I. Introduction▲
Depuis quelques années déjà, le concept de Cloud Computing (informatique dans le nuage) est présenté comme la nouvelle révolution dans le domaine des technologies de l'information dans le monde et particulièrement au Maroc. Il présente non seulement une innovation technique permettant une meilleure flexibilité des systèmes, amélioration des méthodes de travail et maîtrise des coûts, mais aussi, un modèle économique nouveau, construit autour de la notion de service informatique identifiable, qualifiable et dénombrable pour les utilisateurs finals, qui peuvent en bénéficier en payant à l'usage, sans devoir faire d'investissements colossaux.
Nombre d'analystes conviennent que le Cloud Computing est une tendance lourde, devenue inéluctable, qui va fortement modifier la manière d'intégrer les solutions technologiques, et qui a de ce fait le pouvoir de changer la stratégie de l'entreprise, ou encore d'augmenter sa compétitivité.
Toutefois, la mise en œuvre d'un tel concept n'est pas sans impact sur les différentes parties prenantes : à savoir, la DSI, les directions métiers, les investisseurs et les fournisseurs ; certains aspects doivent être gérés différemment des systèmes traditionnels ; disponibilité, sécurité, confidentialité et conformité ne sont que quelques-uns des aspects du Cloud qui doivent être surveillés et gérés de manière plus efficace.
Dans cette optique, la gouvernance SI dans le Cloud est nécessaire en termes de définition des bonnes pratiques de gestion des facteurs cités ci-dessus dès l'élaboration des contrats - surtout en l'absence d'un cadre juridique au Maroc -, ainsi une veille à l'application et au suivi de ces politiques une fois le système en Cloud déployé est obligatoire ; en effet différents fournisseurs de Cloud ont différents degrés de flexibilité quand il s'agit de donner à leurs clients l'accès à l'infrastructure sous-jacente. Il devient obligatoire pour les entreprises de comprendre ces capacités et de définir des politiques qui reflètent leurs besoins exacts.
Dans ce document, nous allons mettre le point sur cette problématique, en précisant dans un premier temps, certains aspects et définitions basiques du Cloud Computing et de la gouvernance ; en détaillant, dans un second temps, l'impact du Cloud Computing sur la gouvernance des systèmes d'informations, ainsi que les nouvelles pratiques à intégrer, et finalement en synthétisant les points mentionnés dans une conclusion.
II. Le contexte▲
Utiliser le Cloud Computing est devenu un impératif aux entreprises en vue des bienfaits qu'il apporte, et de sa nouvelle philosophie pay-per-use (payer à l'usage) qui fait le "buzz" chez les directions métiers, le Cloud repose sur l'industrialisation des centres de données (virtualisation très poussée, optimisation des processus d'exploitation) permettant ainsi une forte réduction des coûts et la mise à disposition de puissance informatique mutualisée.
Cette section décrit les services Cloud, les modèles de déploiement, et où intervient la gouvernance dans la mise en place de cette solution.
II-A. Modèles de services Cloud▲
- Infrastructure-as-a-service (IaaS) : un package d'infrastructure créant la plateforme et exécutant les langages de programmation de bas niveau, contient entre autres l'OS, le réseau, la connectivité, l'accès aux fichiers…, ce package est livré sous forme de services « pay-per-use » payés à l'usage.
- Platform-as-a-service (PaaS) : un ensemble de fonctionnalités qui sont livrées en tant que services consommables pour les développeurs d'applications leur fournissant un modèle de déploiement des logiciels.
- Software-as-a-service (SaaS) : un ensemble d'applications livrées en tant que prestations de services, à consommer en toute simplicité.
Une entreprise peut choisir de maintenir une partie de son SI en interne, et une partie en Cloud, ou peut également choisir de tout installer dans le nuage selon les modèles de déploiement suivants.
II-B. Modèles de déploiement Cloud▲
- Public : les ressources en infrastructure sont mises à la disposition du grand public ou d'un groupe industriel important via Internet et détenues par le fournisseur de Cloud.
- Privé : les ressources en infrastructure sont exploitées exclusivement par une seule organisation, ces ressources peuvent être gérées par cette même organisation ou par une tierce partie, et peuvent exister au sein ou en dehors des locaux. Cet environnement met l'accent sur les avantages de "scalabilité" (montée en charge), d'intégration et d'optimisation des investissements en matériel.
