2012 2013 Fondamentaux Cloud Computing Point de Vue Grandes Entreprises

8/13/2019 2012 2013 Fondamentaux Cloud Computing Point de Vue Grandes Entreprises

1/34

PROMOUVOIR LA CULTURE NUMERIQUE

COMME SOURCE D INNOVATION ET DE PERFORMANCE

Fondamentaux du Cloud Computing

Le point de vue des Grandes Entreprises

Mars 2013


2/34


SYNTHSE Les travaux passs du CIGREF avaient rvl plusieurs lments de tension dans lacomprhension du SaaS et du Cloud Computing . Le premier dentre eux tait labsence dunedfinition claire de ces concepts. Le groupe de travail du CIGREF sest donc intress cetteanne aux fondamentaux du Cloud Computing . Il les a revisits et redfinis en fonction de lacomprhension et de sa mise en uvre dans les entreprises et non partir des offres dumarch de lcosystme IT.

Le groupe de travail a identifi quatre points qui permettent de dfinir un Cloud :

1. Un Cloud est toujours un espace virtuel,

2. contenant des informations qui sont fragmentes,

3. dont les fragments sont toujours dupliqus et rpartis (ou distribus) dans cet espacevirtuel, lequel peut tre sur un ou plusieurs supports physiques,

4. qui possde une console (ou programme) de restitution permettant de reconstituerlinformation.

Le groupe de travail a aussi dcrit et dtaill quatretypologies de Cloud Computing , que lon peuttrouver dans les organisations membres du CIGREF.Chacune dentre elles a t dfinie et mise enregard du modle de service ( SaaS , Paas , Iaas ).

Au cours des changes et des partages dexprience,de nombreux conseils et bonnes pratiques ont tformuls. Le groupe a rassembl ces informations etles a organises en fonction des quatre typologies deCloud dfinies. Fournissant ainsi une liste de pointsdattention pour toute entreprise sintressant auCloud Computing .

Source CIGREF

Source CIGREF

Mars 2013 Le point de vue des grandes entreprises


3/34

Le CIGREF, Rseau de Grandes Entreprises, a t cr en 1970. Il regroupeplus de cent trs grandes entreprises et organismes franais et europens detous les secteurs d'activit (banque, assurance, nergie, distribution,industrie, services...). Le CIGREF a pour mission de promouvoir la culturenumrique comme source d'innovation et de performance

Titre du rapport : Fondamentaux du Cloud computing - Le point de vue des grandesentreprises

Equipe du CIGREFJean-Franois PPIN Dlgu gnral Frdric LAU Directeur de missionSophie BOUTEILLER Directeur de mission Matthieu BOUTIN Charg de missionAnne-Sophie BOISARD Directeur de mission Marie-Pierre LACROIX Chef de projetJosette WATRINEL Secrtaire de direction Josette LEMAN Assistante de direction

Remerciements :

Nos remerciements vont Grard RUSSEIL, DSI de CHOREGIE,qui a pilot cette rflexion.

Nous remercions galement les membres du groupe de travail, qui ont particip cette tude :Michel BENARD - GROUPEMENT DES

MOUSQUETAIRES - INTERMARCHArnaud LE CONTE - GROUPEMENT DESMOUSQUETAIRES - INTERMARCH

Cyril BARTOLO - LAGARDRE Philippe LEBAS - ELIORric BARNIER - AROPORTS DE PARIS Mina LEJAMBLE - AGIRC ARRCO

Laurent BIEBER - SNCF Guillaume LIBET - CNESThierry CHAMPEROUX - MAIF Christel LOITRON - OCP - GEHIS

Jean-Yves CHOURAQUI - L ORAL Annelise MASSIERA - DISICCdric SIBEN - MINISTRE DE L'CONOMIE, DES

FINANCES ET DU COMMERCE EXTRIEURMarc MEYER - MINISTRE DE L'CONOMIE, DESFINANCES ET DU COMMERCE EXTRIEUR

Lon DE SAHB - STEF Hlne MONIN - MANPOWERLuc DEBRAY - AGIRC ARRCO Alain MOUSTARD - BOUYGUES TELECOM

Andr DELEVAQUE - NEXTER GROUP Bernard PARMENTIER - AIR LIQUIDEJean-Pierre DELHEAU - RTE Jean-Luc PAULIN - AMADEUS

