Trouver le bon opérateur cloud

Choisissez le bon fournisseur cloud

Pour assurer une excellente collaboration, le courant doit passer avec votre fournisseur. Ces six critères sont décisifs dans le choix du fournisseur cloud.

Texte: Christoph Widmer, 24 juin 2019

Amazon Web Services, Microsoft Azure, Salesforce, Swisscom Cloud: quand une entreprise décide de passer au cloud, elle a l’embarras du choix. De nombreux opérateurs sont à disposition – des grands noms du marché, qui se sont imposés comme Global Public Cloud Provider, aux petits opérateurs de niche offrant des prestations sur mesure. Face à cette grande quantité de fournisseurs possibles, choisir celui qui répondra au mieux aux besoins commerciaux et aux exigences de l’entreprise n’est pas une tâche facile. Ci-après, nous présentons différents critères à prendre en compte lors du choix du fournisseur de services cloud.

1. Qui est responsable de la sécurité du cloud?

Même si des données et des applications sont confiées à un fournisseur de services cloud: celui-ci n’est pas le seul responsable de leur protection et de leur exploitation – de fait, l’utilisateur du cloud, à savoir l’entreprise qui bénéficie des services cloud, l’est également. Le modèle Shared Responsibility cerne certes sommairement comment les responsabilités entre le fournisseur et l’utilisateur de cloud sont réglées (comme dans les modèles de services tels SaaS, PaaS et IaaS); mais des divergences en fonction du fournisseur sont tout à fait possibles. C’est pourquoi les entreprises devraient se familiariser avec les Service Level Agreements (SLAs) du fournisseur de cloud. Ceux-ci fixent précisément les responsabilités et les domaines de compétence du fournisseur et de l’utilisateur. A cette fin, l’entreprise doit, au préalable, définir clairement le niveau d’intégration de sa propre infrastructure IT – et, dans le meilleur des cas, le consigner dans le modèle d’exploitation cible (Target Operating Model ou TOM). «Le client et ses responsables IT doivent savoir précisément les domaines d’activité pour lesquels ils sont responsables – ou pour lesquels ils veulent être responsables», explique Mario Walker, Lead Architect of Enterprise Solution Architecture de Swisscom. «Ce n’est qu’ensuite qu’il peut examiner si les SLAs du fournisseur de services cloud sont vraiment compatibles avec son propre TOM.»

2. L’administration se fait-elle via des portails ou des Service Requests?

Pour la collaboration administrative avec l’entreprise, le fournisseur de services cloud met divers moyens et outils à disposition: les Global Public Cloud Provider, à l’instar de Microsoft Azure ou Amazon Web Services, proposent fréquemment à cette fin un accès à des portails. Cela permet à l’entreprise d’exécuter par elle-même et dans une certaine mesure des tâches administratives pour l’exploitation du cloud. Tout aussi fréquents sont aussi les Change Management Tools: l’entreprise utilisatrice ne procède pas elle-même à des modifications de l’infrastructure du cloud, mais en mandate le fournisseur de services cloud par le biais de Service Requests. «Aucune des approches n’est meilleure ni plus mauvaise», souligne Walker. «Certaines entreprises souhaitent la flexibilité que les portails leur offrent, d’autres préfèrent minimiser au maximum leur propre travail administratif. Ici aussi, il faut examiner quelle approche convient au modèle d’exploitation cible de l’entreprise et si des critères comme Time to Respond, Time to Resolve, etc. sont suffisamment satisfaits par les SLAs du fournisseur.»

3. Le fournisseur présente-t-il des rapports complets?

Dans tous les cas, le fournisseur de services cloud doit présenter des rapports – non seulement en matière de sécurité, mais aussi au niveau des coûts d’exploitation: c’est justement quand le modèle Shared Responsibility devient plus complexe (p. ex. quand certaines tâches administratives sont réalisées par des tiers) que l’utilisateur du cloud est tributaire d’une liste exacte et complète des coûts engendrés. Ce n’est qu’ainsi qu’il peut les répartir intelligemment sur des récepteurs de coûts ou sur des unités d’organisation au sein de l’entreprise – voire les répercuter ailleurs.

4. Des interfaces vers l’automatisation des processus sont-elles disponibles?

Dans le cadre de la migration vers le cloud, les entreprises utilisatrices devraient systématiquement avoir accès à des interfaces d’automatisation: «Les entreprises doivent être conscientes du fait que l’utilisation du cloud renferme un potentiel phénoménal d’automatisation de leurs propres processus commerciaux», précise Mario Walker. «C’est pourquoi l’utilisateur de cloud doit absolument exiger les interfaces correspondantes.» Des interfaces REST (Representational State Transfer) sont conseillées car elles s’imposent toujours plus souvent comme standard. Les interfaces REST-API rendent possible la communication entre machines et permettent aux systèmes de répartir des données et des tâches sur différents serveurs ou d’en faire la demande via un HTTP-Request. Un grand nombre d’interfaces API compatibles avec REST sont utilisées pour la mise à disposition de services web modernes.

5. Quels rôles jouent la gouvernance et la conformité?

Les dispositions internes à l’entreprise et surtout les dispositions prescrites par la loi influent considérablement sur le choix du fournisseur de cloud entrant en question pour le modèle commercial de l’entreprise et le segment de marché. Avant de pouvoir rechercher un fournisseur de services cloud approprié, les entreprises doivent, le cas échéant, prêter attention aux lois suisses et internationales, aux réglementations spécifiques au secteur ou aux normes industrielles applicables à l’instar des directives de la FINMA ou de l’e-Privacy. Par exemple, la conservation des données en Suisse peut être un critère impératif – ce qui peut automatiquement exclure des fournisseurs de cloud étrangers. De même, les dispositions du Règlement européen pour la protection des données (RGPD) sont applicables en Suisse et doivent éventuellement être respectées.

6. Quelle est la réputation du fournisseur?

A l’instar de la «Due Diligence», les entreprises doivent sonder le fournisseur de cloud de manière extrêmement approfondie. «Les questions usuelles fondamentales sont ici: depuis quand le fournisseur est-il sur le marché, combien de clients a-t-il, quelle est sa réputation, sa situation financière, etc.», énonce Walker. La personne morale et l’organisation de l’entreprise du fournisseur sont éventuellement aussi un critère de choix décisif. Dans le cadre de cet examen approfondi de l’entreprise, des aspects relatifs à la sécurité entrent aussi en compte: le fournisseur a-t-il eu récemment des incidents de sécurité ou des pannes de système? Quelles en étaient les raisons? Les problèmes ont-ils été supprimés rapidement? Afin de minimiser le risque de sécurité lors du passage au cloud, ces facteurs sont aussi essentiels lors de l’évaluation du fournisseur de cloud.