Cloud Computing : comment ne pas se faire dévorer par le nuage ?

Pour une entreprise, délocaliser une partie de son infrastructure informatique sur le Cloud constitue une menace réelle pour la continuité du service. Pour autant, faut-il avoir peur du Cloud ?

Toutes les entreprises qui choisissent de délocaliser une partie de leur infrastructure informatique sur le Cloud sont confrontées à ce dilemme : doit-on faire confiance ou pas à son prestataire « SaaS » ? De fait, lorsque l’on ne maîtrise plus la totalité de son système d’information, il est vital de prendre un certain nombre de précautions afin de garantir la continuité du service, même en cas de défaillance. Petit guide de survie dans la jungle du nuage informatique.

Règle n°1 : identifier et mesurer les menaces

C’est le B.A.-BA. Il s’agit non seulement de lister les menaces, mais également de les catégoriser selon leur degré d’impact sur l’activité de l’entreprise, en fonction des applications délocalisées. Les salariés sont-ils exposés ? Dans quelle mesure cela peut-il perturber leur travail ? Quels sont les risques pour les moyens matériels ou les logiciels déployés ? Il est important de bien mettre à jour les risques majeurs, c’est-à-dire ceux qui pèsent directement sur la vie de l’entreprise. Ils devront être couverts par un dispositif de secours spécifique. Globalement, cette analyse doit permettre de constituer un cahier des charges de la continuité définissant les objectifs ainsi que les délais maxima de rétablissement des moyens.

Règle n° 2 : détailler les moyens de secours

Le plan de secours doit être décrit à l’aide de scénarios précis détaillant les moyens mis en œuvre : faisabilité, coût, etc. Ne pas oublier de spécifier explicitement les processus de communication à respecter en mode dégradé, si le service ne fonctionne plus ou moins bien. Faute de quoi des situations de crise ubuesques peuvent apparaître : par exemple, un plan de reprise qui prévoit une communication électronique par mail… alors que tous les moyens de communication sont justement hors service ! Ou celui qui mettrait en place des moyens de reprise beaucoup plus dispendieux que le coût du préjudice lui-même. Et ne parlons pas de celui qui exigerait un redémarrage manuel de l’informatique… alors que la porte d’accès à la salle serveur, elle-même pilotée par le système d’information mis à mal, est bloquée !

Crash Test exaegis

Règle n° 3 : évaluer la fiabilité du système d’information

Pour être efficace, un plan de secours doit également avoir identifié toutes les activités critiques dans le cadre des processus métiers, ainsi que les outils et les flux de données dont va dépendre la pérennité du service informatique. Cette étape demande d’établir une cartographie parfaite du système d’information et des moyens matériels et humains assurant sa continuité. L’informatique « en nuage » repose sur l’exécution d’une transaction entre l’entreprise et son prestataire, incluant des moyens matériels : couche applicative, serveur d’applications, machine virtuelle, serveur physique, disque dur… Ce sont généralement les composants informatiques supports qui sont délocalisés. Ils constituent donc des facteurs clés de la reprise. La cartographie du système d’information permettra de déterminer ceux qui doivent impérativement être « doublés » pour garantir la continuité.

Règle n°4  : contractualiser ses exigences de continuité

L’émergence du « Cloud Computing » sous toutes ses formes transfère la prise en charge de certaines problématiques de continuité vers les prestataires. La traçabilité entre les applications restées en interne et celles qui ont été délocalisées dépend donc désormais des engagements de service et de continuité qui sont contractualisés avec les prestataires du cloud. La qualité de ce contrat déterminera la résilience du service informatique. Les exigences de continuité doivent donc faire partie intégrante de la transaction et être cohérentes avec les capacités de continuité et de reprise d’activité des prestataires

Règle n°5  : obtenir une garantie opérationnelle de la part d’un tiers

Bien sûr, la pérennité de l’activité du prestataire est un facteur clé de la continuité. Si le plan de reprise ne suffit pas, si le prestataire disparaît suite à une défaillance financière ou bien s’il est racheté, qu’advient-il du service délocalisé ? Pour être véritablement efficace dans l’univers du cloud, le plan de reprise d’activité doit inclure une sécurisation complète du fournisseur « as a service ». En d’autres termes : une garantie opérationnelle totale, que seul un tiers de confiance peut délivrer. Dans ce cas, la réversibilité complète et réassurée du service est prévue : de quoi dormir sur ses deux oreilles.

 

Editeurs SaaS : 7 bonnes raisons d’adopter le label TRUXT

Sur le vaste marché des services Cloud, les éditeurs SaaS sont devenus des fournisseurs de services incontournables. Mais la concurrence est rude et les clients méfiants. Comment faire la différence et inspirer la confiance ? Le label TRUXT, gage d’une démarche indépendante de certification par un tiers, leur permet de prendre une longueur d’avance. Pourquoi l’adopter ? Réponse en 7 points :

1. Pour être (bien) vu

Avec l’apparition des services Cloud, les éditeurs de logiciels ont été nombreux à changer de cap et à proposer des solutions délocalisées « as a service ». Ils évoluent désormais sur un marché très fragmenté où une multitude de petits acteurs côtoient quelques très grosses structures. Conséquences : l’éditeur a bien du mal à émerger au milieu de la masse et le client n’a pas forcément une vision exhaustive du marché. Mais lorsqu’un label réputé pour son sérieux et son efficacité vient garantir la qualité d’un service, la donne change. La première force du label TRUXT est donc de rendre visibles et identifiables les entreprises qui l’affichent.

