Vous le voulez comment votre Cloud ? Par Bertrand Duperrin
Résumé : le cloud c’est l’avenir. Mais cette notion recouvre tellement de choses différentes qu’elle génère une confusion croissante entre les métiers qui le demandent et l’IT qui a sa propre vision de sujet. J’ai profité de l’inauguration du premier centre cloud d’IBM en France pour faire le point sur le sujet, comparer les visions des métiers et des DSI en la matière et répondre à trois questions : qu’est ce que le cloud, est-il fait pour les métiers ou les services informatiques et les données y sont-elles en sécurité ?
Je m’excuse d’avance auprès de mon lectorat IT qui risque de trouver ce billet bien vulgarisateur et approximatif mais mon propos ici sera surtout de clarifier certains points à l’attention des populations métier à qui on a tellement dit que le cloud c’était rapide et simple qu’elles ne comprennent pas nécessairement pourquoi leur projet prend plus de temps que prévu ou se retrouvent dans une position difficile au regard des conséquences de certains choix sur le long terme parce qu’elles n’avaient pas toutes les cartes en main au moment de faire les choix en question.
L’idée de ce billet n’est pas nouvelle mais le déclic a eu lieu il y a une quinzaine de jours alors qu’à l’invitation d’IBM je visitais leur premier centre de cloud public situé en France à l’occasion de son inauguration. Ayant sous la main les “experts maisons” et passant la journée avec la presse spécialisée à disserter sur le sujet, c’était l’occasion de parfaire ma culture sur le sujet et mettre ce que j’apprenais en perspective de situations souvent observées.
Aujourd’hui, lors du lancement d’un projet de type intranet, réseau social, collaboratif, il est on ne peut plus fréquent d’entendre dire : “bon il faut démarrer vite, donc on va faire simple et efficace en cloud”. Et quelle n’est pas la déception du donneur d’ordre lorsqu’il se rend compte que cela va quand même prendre 8 mois ou qu’il n’aura pas tout ce qu’il a demandé dans son cahier des charges.
La raison en est simple. Il y a tellement de réalités derrière le cloud qu’il est rare que tous les protagonistes d’un même projet soient sur la même longueur d’onde. Et lorsqu’ils s’en rendent compte il est souvent trop tard.
Derrière le nuage, trois réalités distinctes
Les plus avertis le savent mais il est utile de le rappeler. Derrière le “cloud” on trouve trois alternatives :
– Software as a service (Saas) : vous payez pour utiliser un logiciel en ligne. Un clic et votre compte est créé et vous pouvez démarrer. C’est ce que les éditeurs vendent en général aux métiers.
– Platform as a service (Paas) : vous payez pour disposer d’un environnement (infrastructure hardware et software, services managés) vous permettant de développer et faire fonctionner votre propre logiciel ou installer ce que vous désirez faire fonctionner.
– Infrastructure as a service (Iaas) : vous payez pour avoir une infrastructure à disposition, à vous d’y ajouter les systèmes d’exploitation et autres systèmes de virtualisation qui vont permettre d’y faire fonctionner vos applicatifs. En général on s’appuie sur celui là pour faire fonctionner les deux autres.
Cela peut sembler technique mais vous allez voir plus loin à quel point c’est facteur de malentendus, notamment dans les relations métiers/IT.
Les méfaits du discours marketing
Demandez à n’importe quel responsable métier pourquoi il veut lancer son projet en cloud, sa réponse sera invariable. “C’est parce que ce c’est rapide et qu’en un clic j’ai tout qui fonctionne alors que si j’héberge en interne…”. Ce qui est vrai en mode Saas. La question qui vient invariablement une fois que le projet évolue est celle d’une customisation poussée de l’outil, de l’intégration dans l’environnement de travail…qui pêche souvent lorsqu’on sait que le Saas est la Ford-T de l’informatique, celle qui était disponible dans toutes les couleurs pourvu que ce soit noir. “Mais on m’avait dit que tout était possible en Cloud ???”. En Paas oui, en Saas beaucoup moins. Tout est possible dans le cloud…mais pas dans celui que vous avez choisi pour aller vite.
C’est pour cela que lorsqu’on parle cloud sur un projet de type poste de travail, le métier pense Saas et l’IT Paas…ce qui fait que le métier ne comprend pas qu’on lui dise que ça va prendre 10 mois au lieu de 10 minutes.
