi comporter des risques fiscaux, avec différentes implications selon la provenance du service, et qui doivent également être surveillés. À l’inverse, le cloud peut aussi présenter de potentielles opportunités fiscales en vous permettant de déplacer certaines parties de votre chaîne d’approvisionnement vers des juridictions fiscalement plus avantageuses. Par exemple, une entreprise peut très bien choisir de délocaliser les effectifs de son service Recherche et Développement vers une juridiction qui offre des avantages dans ce domaine; grâce au cloud, elle peut maintenant le faire sans devoir mettre sur pied une énorme infrastructure sur place.

Le «Shadow IT» constitue un autre défi lié au cloud, en particulier pour les grandes entreprises et leurs collaborateurs du service informatique. Le fait que n’importe qui, au sein de l’entreprise, puisse potentiellement obtenir des services informatiques du cloud, sans pour cela impliquer le département informatique, peut entraîner une situation où les coûts et les achats ne sont quasiment plus maîtrisés. Les entreprises prévoyantes mettent en place des politiques de cloud computing afin de s’assurer que les risques sont correctement évalués et que les exigences pertinentes (réglementaires, etc.) sont remplies.

La solution est à portée de main!

Ce qu’il faut retenir concernant ces risques est qu’ils sont tous gérables et qu’aucun d’entre eux ne doit vous empêcher de vous engager sur la voie du cloud pour profiter de ses immenses avantages.

Comme nous l’avons déjà mentionné (pour plus de détails à ce sujet, cf. encadré), il existe des instances et des cadres nationaux et internationaux qui donnent des orientations sur la gestion du cloud.

Des entreprises de services professionnelles disposant de spécialistes du cyber-business et de la transformation numérique proposent également une large assistance, allant de la formulation de la stratégie numérique aux services de migration qui permettent aux entreprises de passer de leur environnement actuel au cloud. Une grande partie de ce travail consiste en des évaluations réglementaires et des risques, et à aider les entreprises à démontrer aux autorités de réglementation qu’elles satisfont aux exigences (par exemple en produisant des rapports indépendants à l’attention du régulateur). Il s’agit souvent aussi de les épauler pour les business cases, la fiscalité, etc. Les entreprises de services professionnelles peuvent aussi aider leurs clients à conserver une vue d’ensemble qui leur permet d’exploiter au mieux le cloud computing et de comprendre comment intégrer différents services de cloud dans leur chaîne d’approvisionnement. Nombre de grandes entreprises trouvent utile de créer leur propre fonction interne afin d’orchestrer toutes ces composantes, et il existe de nombreuses technologies de cloud brokering (utilisées pour intégrer les services de cloud et gérer leur performance et résilience) qui évoluent pour faciliter cela.

Les entreprises de services professionnelles soutiennent aussi les fournisseurs de cloud en leur délivrant des garanties de contrôle par une tierce partie: la preuve qu’un fournisseur peut publier sur son site Internet, selon laquelle ses services satisfont aux normes professionnelles internationalement reconnues. Ces entreprises contribuent à créer et à faire évoluer un cadre global fiable pour la transformation numérique et le cloud computing en participant activement aux instances normalisatrices, industrielles et aux organisations de bonnes pratiques telles que la Cloud Security Alliance.

Nous sommes à votre disposition!

Jan Schreuder

Jan Schreuder

Associé, Cybersecurity and Technology Risk

+41 58 792 24 84

Conclusion

Le cloud révolutionne d’ores et déjà la marche des affaires dans les secteurs privé et public. Il existe des risques, mais tous sont gérables. Certains sont déjà bien compris et des recommandations de bonnes pratiques détaillées sont disponibles. D’autres défis nécessitent un examen approfondi, mais là encore il est possible d’être aidé. Le plus important est de considérer le cloud comme partie intégrante d’un tout, c’est-à-dire comme un outil qui permet aux entreprises de réorganiser de manière dynamique leur chaîne d’approvisionnement afin de créer de la valeur plus judicieusement et efficacement. Pour conclure, la véritable question qui se pose est: pouvez-vous vous permettre de ne pas être dans le cloud?

  1. Business case: Le business case permet d’analyser la rentabilité et les effets d’un projet d’externalisation. Sont établis dans le cadre de cette activité les processus ainsi que l’organisation qui utilisera les processus après l’externalisation. On analyse ensuite le coût de la partie externalisée pour l’organisation par rapport à aujourd’hui et le moment à partir duquel le processus d’externalisation sera rentable dans les cinq ans à venir.