2. Pour rassurer et sécuriser vos clients

En externalisant certains services informatiques, une entreprise délègue des activités fastidieuses et sans grande plus-value pour se concentrer sur son cœur de métier. En contre partie, elle transfère au fournisseur du service une partie des responsabilités qu’elle assumait seule auparavant et qui impactent la sécurité et la continuité opérationnelle de ses prestations. Normal, donc, que le client souhaite être rassuré : il se tournera vers le fournisseur qui lui proposera les meilleures garanties. À travers ses 7 chapitres d’analyse et ses 150 points de contrôle, le label TRUXT passe au crible l’activité de l’éditeur, évalue et garantit l’ensemble de ses capacités. De quoi instaurer une vraie relation de confiance.

3. Pour asseoir votre maturité et vos arguments

Lors de la négociation avant-vente, l’éditeur sera parfois confronté à des responsables IT aguerris sur les sujets de continuité et de sécurité. A contrario, beaucoup d’éditeurs ne sont pas préparés à l’exercice d’audit de leurs processus et de leur infrastructure. Or, ils devront être capables de transparence pour démontrer leur maîtrise. Le Label TRUXT et son audit préalable permettent au fournisseur de se benchmarker pour mieux se connaître sur ces sujets. Les forces commerciales pourront s’appuyer sur une double analyse, financière et opérationnelle, pour mettre en avant la valeur ajoutée du service et répondre aux questions les plus pointues : « Par quel moyen vérifiez-vous la sécurité de votre code source ? » , « Quels sont les moyens anti-DDoS déployés ? », ou encore « Vos collaborateurs peuvent-ils visualiser, imprimer vos données ? »

Crash Test exaegis

4. Pour garantir la continuité d’exploitation

« Quel est le Recovery Point objectif de votre solution ? Comment calculez-vous votre taux de disponibilité ? » Un éditeur Saas doit savoir répondre à ces questions. Il est en effet le seul responsable de la continuité du service qu’il propose. Pas question de reporter le problème sur l’hébergeur, même si la continuité repose en partie sur celui-ci. Or, c’est une préoccupation majeure pour les entreprises, d’autant plus lorsqu’il s’agit d’un outil d’e-commerce ou de planification des ressources (ERP). L’éditeur doit donc choisir son hébergeur avec soin, en fonction de sa cible, et obtenir de sa part des engagements de continuité et de reprise. La labellisation TRUXT garantit l’existence d’un plan de reprise certifié, intégrant l’ensemble des responsabilités de l’éditeur.

5. Pour assurer la réversibilité des données

Autre question incontournable : celle de la réversibilité des données délocalisées. Le client se demandera toujours, avec raison, ce qu’il advient de ses données en cas de résiliation du service, de quelle façon il pourra les récupérer et sous quel format. Ces enjeux sont donc également devenus ceux des éditeurs. Le label TRUXT garantit au client qu’en cas de défaillance du prestataire Saas, il sera en mesure non seulement de récupérer l’ensemble de ses données, mais également de pouvoir les réutiliser avec le prestataire et le logiciel qui prendront la suite du service.

6. Pour fiabiliser l’innovation

Parce qu’il évolue sur un secteur nouveau et technologique, le monde du SaaS véhicule une image innovante. C’est précisément ce qui attire certains clients grands comptes, pour qui l’innovation est devenue un principe de gouvernance et un enjeu stratégique majeur. Ces sociétés ont donc besoin des éditeurs SaaS, mais à condition qu’ils soient fiables. Elles seront d’autant plus exigeantes sur le choix de leur prestataire… et intéressées par ceux qui pourront leur prouver qu’en cas de défaillance, la continuité du service sera bien garantie.

7. Pour engager une dynamique vertueuse

L’exercice de labellisation permet d’entamer une réflexion en profondeur sur les enjeux du SaaS. Le label TRUXT permet aux éditeurs de prendre les devants en démontrant leur excellence opérationnelle, mais pas seulement. La progression dans la grille de notation Exaegis peut également être un support à la fixation d’un plan de progrès sur des sujets spécifiques aux problématiques SaaS.

Les 7 chapitres de l’audit TRUXT

1. Gestion de la relation clients

2. Fourniture des services définis

3. Gestion de l’équipe de travail : motivation, embauche, fidélisation

4. Gestion de l’amélioration de la qualité

5. Gestion des menaces récurrentes (sécurité)

6. Gestion des transferts de services en intégration et réversibilité

7. Pilotage, management et gestion