Autre malentendu, lorsqu’on le métier dit “mon DSI ne veut pas de cloud”. En fait il ne veut pas Saas en cloud public pour des raisons de sécurité des données (certaines fort légitimes, d’autres un peu moins), donc il préfère héberger “chez lui”. Le “chez lui” pouvant être….un Paas géographiquement situé sur des serveurs distants de ceux qui hébergent les applications en mode Saas de quelques mètres seulement mais isolés et sécurisé en termes d’infrastructure.
Cela peut sembler quelque peu technique mais une fois que c’est assimilé cela évite des malentendus regrettables entre personnes qui parlent de la même chose mais avec une approche différente, arrivant ainsi à se focaliser sur leurs divergences alors qu’avec un peu de clarté elles arriveraient à construire quelque chose sur leurs attentes communes.
Cela nous amène donc à la sécurité des données.
Cloud public, cloud privé et sécurité des données
Pour les métiers, l’IT n’aime pas le cloud en raison d’une absence prétendue de sécurité. Erreur. L’IT aime le cloud, mais lorsqu’il est privé. Entendez par là qu’infrastructure et services sont “ailleurs”, que le système s’adapter rapidement à la charge nécessaire, mais que les données de l’entreprise sont sur des serveurs et circulent dans des cables qui ne sont partagés avec aucune autre entreprise. A l’inverse, dans un cloud public tout est mutualisé. Ce point peut sembler trivial mais est essentiel pour certaines applications et données, voire relève d’une obligation légale dans certains secteurs d’activité (banque et finance notamment). Vous allez me dire que finalement pour un intranet ou un réseau social c’est peut être un peu exagéré, mais lorsque le cloud en question héberge la comptabilité, le crm, la paie etc… cela devient plus compréhensible. Là encore le métier voit son besoin fonctionnel là où l’IT pense en termes de système global pour tous les besoins de l’entreprise.
Cela était très clair dans le centre IBM que nous avons visité et se retranscrit parfaitement dans l’offre de l’éditeur :
Par définition souvenez donc bien que ça n’est pas le Cloud qui parfois suscite des interrogations, c’est la manière dont il est mis en œuvre. Le Saas sera toujours public, le Paas sera public ou privé à la demande du client mais souvent privé.
Point intéressant : certains clients demandent d’ailleurs à IBM de mixer les deux. Autrement dit un cloud privé au sein duquel peut se trouver un cloud public : cela permet à certaines applications de bénéficier de ressources mutualisées, d’autres de ressources qui leur sont propres, le tout au sein d’en environnement dédié à l’entreprise. Un bon moyen de mélanger le besoin de sécurité lié à certaines données et de flexibilité nécessaire à des applications moins critiques.
Mais qui doit acheter le cloud au fait ?
Ce billet, vous l’avez compris, a surtout vocation a éclairer les métiers sur les contraintes et la vision que peut avoir leur DSI afin que chacun parle la même langue et que tout le monde œuvre dans le sens de la réussite globale au lieu de se focaliser sur des points parfois mineurs qui deviennent des points de blocage.
Ce qui nous amène à la question de savoir qui doit acheter le cloud dans l’entreprise puisque nous avons bien vu que si le cloud est bon pour tous, tout le monde ne rêve pas du même cloud.
Le cloud a acquis ses lettres de noblesses par les métiers qui y on veut une opportunité de faire des choses vite et bien en s’affranchissant des lourdeurs de l’IT grâce au Saas. Ce qui peut être une bonne chose pour certains besoins mais s’avère être un vrai soucis à long terme. Prenons un sujet que nous connaissons bien : les réseaux sociaux. Grâce au Saas il a été possible de démarrer vite et tout le monde a pu lancer son petit réseau social. Résultat : aucune initiative n’atteint la taille critique nécessaire à son succès et, de plus, on a recréé autant de silos que de réseaux.
Pour les projets qui ont réussi, car il y en a, s’est ensuite posé la question de l’évolution nécessaire du poste de travail. Intégration dans le portail, lien avec les applicatifs métier, avec la gestion documentaire, SSO, refonte totale de l’interface (on ne parle pas d’un simple changement de logo)…pas toujours aisé en Saas voire impossible. De plus les changements de version fréquents en Saas, qui sont a priori une bonne chose, sont problématiques dès lors que l’outil est fortement intégré car il faut que le reste suive, ce qui demande parfois des pauses plus longues entre deux versions.
Pendant ce temps l’IT a beaucoup pensé cloud, mais version Paas. Là où les métiers voulaient démarrer vite, les directions informatiques ont pris la question sous l’ange de la refonte totale de leur système, une manière différente de déployer, délivrer et administrer l’ensemble de leurs applications et services. Et puisqu’il faut du temps pour que les choses se passent rapidement…
Enfin il semblerait que certains éditeurs qui ont connu le succès avec une approche purement métier commencent à changer leur fusil d’épaule. Dès lors qu’on arrive à un certain niveau de maturité et que les entreprises veulent unifier les démarches c’est au final l’IT qui, en fonction de ce qui doit rester ou non aura toujours la possibilité de couper les accès “dissidents”.