Jean-Yves DROUGLAZET - MAIF Alain PERONNET - RENAULTBernard DUVERNEUIL - ESSILOR Jean-Luc RAFFAELLI - LA POSTE

Marie-Hlne FAGARD - EUROPCAR Claude ROUCHE - SAURJean-Louis GHIGLIONE - RENAULT Thierry SABLE - TOTAL

Stphane HUIGNARD - LACTALIS Caroline SANDLER-ROSENTAL - CLUB MDITERRANEHerv JEGO - GENERALI Pierre DE LAJARTE - RSEAU FERR DE FRANCE

Sylvie LABETOULLE - GEODIS Grgory SILVAIN - EURO DISNEYRgis LACOUR - INSERM Pierre TOMIAK - CNES

Grard LAGO - RTE Christian VALIN - LACTALISHerv LAMBERT - GENERALI Andr-Gilles VITTEK - EDF

Publications CIGREF en lien avec ce rapport :2013 - Cloud et protection des donnes : guide pratique lattention des directions oprationnelles et gnrales 2012 - Quelle politique dinfrastructure de lentreprise numrique ? 2011 - La comprhension du SaaS par les grandes entreprises 2010 - Position du CIGREF sur leCloud Computing 2010 - Impact du Cloud computing sur la fonction SI et son cosystme 2010 - Les dossiers du Club Achats Cloud Computing

Pour tout renseignement concernant ce rapport, vous pouvez contacter le CIGREF aux coordonnesci-dessous :

CIGREF, Rseau de Grandes entreprises - 21, avenue de Messine 75008 ParisTl. : + 33.1.56.59.70.00 Courriel : [email protected] Site internet : http://www.cigref.fr/

http://www.cigref.fr/cloud-protection-donnees-guide-pratique-direction-operationnelle-generalehttp://www.cigref.fr/cloud-protection-donnees-guide-pratique-direction-operationnelle-generalehttp://www.cigref.fr/cloud-protection-donnees-guide-pratique-direction-operationnelle-generalehttp://www.cigref.fr/cloud-protection-donnees-guide-pratique-direction-operationnelle-generalehttp://www.cigref.fr/politique-infrastructure-entreprise-numerique-2012http://www.cigref.fr/politique-infrastructure-entreprise-numerique-2012http://www.cigref.fr/politique-infrastructure-entreprise-numerique-2012http://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/les-dossiers-du-club-achats-2http://www.cigref.fr/les-dossiers-du-club-achats-2http://www.cigref.fr/les-dossiers-du-club-achats-2http://www.cigref.fr/les-dossiers-du-club-achats-2mailto:[email protected]:[email protected]:[email protected]://www.cigref.fr/http://www.cigref.fr/http://www.cigref.fr/http://www.cigref.fr/mailto:[email protected]://www.cigref.fr/les-dossiers-du-club-achats-2http://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/politique-infrastructure-entreprise-numerique-2012http://www.cigref.fr/cloud-protection-donnees-guide-pratique-direction-operationnelle-generale


4/34


SOMMAIRE

Introduction ............................................................................................................................... 1

Revisitons la dfinition dunCloud ............................................................................................ 3

Projection sur les modles de services ..................................................................................... 7 Cloud & IaaS - Infrastructure as a Service ............................................................................. 7 Cloud & PaaS - Plateform as a Service ................................................................................... 8 Cloud & SaaS - Software as a Service .................................................................................... 9 Modle as a Service vs modle ASP ........................................................................ 10

Les typologies duCloud Computing ........................................................................................ 10 1. Clouds grs en interne et usage priv......................................................................... 12 2. Clouds grs en externe et usage priv ........................................................................ 13 3. Clouds grs en interne et usage ouvert ...................................................................... 14 4. Clouds grs en externe et usage ouvert ..................................................................... 15

