Technologies

Le cloud en pratique : premier thème des ateliers CIO

L'atelier participatif CIO

Retrouvez cet article dans le CIO FOCUS n°115 !

Performance et Agilité

Le DSI doit assurer un service efficace et efficient aux métiers de son entreprise. Or les métiers sont notamment à la recherche de l'agilité pour répondre aisément aux évolutions des besoins, notamment en lien avec le marché, mais aussi de moindre coût. Le cloud est une réponse désormais connue à...

Découvrir

Les conférences CIO ont lancé 5 innovations (*) et des ateliers participatifs, le premier, le 22 mars 2016, sur le cloud. HPE, Skyhigh et Sungard AS ont répondu en direct aux préoccupations des décideurs IT sur la mise en oeuvre du cloud, un débat ponctué par les analyses de Patrick Hereng.

PublicitéLe principe de l'atelier CIO est simple. Les participants sont autour d'une table en « U », ils interviennent à partir d'un scénario fictif, celui d'un DSI confronté à des problèmes a priori insurmontables de legacy, de pression d'autres directions, de contraintes budgétaires. Ce DSI doit pourtant investir et engager l'entreprise sur une technologie, en l'occurrence, pour ce premier atelier : le cloud. Comment le mettre en pratique et comment aider ce DSI fictif ? C'était la question posée aux participants de l'atelier du 22 mars 2016 qui se reconnaissaient, même en partie, dans le scénario fictif.

Pour mieux agencer et rythmer le débat, trois questions étaient posées : migrer son SI en tout ou partie vers le cloud, sécuriser le cloud externe, garantir la fiabilité et la disponibilité du cloud. Trois questions introduites par trois partenaires : Patrice Chorrot et Yazid Timizar pour HPE division software, Joël Mollo et Patrice Robert pour Skyhigh Networks, Mathias Mercier de Sungard Availability Services (**). Ces partenaires ne sont pas seuls dans l'arène : Patrick Hereng, président du cabinet de conseil LiberateIT et ancien DSI groupe de Total, en tant que grand témoin, analyse et remet en perspective leurs interventions.

Premier intervenant, HPE division software indique comment, à son sens, amorcer une bascule. La réponse commence par un petit rappel de Patrice Chorot sur HPE, impliqué dans le stockage, le réseau, la sécurité, le cloud et l'automatisation. « J'ai travaillé pour HPE sur des projets de cloud en France » devait-il noter, « la solution que nous proposons présente plusieurs aspects, elle tient compte de la contrainte de couts et c'est une approche d'automatisation, de transformation de l'expérience utilisateur. Nous devons d'abord transformer l'existant qui représente 80 à 90% des sujets pour les DSI, en mettant à disposition des métiers un SI plus flexible et plus agile. Voilà notre ligne directrice ».

Arriver avec humilité

Yazid Timizar pour sa part, dirige l'équipe HPE qui va créer l'architecture hybride pour le client : « on arrive chez eux avec beaucoup d'humilité, on ne leur explique pas qu'on va créer un SI à côté du SI existant, mais quelque chose de pertinent, de sécurisé, en production, nous essayons en fait de rendre accessible ce qu'il y a de plus intéressant dans le cloud ».

Il appartenait à Patrick Hereng de compléter cette double analyse sur la « bascule ». Il retrouve d'ailleurs certains épisodes vécus chez Total. D'abord le lien entre le SI et le cloud, mais pour lui la question principale est moins celle de la bascule que celle de de la maîtrise de celle-ci. « La question n'est pas faut-il basculer son SI dans le cloud, mais maîtrise-t-on ce processus, car c'est en train de se faire partout, il reste simplement des possibilités de ralentir ! Chez Total par exemple, depuis deux / trois ans, 90 à 95% des nouvelles applications sont en SaaS. Et dans ce cas, soit la DSI est associée, soit elle ne l'est pas, certains points particuliers pouvant ressortir, l'utilisation du stockage par exemple qui peut poser des problèmes de sécurisation des données. C'est ainsi, en quelques mots, que je vois la question de la migration dans le cloud. »