- Communautaire : les ressources en infrastructure sont partagées par plusieurs organisations, ce modèle prend en charge une communauté spécifique avec des préoccupations partagées.
- Hybride (ou mixte) : composition de deux modes de déploiement Cloud ou plus (privé, communautaire ou public) dans une organisation partageant les données et les applications. Par exemple, un Cloud uniquement pour les données, et un autre pour les applications.
Ces différents modèles et services présentent de nombreux avantages :
- extensibilité et adaptabilité, nul besoin d'anticiper les ressources nécessaires, le Cloud décharge les entreprises de toute logistique, maintenance, mises à jour et permet un important stockage de données ;
- virtualisation et mobilité, peu importe le lieu où l'on se trouve, un simple navigateur et une connexion Internet suffisent pour retrouver sa session et ses documents ;
- mutualisation et réduction des coûts, la consommation est gérée par mutualisation, plus besoin d'investissement lourd dans des ressources humaines compétentes ou dans du matériel rapidement obsolète.
Mais le Cloud a aussi de nombreux points faibles, notamment la sécurité des données (dans une acception large : localisation, propriété intellectuelle, confidentialité…), l'intégration avec le reste du SI, performance, réversibilité…
II-C. Gouvernance des systèmes d'information en Cloud▲
L'analyse du marché marocain a démontré que le pays souffrait d'un manque d'informations sur les services du Cloud Computing. Une enquête réalisée auprès de 100 DSI atteste que malgré le fait qu'ils sont très intéressés par la technologie et souhaitent l'adopter, seulement 6 % des sondés estiment être au courant de ces services et 32 % pensent être suffisamment informés sur le sujet.
La figure ci-dessous montre les statistiques en détail :
Le manque d'un cadre légal clair impose aux DSI qui voudraient déployer cette technologie de bien cerner tous les tenants et les aboutissants, et de mettre en place les bonnes pratiques permettant d'anticiper afin de mieux gérer les risques reliés à cette pratique.
Tout converge donc vers un impératif pour l'entreprise : si elle veut engranger les bénéfices du Cloud et gérer au mieux ses risques elle doit l'intégrer dans la gouvernance de son système d'information, en visant la complétude du SI dans sa globalité (interne et Cloud) et en prenant en charge toutes les problématiques relatives au SI de l'entreprise.
Les différentes solutions Cloud engagées dans l'entreprise pourront donc être identifiées et positionnées au regard des processus de gouvernance. Cela permettra de conserver les mêmes objectifs stratégiques établis pour le SI, ainsi que les mêmes méthodologies appliquées au sein de la direction des systèmes d'information.
En effet, Gartner définit la « Governance IT » (Gouvernance des SI) comme le processus assurant l'utilisation efficace et effective des technologies d'information, pour permettre à une organisation d'atteindre ses objectifs. On distingue deux variantes de gouvernance IT, la première « ITDG : IT Demand Governance - ou les tâches que les services IT doivent réaliser », elle consiste en le processus par lequel une organisation assure l'évaluation, la sélection, la priorisation et le financement efficaces des décisions d'investissement et surveillance des procédures IT. Cette fonction incombe à la direction générale.
La deuxième variante est « ITSG : IT Supply Governance - ou comment les services IT doivent réaliser leurs tâches », cette variante doit assurer que l'organisation IT opère de manière efficace, efficiente et conforme. Cette variante est du ressort du Directeur des Systèmes d'information.
Une approche Cloud impactera bien évidemment les processus de gouvernance, l'enjeu est donc de permettre l'encapsulation de la gouvernance des solutions de type Cloud aussi bien de celle d'autres types de solutions plus traditionnelles, en un seul référentiel de bonnes pratiques.
III. Impact du Cloud sur la gouvernance des SI▲
Entreprendre une démarche Cloud demande à la fois une certaine maturité dans la gestion de son SI, la capacité à identifier les éléments éligibles, ainsi que la connaissance des limites de son propre mode de fonctionnement au regard de l'exploitation de l'outil informatique.
De ce fait, une démarche de migration vers le Cloud suppose en premier lieu d'étudier comment l'adoption d'une telle technologie pourrait influencer les politiques de gouvernance IT de l'entreprise.