Le choix du cloud est donc un choix collectif. Au métier de définir son besoin et choisir ce qui lui va le mieux, à l’IT de proposer le meilleur système de mise en œuvre et donner au métier une short list de choix qui rentrent dans ce cadre, l’enjeu étant de concilier besoins d’immédiateté et impératifs de cohérence et d’intégration globale à long terme. Par contre le choix dépendra des cas : si vous désirez lancer un projet qui a vocation à être provisoire ou très limité sur son périmètre un Saas suffira, si à terme vous avez une vision poste de travail il s’agira de rentrer dans une démarche collective, certainement plus longue, sur un Paas avec en ligne de mire des enjeux de pérénité et de scalabilité.
Bref, le cloud ne doit pas être un échappatoire mais un choix issu d’une réflexion collective et construite préparant l’avenir.
Patriot act et risque juridique
Une fois abordée la question de la sécurité “technique” des données, s’est bien sûr posée celle de la sécurité légale, notamment au regard du Patriot Act américain. Pour un grand nombre d’entreprises il a à ce sujet une crainte liée à l’existence de deux brêches : l’une liée à la localisation des données, l’autre à la nationalité de l’entreprise qui les opère.
Pour ce qui est de la localisation, IBM répond justement à cette question grâce à ce centre qui garantit l’hébergement des données en France. L’entreprise peut choisir, lors du démarrage de son projet, le pays où elle désire héberger ses données.
Pour ce qui est de la nationalité de l’opérateur, IBM France, qui a investi ses propres fonds (300 Milions d’euros) dans ce centre, étant une société de droit français qui passe avec ses clients des contrats de droits français, la question semble également être réglée. Ce que confirment les clients présents que nous avons pu interroger. Par contre ces derniers ont fait état d’une troisième brêche possible à laquelle on ne pense pas nécessairement : le Patriot Act s’applique également en fonction de la nationalité des salariés.
En d’autres termes si un salarié américain est amené à travailler dans le cadre du contrat, il rend le dispositif vulnérable dans la mesure ou il devrait se soumettre sans contestation à toute injonction d’un juge US lui demandant de fournir les données auxquelles il a accès. Un client en train de porter les services qu’il délivre à ses propres client sur le cloud IBM a confirmé que c’était pour lui le point le plus sensible que la chose avait été réglée contractuellement : aucun ressortissant US ne peut être impliqué dans l’exécution du contrat.
Un point tout sauf neutre à prendre en compte au regard des divers clouds souverains en train de voir le jour en France. Même opérés par des entreprises françaises, soutenus par des fonds d’état, localisés sur le territoire français, la présence d’un expatrié ou binational dans le dispositif rend le dispositif aussi vulnérable que s’il était opéré aux Etats-Unis par des entreprises américaines. A bon entendeur…
Mais de manière générale les clients, qui ont fait travailler leurs services juridiques sur la question, semblent être unanimes : le Patriot Act est un faux problème. Le vrai risque est au niveau de la confidentialité des données donc des arbitrages entre cloud public et cloud privé.
Une seule certitude : le cloud est “as a service”
Au final le cloud peut prendre des formes si diverses que cette appellation générique génère beaucoup plus de confusion entre les différents acteurs de l’entreprise qu’elle ne résoud de problèmes alors que ce qu’elle recouvre est une vraie solution d’avenir. Peut on seulement dire que le cloud c’est “quand c’est flexible et hebergé ailleurs”. Pas nécessairement : on peut se faire installer son propre cloud chez soi, c’est ce qu’a fait AT&T.
Alors que reste-t-il ? Flexibilité, rapidité, scalabilité… Finalement ce qu’il faut en retenir c’est la notion de service.
Retrouvez moi :
• sur mon blog
• sur Twitter
- L’X accueille le volet scientifique du sommet pour l’action sur l’IA les 6 et 7 février 2025 - 18/01/2025
- Zero to One Nantes : l’événement incontournable de l’entrepreneuriat pour démarrer 2025 - 18/01/2025
- GOOGLE refuse d’intégrer les vérifications de faits malgré une nouvelle loi européenne / META et Community Notes : un défi pour la content creator economy ? / ETORO vise une valorisation de 5 milliards de dollars pour son IPO - 17/01/2025