Publicité« En termes de mise en oeuvre, je suggère, lance Patrick Hereng aux participants de la table-ronde, de réfléchir à ce que vous maitrisez ». Certes, demande un participant, mais peut-on tout basculer ? « Total a investi 5 milliards d'euros pour déployer SAP, répond le grand témoin, l'idée est de savoir si on peut basculer rapidement et ce que l'on peut mettre dans le cloud ». Ce qui suscite une intervention vive du DSI de Mikit, Jean-Michel Mougeolle, destinée à l'ensemble des participants. Il considère qu'aujourd'hui, c'est une hérésie de ne pas se poser la question du coût, que la question du risque est souvent mise en avant, mais « d'un autre côté, avec le cloud vous avez toutes les opportunités disponibles, les capacités nécessaires pour répondre aux métiers ». D'où la question de Jean-Michel Mougeolle, « quel est l'intérêt du cloud privé et même du cloud hybride ? ». Une question qu'il devait souvent mettre sur la table, sous d'autres formes au long de l'Atelier.

L'hybride au service du client

Réponse de Yazid Timizar : « pour HPE, le cloud ne signifie pas forcément cloud public, pour nous c'est un concept et quatre principes : l'agilité donc les délais, les usages, la qualité et enfin le plaisir dans ces usages. On peut en débattre, faire intervenir d'autres points intéressants, mais ce à quoi nous pensons, c'est le cloud public et privé donc hybride au service du client ».

Et Yazid Timizar de développer son idée par un exemple. Pas n'importe lequel, celui de Netflix, cet acteur précurseur, « si spectaculaire en termes de réussite avec Amazon ». Aujourd'hui, il se pose la question de réintégrer dans le cloud privé une partie de son IT, sans renoncer au cloud public, mais en se posant à nouveau la question du coût. Le cloud privé s'avère alors plus intéressant. Il faut donc la bonne ressource informatique au bon endroit et au meilleur coût, une partie de la ressource en privé une autre dans le cloud public. 90% des projets rencontrés sont du cloud privé, » souligne Patrice Chorot.

Un rapide tour de table permet alors d'identifier les freins éventuels à la mise en place du cloud. Deux sujets reviennent : la sécurité et la connexion. Réponse de Yazid Timizar, « si vous vous posez la question de la sécurité, c'est trop tard, l'usager a son smartphone, il prend des photos, les envoie, les échange, de même avec ses fichiers. Le plus urgent quand vous vous posez la question de l'intérêt du cloud, c'est les usages, si vous posez la question du cloud sous l'angle de la sécurité, c'est en fait la question de la contrainte de sécurité qui est mise en avant. Il nous paraît toujours plus intéressant de partir d'abord des usages, de l'ouverture nécessaire et ensuite de valider par la sécurité. »

Dans sa conclusion, Patrice Chorot devait donner quelques conseils, en fait un, prioritaire : parler aux clients internes. « C'est 90% de la réussite, il faut comprendre quels sont les usages de vos clients, quand vous avez compris cela vous avez compris le cloud, et alors nous sommes capables de vous placer sur une trajectoire cloud en fonction des besoins du client. »

D'abord regarder les usages.

La deuxième question traitée, la sécurité du cloud, est abordée par Joël Mollo de Skyhigh. Sa société est, selon la définition du Gartner, un cloud security broker. Son conseil ? « La première chose à faire, c'est de regarder les usages. Vous êtes tous dans le cloud par les usages pratiqués par vos collaborateurs, même s'il s'agit de shadow IT. Regardez par exemple combien de services de type SaaS vos collaborateurs utilisent ? » Un rapide sondage dans l'assistance a montré que les responsables présents évaluaient à quelques dizaines les différents services utilisés par les collaborateurs de l'entreprise.

Sondage minute que Joël Mollo place en regard de l'audit mené en Europe et en France qui révèle qu'en moyenne, il existe à peu près un millier de services cloud utilisés en entreprise. Et presque 3 000 chez Total. « Les gens se disent que c'est juste pas possible, mais en fait, derrière ces chiffres on découvre des usages de cloud storage, des problématiques majeures, les collaborateurs par ces pratiques vont chercher l'agilité, la souplesse, la réactivité qu'ils n'ont pas chez eux. Une fois leurs usages cartographiés, on repère les usages les plus importants, je vais citer un exemple celui de General Electric où les 3000 000 employés utilisaient plus de 70 services cloud storage et plaçaient dessus des informations pertinentes, pas que des photos de vacances. Des informations pertinentes mais partagées. Quand vous expliquez aux personnes concernées le risque encouru, on les ramène dans le droit chemin. Nous sommes donc là pour connaître et sécuriser ».