III-A. Aspects de la gouvernance impactés▲
Plusieurs aspects de la gouvernance SI sont appelés à s'adapter au Cloud :
- Aspect de sécurité : la sécurité étant un point crucial de la GSI, qui devient très sensible surtout dans l'usage d'un Cloud public, la DSI est appelée à anticiper et éviter certains problèmes légaux, en l'occurrence, les fuites de données, l'accès aux données par des organismes tiers, la protection de la vie privée... La DSI devra donc veiller à ce que sa politique soit adaptée au Cloud en termes de : plan de continuité et de reprise d'activités, d'opérations du Datacenter, du traitement des incidents, de la sécurité des applications ainsi que des contrôles d'accès.
- Aspect d'exploitation : étudier l'extension du Datacenter de l'entreprise à celui du prestataire Cloud, et considérer le tout comme un seul SI, opérant selon les mêmes processus et méthodologies ; en effet, afin de s'aligner à la stratégie interne de l'entreprise, tout le lot externalisé doit se soumettre aux règles de gestion du SI interne en termes de sécurité, de supervision et de monitoring.
- Aspect de rôles : les rôles des différentes parties prenantes vont être modifiés, la DSI devra céder quelques-unes de ses responsabilités au prestataire/fournisseur Cloud, associer les métiers à la définition des règles d'usage pour les applications externalisées ; par exemple, avant l'ère du Cloud, pour tout upgrade dans le SI, il incombait à la DSI, seule, de décider cela, car elle détenait la connaissance des logiciels, des budgets à allouer, du temps d'intégration et de déploiement nécessaires… Maintenant, tout est accessible via Internet, les logiciels peuvent être benchmarkés et testés en un simple clic sur le navigateur (Saas), la DSI est donc amenée à négocier avec les directions métiers, qui ont accès à plus d'informations et peuvent donc être plus exigeantes.
- Aspect d'urbanisation : en externalisant une partie ou la totalité de son SI, cela permet une meilleure agilité et une meilleure "scalabilité", la DSI a donc un périmètre plus tracé, et est amenée à désigner des systèmes d'urbanisation et une architecture globale du SI, à choisir comment créer les applications, dans quelle mesure les installer localement, et réfléchir aux particularités structurantes dues au Cloud.
- Aspect de stratégie : avant de mettre en place un système en Cloud, la DSI est amenée à étudier le TCO (coût total de possession) de son SI existant vs le coût des lots qu'elle veut externaliser ; la DSI doit également veiller à renforcer les fonctions d'orchestration des opérateurs Cloud, à intégrer les SI externalisés aux référentiels existants, assurer le maintien des niveaux de services existants, mettre à jour son catalogue de services et ses unités d'œuvre, et finalement développer les nouvelles méthodologies et processus d'articulation avec les MOA métiers.
Le pilotage du portefeuille de projets devient incontournable pour assurer un alignement entre la stratégie métier et les projets SI. - Aspect d'usage : phénomène d' "hypernumérisation" : les usagers deviennent mieux équipés à titre personnel que professionnel, grâce à la montée en puissance des réseaux sociaux, des terminaux mobiles et des magasins d'applications…, la frontière entre l'usage professionnel et personnel, entre réseau d'entreprise et Internet s'efface de plus en plus.
- Aspect d'approche : l'approche de gestion se fait plus informatisée, cela est dû à l'arrivée de la génération Y en tête des directions métiers et des entreprises, les parties prenantes sont donc toutes conscientes des enjeux de l'IT ; en outre, les coûts d'énergie augmentent, ce qui implique un changement dans l'orientation des investissements vers des solutions plus vertes.
- Aspect de coûts : la maîtrise des budgets SI se professionnalise afin de mieux gérer les dépenses IT et en démontrer la valeur ajoutée aux métiers.
- Aspects techniques divers : notamment, la Gestion du cycle de vie de l'information, en tenant compte de toutes ses étapes (création, identification, stockage, utilisation, partage, archivage et destruction), la mise en conformité et audit, la portabilité et interopérabilité.
- Aspect contractuel : il est important pour la DSI de comprendre que le contrat SLA (Service Level Agreement - contrat de niveau de service) des applications en Cloud doit être dérivé du SLA du fournisseur de Cloud, mais devrait s'aligner avec les attentes des SLA métiers en tenant compte des différents modèles de déploiement adoptés particulièrement pour les modèles hybrides. Il s'agit, plutôt que d'avoir un contrat social, d'avoir un contrat SI.