Conseils et bonnes pratiques .................................................................................................. 16 1. Cloud Interne Priv ................................................................................................... 17 2. Cloud Externe Priv .................................................................................................. 17 3. Cloud Interne Ouvert ................................................................................................ 24 4. Cloud Externe Ouvert ............................................................................................... 24

Conclusion ............................................................................................................................... 29

FIGURES

Figure 1 : Les 4 points permettant d'identifier un Cloud ........................................................... 5

Figure 2 : Structuration des diffrents Clouds par rapport au modle de service .................... 9

Figure 3 : Les typologies duCloud Computing ......................................................................... 11



5/34


INTRODUCTION

Depuis maintenant 3 ans, le CIGREF sintresse auCloud Computing 1 et aux modles deservice.

Dj en 2010, loffre de Cloud Computing faisait partie du paysage des solutions et serviceslis au SI. Le CIGREF le dfinissait alors comme unenouvelle manire pour les entreprisesdacheter et de consommer des services lis aux SI dans le monde au travers du rseauinternet . A lpoque on parlait nanmoins plus de SaaS 2 parce que le march tait en coursde structuration.

Loffre rpondait bien certains besoins (applications transverses), moins dautres (aspectstransactionnels et ERP notamment) et tait plutt perue comme une solution combineraux solutions existantes . Mutualisation des ressources, paiement lusage, modularit etstandardisation des fonctions proposes taient les principales caractristiques identifies.

Les travaux des groupes de travail CIGREF, en 20103 et 2011 4, sur le Cloud 5 et le SaaS avaientnanmoins permis de souligner plusieurs lments de tensions dans la perception du SaaS entre les entreprises utilisatrices et lcosystme IT .Les changes avaient notamment montr le dcalage de posture entre les fournisseurs et les

entreprises utilisatrices, notamment sur linteroprabilit des solutions et la rversibilit desdonnes.

Les changes avaient aussi dmontr les potentiels du SaaS et du Cloud Computing vis--visdes processus dinnovation : flexibilit des solutions, rapidit de dploiement,investissement moindre court-terme. Ils avaient galement soulign le besoin dunaccompagnement des mtiers par la DSI dans lacquisition de solutions SaaS .

1 Lexpression franaise pour Cloud Computing est Informatique en nuage .2 SaaS : Software as a Service (logiciel la demande) 3 Position du CIGREF sur leCloud Computing : http://www.cigref.fr/position-du-cigref-sur-le-cloud-

computing Impact du Cloud computing sur la fonction SI et son cosystme : http://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosysteme

4 La comprhension du SaaS par les grandes entreprises : http://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entreprises

5 On utilisera indistinctement dans ce document le mot Cloud lorsque lon parlera dun projet de Cloud

Computing ou du Cloud en tant quoutil. Cette expression sera aussi utilise lorsque lon parlera des modles(technologiques, conomiques) que le concept vhicule.

Mars 2013 Le point de vue des grandes entreprises1
http://franceterme.culture.fr/FranceTerme/http://franceterme.culture.fr/FranceTerme/http://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/la-comprehension-du-saas-par-les-grandes-entrepriseshttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/impact-du-cloud-computing-sur-la-fonction-si-et-son-ecosystemehttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://franceterme.culture.fr/FranceTerme/


6/34


Aujourd'hui certains lments se sont prciss :

LeSaas est peru comme un excellent moyen de servir les directions mtiers sur leur

besoin en applications et de leur offrir, par l-mme, des services et applicationsinnovants.

Cest aussi un moyen de rpondre un besoin de flexibilit en adaptant trsrapidement les infrastructures ou architectures des besoins ponctuels maisvariables.

Le SaaS peut permettre de diminuer les cots de dveloppement et dintgration des applications mtiers. Mais loffre est encore faible et les solutions en mode deservice sont ce jour relativement spcifiques et autonomes : il y a encore peudintgration possible.