Illustration de ces propos, le témoignage de Patrick Hereng, issu de son expérience chez Total. Le pétrolier est présent dans 150 pays, « la sécurité est donc un sujet majeur, surtout avec l'utilisation du cloud public. Chez Total, on a classifié les données et pas que les données critiques. A chaque fois que le dialogue a pu avoir lieu, on a laissé le système SaaS se mettre en place. Le problème de la sécurité est celui du prestataire de cloud public qui gère les données, ce qui n'empêche pas les usagers d'utiliser des services plus faciles à utiliser mais pas très ergonomiques. Il est important de savoir comment maîtriser l'évolution du SI et comment maîtriser la bascule de ce SI. Si vous ne mettez pas en place de solution pour sécuriser le cloud public, vous n'allez pas maîtriser mais subir cette bascule. »

Surveiller ses pdf

Autre exemple, technique celui-là, mais tourné utilisateur, avec Joël Mollo qui cite « small pdf », un parmi beaucoup de sites semblables. Le pdf est le premier type de fichier envoyé à l'extérieur. « Vous avez fait une présentation powerpoint qui pèse 20 méga, vous regardez sur Google, vous trouvez des solutions où le fichier ne fait plus que 3 ou 4 méga, mais, quand vous regardez les conditions d'utilisation, surprise, les données sont les leurs ». Il n'est guère étonnant que les outils de manipulation pdf soient classés deuxièmes en termes de vulnérabilité parmi les services SaaS.

Plus généralement, Skyhigh offre une méthode, la cartographie d'abord, l'aspect sécurisation ensuite, enfin, le chiffrement. « Nous on peut chiffrer avant d'envoyer chez Salesforce, Box, Office365, ou d'autres, ce qui vous permet d'appréhender le cloud dans de bonnes conditions ».

Autre aspect, traité cette fois par l'ancien DSI de Total, Patrick Hereng, celui des données critiques. Avec deux remarques. « On cite souvent les données clients, mais les données scientifiques aussi sont critiques dans des groupes comme Total ». D'autres DSI ont visiblement le même contexte à gérer. Patrick Hereng remarque également que les fournisseurs de cloud public ont présente à l'esprit cette notion de criticité, « pour eux il est vital d'avoir un système parfaitement fiable ».

Le cas de la bascule totale

« Ce débat m'intéresse beaucoup, lance alors Patrice Mothu, de Randstad France, mais comment répondez-vous à une problématique de bascule au plan mondial du SI d'une entreprise » ? Réponse de Joël Mollo de Skyhigh : « En fait, 99% des sujets cloud sont aussi des sujets sécurité, on essaie donc de cartographier les risques. Le premier sujet étant celui de la fuite des données, qui se traduit aussi en perte d'image, ce qui peut se révéler catastrophique. Nous analysons donc tous les aspects et nous proposons un système de sécurité bien supérieur à celui des autres, avec Skyhigh vous avez tout simplement un niveau de sécurité supplémentaire. »

De plus, Skyhigh ne fait pas la différence entre grandes entreprises et ETI, toutes susceptibles de se développer à l'international et d'avoir besoin à la fois de cloud et de sécurité. Une ETI aura même plus de facilité à basculer dans le cloud étant la seule possibilité pour elle d'assurer un développement rapide et sécurisé à l'international. Une banque par exemple sera freinée par les questions de protections des données.

Troisième point traité ce 22 mars, celui de la disponibilité et de la fiabilité, introduit par un spécialiste, Mathias Mercier de Sungard Availability Services (Sungard AS). « Notre métier repose sur la continuité d'activités et la reprise d'activité, nous avons 7 000 clients dans 10 pays, la gestion de l'infrastructure informatique, c'est notre métier ! Mais le cloud, pour nous, n'est pas une fin en soi, c'est un dialogue avec le client, pour leur dire par exemple quels sont les délais à respecter, les pertes de données éventuelles, comment construire le SI ».

