Cloud Computing : comment ne pas se faire dévorer par le nuage ?

Pour une entreprise, délocaliser une partie de son infrastructure informatique sur le Cloud constitue une menace réelle pour la continuité du service. Pour autant, faut-il avoir peur du Cloud ?

Toutes les entreprises qui choisissent de délocaliser une partie de leur infrastructure informatique sur le Cloud sont confrontées à ce dilemme : doit-on faire confiance ou pas à son prestataire « SaaS » ? De fait, lorsque l’on ne maîtrise plus la totalité de son système d’information, il est vital de prendre un certain nombre de précautions afin de garantir la continuité du service, même en cas de défaillance. Petit guide de survie dans la jungle du nuage informatique.

Règle n°1 : identifier et mesurer les menaces

C’est le B.A.-BA. Il s’agit non seulement de lister les menaces, mais également de les catégoriser selon leur degré d’impact sur l’activité de l’entreprise, en fonction des applications délocalisées. Les salariés sont-ils exposés ? Dans quelle mesure cela peut-il perturber leur travail ? Quels sont les risques pour les moyens matériels ou les logiciels déployés ? Il est important de bien mettre à jour les risques majeurs, c’est-à-dire ceux qui pèsent directement sur la vie de l’entreprise. Ils devront être couverts par un dispositif de secours spécifique. Globalement, cette analyse doit permettre de constituer un cahier des charges de la continuité définissant les objectifs ainsi que les délais maxima de rétablissement des moyens.

Règle n° 2 : détailler les moyens de secours

Le plan de secours doit être décrit à l’aide de scénarios précis détaillant les moyens mis en œuvre : faisabilité, coût, etc. Ne pas oublier de spécifier explicitement les processus de communication à respecter en mode dégradé, si le service ne fonctionne plus ou moins bien. Faute de quoi des situations de crise ubuesques peuvent apparaître : par exemple, un plan de reprise qui prévoit une communication électronique par mail… alors que tous les moyens de communication sont justement hors service ! Ou celui qui mettrait en place des moyens de reprise beaucoup plus dispendieux que le coût du préjudice lui-même. Et ne parlons pas de celui qui exigerait un redémarrage manuel de l’informatique… alors que la porte d’accès à la salle serveur, elle-même pilotée par le système d’information mis à mal, est bloquée !

Crash Test exaegis

Règle n° 3 : évaluer la fiabilité du système d’information

Pour être efficace, un plan de secours doit également avoir identifié toutes les activités critiques dans le cadre des processus métiers, ainsi que les outils et les flux de données dont va dépendre la pérennité du service informatique. Cette étape demande d’établir une cartographie parfaite du système d’information et des moyens matériels et humains assurant sa continuité. L’informatique « en nuage » repose sur l’exécution d’une transaction entre l’entreprise et son prestataire, incluant des moyens matériels : couche applicative, serveur d’applications, machine virtuelle, serveur physique, disque dur… Ce sont généralement les composants informatiques supports qui sont délocalisés. Ils constituent donc des facteurs clés de la reprise. La cartographie du système d’information permettra de déterminer ceux qui doivent impérativement être « doublés » pour garantir la continuité.

Règle n°4  : contractualiser ses exigences de continuité

L’émergence du « Cloud Computing » sous toutes ses formes transfère la prise en charge de certaines problématiques de continuité vers les prestataires. La traçabilité entre les applications restées en interne et celles qui ont été délocalisées dépend donc désormais des engagements de service et de continuité qui sont contractualisés avec les prestataires du cloud. La qualité de ce contrat déterminera la résilience du service informatique. Les exigences de continuité doivent donc faire partie intégrante de la transaction et être cohérentes avec les capacités de continuité et de reprise d’activité des prestataires

Règle n°5  : obtenir une garantie opérationnelle de la part d’un tiers

Bien sûr, la pérennité de l’activité du prestataire est un facteur clé de la continuité. Si le plan de reprise ne suffit pas, si le prestataire disparaît suite à une défaillance financière ou bien s’il est racheté, qu’advient-il du service délocalisé ? Pour être véritablement efficace dans l’univers du cloud, le plan de reprise d’activité doit inclure une sécurisation complète du fournisseur « as a service ». En d’autres termes : une garantie opérationnelle totale, que seul un tiers de confiance peut délivrer. Dans ce cas, la réversibilité complète et réassurée du service est prévue : de quoi dormir sur ses deux oreilles.

 

Accéder à un marché semi public grâce à la Garantie Opérationnelle exaegis

Startup

Business Case

Secteur d’activité : Startup SaaS dans le domaine de la Gestion de la formation

Taille : startup de 2 ans d’antériorité, CA de 150K€ (mais principalement en conseil), 8 collaborateurs

Contexte : une startup offrant des services de gestion de la formation des salariés présente une offre novatrice et très concurrentielle sur le plan tarifaire.

La DRH d’un organisme semi public, gérant 600 collaborateurs est intéressé par les fonctionnalités et l’ergonomie présentées par la jeune entreprise, en raison d’un ROI rapide. Le service « achats » et la Direction Informatique coincent pour entériner la commande : interrogation sur la pérennité du prestataire et devenir de la solution et des données en cas de disparition de la Startup.

Notre intervention : Audit et Notation de la startup par exaegis, qui conduit à la délivrance du label StarTRUXT. Sécurisation de la jeune pousse et souscription par le client de la Garantie Opérationnelle. L’audit a également mis en avant la nécessité de mettre en œuvre un PCI pour la startup.

Résultats : Suite à la lecture du rapport d’audit de la Notation (α2), rassuré par l’obtention du label StarTRUXT, le client a souscrit l’abonnement proposé par la jeune pousse pour ses 600 collaborateurs.

Tout en contractualisant en parallèle la garantie opérationnelle exægis de son nouveau fournisseur afin que la continuité de services soit assurée en cas du pire. La Direction informatique ayant donné son accord, la garantie financière de 15 M€ présentée par exaegis a levé les dernières réticences du « service achat » et la startup a remporté son premier marché d’importance avec une valeur de contrat de 112 K€ sur trois ans.

La startup intègre dans toutes ses nouvelles présentations son Label et présente la Garantie Opérationnelle sur toutes les dossiers supérieurs à 20K€.

Facteurs clé de Succès :

  1. La Direction Utilisatrice était un sponsor fort de la solution, qui présentait un ROI rapide
  2. Le rapport de Notation a mis en exergue sur le plan financier la qualité du business model et de son business plan. L’audit opérationnel a démontré une forte capacité d’exécution de la solution. La Notation obtenue a conforté les interlocuteurs clients dans leur choix et le « service achat » a considéré le prestataire avec plus de bienveillance.
  3. L’audit opérationnel a soulevé le besoin d’un plan de continuité informatique de la startup. Ce PCA a été construit dans le cadre de la sécurisation et exægis assure également le PCI de la jeune pousse.
  4. La Garantie Opérationnelle exaegis a permis de rallier la direction informatique au projet en permettant à la DSI de valider l’intégration de ce nouveau fournisseur dans son plan de continuité et surtout maitriser les données en cas de défaillance
  5. La réassurance exægis de 15M€ a levé les derniers doutes sur la chaine de responsabilité présentée par la startup et exægis.