Dans sa dfinition de 2010, le CIGREF indiquait : Quelle que soit la formule retenuepar lentreprise cliente, loriginalit du Cloud computing rside dans son modle defacturation lusage, donc dans sa lisibilit, sa variabilit et sa prdictibilit descots . Aujourdhui, la prdictibilit des cots nest pas garantie plus de 2 ou 3ans. Le Cloud Computing garantit par contre la plasticit des solutions , parexemple, en cas de changement de volumes.

La notion de consommation prvaut sur la notion dusage : on achte unabonnement, un permis de consommer, on nachte pas une licence dutilisation. LeSaaS propose donc la possibilit de passer dune logique budgtairedinvestissement une logique de fonctionnement , se traduisant par la diminutiondes cots dacquisition et de maintenance.

Alors quavant les utilisateurs n'avaient pas conscience de ce qui tait mis en place etconsomm, le Cloud Computing permet aussi dapporter et de valoriser une visionimmdiate de la consommation financire lusage .

Lesapplications SaaS , offrent une standardisation fonctionnelle (les mmes servicesapplicatifs sont disponibles pour tous les utilisateurs, sans dveloppementparticulier) alors que les applications traditionnelles sont spcifiques et souventadaptes lusage dune ou de plusieurs populations cibles.

La forte disparit conomique entre les fournisseurs rend les comparaisons difficiles.Les modles (conomiques ?) ne sont pas encore bien tablis et standardiss et il estdonc difficile de mesurer les TCO6 possibles des diffrentes offres.

6 TCO :Total Cost of Ownership (Cot total de possession)

http://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computinghttp://www.cigref.fr/position-du-cigref-sur-le-cloud-computing


7/34


Dans le cas dun Cloud , les solutions techniques des fournisseurs ne suffisent pas : lesentreprises clientes doivent aussi avoir les comptences et les ressources en internepour le paramtrer au mieux de son usage (de la mme faon que pour les ERP audbut des annes 2000). Un nouveau mtier est peut-tre en train dapparaitre :paramtreur de Cloud (comme il existe paramtreur ERP).

Les offres ont donc volu, les usages et les concepts se sont prciss. Mais il est apparu aufil des changes quil ny a pas vritablement de comprhension commune , chacundonnant sa dfinition du SaaS , PaaS 7, IaaS 8, et du Cloud , dfinitions qui, du reste, varientdans le temps .

Au cours des runions de travail, le CIGREF a donc souhait mettre en commun laconnaissance et lexprience que ses entreprises membres ont du Cloud Computing , pourdcrire de manire reprsentative leur ralit des projets Cloud et lusage quelles en font .

REVISITONS LA DFINITION DUNC LOUD

Toutes les entreprises prsentes dans le groupe de travail du CIGREF ont un projet de CloudComputing en cours. Certaines ont mme dj mis en uvre leur propre Cloud en interne.

Elles savent donc pour la plupart ce quest un Cloud . Malgr tout, au cours des diffrentesdiscussions, il est rapidement apparu que le concept de Cloud Computing peut treexpliqu avec des dfinitions diffrentes, et qui voluent diffremment en fonction desacteurs qui lemploient . Les entreprises utilisatrices comme celles de lcosystme IT usentde termes plus en lien avec leur propre stratgie business que dans un esprit de clarification.

Le groupe de travail a donc souhait, pour parler dune mme voix et avoir unecomprhension commune , travailler dans un premier temps sur une dfinition partage duCloud Computing .

Cette dfinition repose sur quelques constats simples :

Un Cloud est au dpart une solution technologique, mais sa dfinition dpend avanttout de lusage quon en fait . On pourra trouver des Clouds de services qui offrentdes solutions applicatives qui concernent directement les utilisateurs finaux, commedes Clouds dinfrastructures qui concernent les centres de production etdexploitation, en traitant plus de la virtualisation ncessaire pour offrir desinfrastructures de serveurs ou rseaux.

7 PaaS : Plateform as a Service

8 IaaS : Infrastructure as a Service



8/34


Si laccs un Cloud se fait toujours par un modle de service 9, linverse nest pasvrai. En effet de nombreuses applications as a Service ne sont pas des Clouds : cesont de simples applications classiques qui sappuient sur une infrastructuretraditionnelle de serveurs web, serveurs de GED ou sur un ERP. Encore maintenant laconfusion est entretenue par de nombreux acteurs pour des raisons de marketing.