Tenir compte des environnements

« Notre problématique c'est de faire les bons choix et de tenir compte des environnements règlementaires, des différents secteurs (par exemple pharmacie et santé) et se demander ce qu'on met dans le public ou dans le privé, après, la question est celle de la gouvernance, il est difficile d'isoler un problème particulier.»

Pour appuyer ses propos et les réflexions des décideurs IT, Sungard AS a mené une enquête européenne, nommée Cloud Hangover et disponible sur son site. « On s'est dit qu'après quelques années, on a du cloud privé chez nos clients, de grands clients, par exemple dans l'assurance qui ont basculé une partie de leur SI dans le cloud. Une certaine partie de nos clients expliquent qu'ils ont tiré des enseignements remarquables. Ils vont dans le cloud pour faire des économies, mais des clients se retrouvent aussi avec des surcoûts. »

Menée auprès de 400 DSI européens dont 150 en France, l'étude montre que 57% des entreprises avaient pour motivation initiale, en adoptant des services cloud, les économies financières, 40% un renforcement de la sécurité, 41% l'accroissement de l'avantage concurrentiel, 40% une augmentation de l'agilité. Bilan : 50% des entreprises estiment que leur cloud a eu des effets positifs, 33% que les déploiements n'ont pas tenu leurs promesses, 36% qu'ils ont rencontré des difficultés lors de la mise en oeuvre. L'étude détaillant de manière spectaculaire les dépenses imprévues notées par les responsables interrogées après leurs migrations.

« Finalement, analyse Mathias Mercier devant les participants, le DSI est pris entre plusieurs feux, il gagne en flexibilité et en agilité, mais se retrouve souvent avec des surcoûts imprévus, il affronte la pression des pure players qui vont pousser leurs solutions et inversement celles de prestataires plus orthodoxes ».

Tout prendre en compte

Pour Patrick Hereng, le problème n'est pas tant celui de la fiabilité, que la comparaison entre celle du public et celle du privé, je ne sais pas qui gagne, et pour revenir à l'exemple de Total, vous avez les infrastructures en place mais aussi le cloud et des facteurs d'amélioration par exemple avec la démarche DevOps, tout cela est à prendre en compte.

Propos sages, aussitôt contrebalancés dans l'atelier, par un vif échange. Pour Jean-Michel Mougeolle, DSI de Mikit, « le cloud privé ou hybride ne sera jamais un cloud, le cloud public est le seul cloud digne de ce nom, un datacenter automatisé, ce n'est pas du cloud ». HPE reprend alors la parole, pour souligner avec Yazid Timizar, « la question quand nos clients abordent le cloud est plus vaste que la simple alternative entre cloud public et cloud hybride, la première chose à faire est d'ouvrir l'oeil, on a des expertises et des capacités d'innovation dans chacune des formules ». « Nous travaillons avec nos clients pour les amener sur une logique prix/valeur », souligne pour sa part Patrice Chorot.

Débat vif, que Mathias Mercier, de Sungard AS, a souhaité modérer. Montrant par exemple qu'un datacenter automatisé reste surtout dédié aux grands groupes. Pour lui, « les deux avis sont parfaits, je n'ai rien à redire là-dessus, aujourd'hui l'hybridité s'impose, c'est normal, on nous demande de jouer les chefs d'orchestre et de récupérer en moins de 4 heures, ce qui est problématique, c'est vraiment une question de répartition et des bons choix à arrêter au départ ». Autre « modérateur », Christophe Porquet de HSBC, pour qui «la fiabilité est quelque chose qui se construit avec un travail large en amont pour éviter qu'un système bloque l'ensemble de la production, c'est un travail conjoint entre la DSI et les métiers avec un point commun, celui de la criticité de certains sujets ».

« Effectivement, ponctue Matias Mercier, il faut parler aux clients internes, sinon toute migration est vouée à l'échec, se faire bien accompagner est également un point décisif pour la réussite de vos projets ».