III-B. Politique de gouvernance Cloud▲
Au cours de la phase de conception et de développement, il est important d'établir des règles et des politiques autour de la façon dont les différents services dans le Cloud vont être surveillés et gérés. La Qualité de Service (QoS) de l'infrastructure Cloud sous-jacente et le contrat de niveau de service (SLA), aussi bien de la plate-forme que de l'application, doivent être contrôlés et tracés. En outre, la définition des politiques d'accès pour contrôler les rôles dans l'organisation gérant l'environnement de Cloud Computing est un élément clé de la définition des politiques de gouvernance.
L'un des principaux attraits du Cloud est la capacité de réduire le « Time to Market » de manière significative. Le Cloud donne aux entreprises la capacité d'apporter des modifications aux applications quasi instantanément par rapport aux modèles traditionnels. Pour bénéficier complètement de cette capacité, il est important de gérer un ensemble de points critiques qui lui sont associés, notamment, le Versioning, les mises à jour et les compatibilités des services. Des politiques bien définies et renforcées sont un must pour assurer la robustesse des applications en Cloud, ces politiques peuvent être renforcées en :
- rédigeant des rapports de changement pour tracer et enregistrer les changements impactant les actifs de Cloud ;
- mettant en place des alertes et notifications pour veiller à ce que les changements soient capturés et mis à la disposition des décideurs en temps opportun ;
- fixant un seuil d'actions en fonction de règles prédéfinies. Par exemple, une augmentation automatique de l'empreinte (lire Nombre de cas de charge de cloud équilibrée) si la performance du système est inférieure à certains seuils.
III-C. Défis du Cloud du point de vue de la gouvernance IT▲
En adaptant les pratiques de gouvernance aux spécificités des systèmes en Cloud, cette technologie peut présenter de nombreux avantages, mais aussi des défis, notamment :
- confiance dans le modèle de sécurité du fournisseur souvent opaque ;
- réponse par le client aux recommandations des audits ;
- aide aux enquêtes après incidents ;
- responsabilité des administrateurs appartenant au fournisseur ;
- perte du contrôle physique ;
- gestion de l'isolement des machines virtuelles ;
- présence de multilocation (multi-tenancy) ;
- gestion des versions de logiciels ;
- protection des données personnelles : règles internes d'entreprise, clauses contractuelles types, autorisation de transferts ;
- conservation légale des documents et leur production ;
- garantie de la qualité de service.
IV. Conclusion▲
À la vue des éléments cités dans ce document, il est indéniable que le Cloud Computing, de par les divers avantages qu'il offre aux entreprises, fera partie intégrante des systèmes d'information. Toutefois, si l'on souhaite tirer du Cloud Computing tout son potentiel, il doit y avoir une compréhension claire des différents problèmes rencontrés, tant du point de vue des fournisseurs que des consommateurs de la technologie.
Nos travaux futurs consisteront à développer les points cités ci-dessous, particulièrement l'urbanisation des SI (l'implémentation des architectures SOA qui, combinées à une bonne gouvernance, contribuent à une meilleure flexibilité des SI en Cloud), nous essayerons également de décortiquer le référentiel Cobit, compléter ses manques par d'autres référentiels et méthodes (ITIL, CRAMM), et démontrer quelles pratiques sont adaptées à quels modèles de déploiement du Cloud.
Merci à Torgar pour la relecture technique ainsi qu'à Patrice99 et à ClaudeLELOUP pour leurs relectures orthographiques.
V. Références▲
[1] Cloud computing - The business perspective Sean Marston, Zhi Li, Subhajyoti Bandyopadhyay, Juheng Zhang, Anand Ghalsasi.
[2] IT Gouvernance, Management stratégique d'un système d'information Frédéric Georgel.
[3] Débat Conférence : Impacts du Cloud sur la gouvernance des SI Fabrice Frossard, Frédéric FAURE, Alain Garnier, Stephane WOILLEZ.
[4] Les Synthèses Solucom : Virtualisation et cloud computing : jusqu'où aller ? Sonia Boittin, Damien Gouju, Vinciane Narbonne.
[5] Les Synthèses Solucom : Des évolutions structurantes pour la gouvernance des SI Louis-Marie Lafont.
[6] Cloud Computing: Neoxia.com http://www.neoxia.com/solutions/cloud-computing/decryptage.
[7] lnt.com Séminaire sur le Cloud Computing http://www.lnt.ma/high-tech/seminaire-sur-le-cloud-computing-40164.html.
[8] Implementing public information systems in developing countries: Learning from a success story S. Krishnaa & Geoff Walshambs.