Le modle du Cloud Computing est capable de traiter indiffremment les troiscouches communment utilises du modle de service :

o Le IaaS : Infratructure as a Service o LePaaS : Plateform as a Service o LeSaaS : Software as a Service

Cest la force du Cloud Computing : il peut soit traverser lensemble de ces couches,soit avoir un comportement spcifique chacune dentre elles.

Pour le groupe de travail du CIGREF, mme si cela peut paraitre basique, un Cloud est avanttout une solution de stockage dinformations 10 (au sens large du terme : donnesstructures ou non, logiciels, images, etc.) sur une ou plusieurs machines qui nont pasdattribution fonctionnelle particulire : elles peuvent se substituer les unes aux autres .

Un Cloud se concentre sur la donne 11 indpendamment du support, et est capable de larestituer indpendamment de sa localisation .

Dans sa recherche dune dfinition, le groupe de travail a identifi quatre points quipermettent de caractriser un Cloud :

Point 1 : Un Cloud est toujours un espace virtuel, Point 2 : Un Cloud contient des donnes qui sont fragmentes, Point 3 : Les fragments de donnes dun Cloud sont toujours dupliqus et rpartis

(ou distribus) dans cet espace virtuel, lequel peut tre sur un ou plusieurs supportsphysiques ,

Point 4 : Un Cloud possde une fonction de restitution permettant de

reconstituer les donnes . Cette fonction peut tre intgre la gestion du Cloud oudporte sur lapplication qui fournit le service.

9 Un modle de service permet dexternaliser intgralement un lment (fonction ou application) du systmedinformation dune organisation et de l'assimiler un cot de fonctionnement plutt qu' un investissement.On parle alors dun lment as a service .

10 Une information est un lment de connaissance susceptible d'tre reprsent l'aide de conventionspour tre conserv, trait ou communiqu (Larousse).

11 Une donne est la reprsentation conventionnelle d'une information en vue de son traitement

informatique. Un ensemble de donnes constitue une information pouvant tre conserve ou communique(Larousse).



9/34


Si lune de ces quatre conditions nest pas tablie, nous ne sommes pas en prsence dunCloud

(Source CIGREF 2013)Figure 1 : Les 4 points permettant d'identifier un Cloud

En plus de ces points indispensables, il ressort galement de ces travaux :

Quil nest pas possible de savoir o se trouve une information particulire (do lanotion de Cloud /nuage ). En effet, les fragments des donnes la constituant sontrpartis sur lensemble des supports/ devices composant le Cloud , et seule une application de restitution peut les localiser pour reconstituer les donnes etfournir une information complte.Cette facult de distribuer des donnes permet dtendre un Cloud plusieursdatacenters disposs dans des lieux gographiquement loigns et relis par desrseaux hauts dbits. Mais de nombreuses offres de Cloud se limitent unerpartition sur un ensemble de serveurs dans un unique datacenter .

Que la granularit de la fragmentation est importante .o En effet, si les fragments sont trop signifiants , il sera possible den lire le

contenu , mais aussi les traitements - pour une plus grande fragmentation -

seront donc plus nombreux .



10/34


o Si les fragments sont trop petits (au-del du ncessaire scuritaire) , ce sera lenombre daccs ncessaires pour reconstituer les donnes dune information quipourra tre pnalisant en termes de performances.

En tout tat de cause, la fragmentation des donnes augmente la fiabilit et lascurit mais peut ralentir leur agrgation . Dans ce cas, la qualit du rseau estimportante, notamment dans le cas dun Cloud qui sappuie sur plusieurs datacenters relis entre eux.

Que la reconstitution des donnes pour la dlivrance dune information, lexcutiondune application ou laccs une fonction constitue le service fourni .

Que cette dfinition peut sappliquer de manire identique quel que soit le modlede service mis en uvre : IaaS , PaaS ou SaaS .

En termes de mise en uvre, dinfrastructure et de scurit, il est alors de possible dedduire plusieurs lments importants issus des quatre points cits prcdemment :

La perte dune partie dun Cloud (une machine par exemple) na pas deffet sur lesinformations puisquelles sont dupliques et rparties sur plusieurs machines ou surplusieurs sites. Une donne est donc stocke en de multiples endroits. Dans ce cas,la sauvegarde des serveurs dun Cloud est-elle toujours ncessaire ?

De mme, si un Cloud venait manquer de ressources dans les serveurs existants, ilest alors possible dajouter des devices 12 supplmentaires. Un Cloud sadapte alorsnaturellement la volumtrie ncessaire, il est dimensionnable . Cette particularitpermet notamment dutiliser de manire optimum lespace disponible : dans unCloud les donnes remplissent la place disponible plutt que dtre assignes des espaces dtermins. Certains membres du CIGREF, en passant de datacenters classiques un Cloud, ont diminu considrablement le nombre de serveurs mis enuvre.

De la mme faon, le vol (ou la dlivrance) des donnes dun serveur ou dunensemble de serveurs ne permet pas de lire les informations sy trouvant stockespuisque chacune delles ne contient que des fragments de donnes. Seul leprogramme de reconstitution des informations ( la console de restitution ) estcapable de faire le lien entre les fragments. Si en plus les donnes ont t cryptes(avec une cl RSA par exemple) avant dtre fragmentes, la lecture des fragments endirect devient quasi impossible. Ce point particulier dpend nanmoins du niveau de

12 Essentiellement des serveurs, mais il est possible dimaginer dans labsolu dutiliser les espaces de disquedisponibles sur nimporte quelle machine (serveurs, desktop , laptop etc.) raccorde un rseau.



11/34


fragmentation des donnes, des gros fragments seront plus signifiants etpermettront de lire plus dinformation.

En termes de protection et de scurit, llment critique nest donc pas le Cloud enlui-mme avec ses serveurs de donnes, mais lapplication (ou console) derestitution qui permet de reconstituer les donnes ncessaires la dlivrance duservice. Cest elle quil faut protger . Il faut notamment se soucier de sonemplacement gographique et de quelle lgislation elle dpend (par exemple dans lecadre du Cloud dun prestataire).

PROJECTION SUR LES MODLES DE SERVICES

LeCloud Computing est donc une solution qui fournit un espace dans lequel il est possible deplacer, de manire virtuelle, des infrastructures serveur ou rseau, des plateformes dedveloppement ou dexcution, des catalogues de service etc. Un Cloud est ainsi capable detraiter les diffrentes couches du modle as a service , de linfrastructure jusqulutilisateur.

C LOUD& I AAS - INFRASTRUCTURE AS ASERVICE

Il ne faut pas confondre une infrastructure Cloud et un Cloud dinfrastructure :

une infrastructure Cloud correspond lensemble des ressources logicielles etmatrielles qui sont ncessaires la constitution du Cloud . Cette infrastructure estparticulirement ncessaire lorsquune entreprise met en place son propre Cloud eninterne

un Cloud dinfrastructure est le service rendu par le Cloud : une infrastructurevirtuelle sur laquelle il est possible de btir une solution applicative par exemple.Cest ce qui est fourni une entreprise dans le cas dun Cloud dinfrastructure

externe.LeIaaS concerne essentiellement les Clouds dinfrastructure .

Ces derniers fournissent la demande un ensemble de services de niveau bas , cest dire des serveurs, rseaux etc. Cela permet ainsi une entreprise cliente de pouvoirbnficier de la puissance dune infrastructure, ponctuellement, sans devoir investirbeaucoup .

Lorsquil y a unecertitude de variations fortes de charge , ou une incertitude sur la capacit

dune infrastructure dlivrer un service , le Cloud Computing est alors une solution trsadapte : par exemple pour des besoins de type paie, messagerie ou ditique (cration



12/34


massive et ponctuelle de documents). De plus le Cloud peut permettre de tirer parti aumaximum du partage du matriel (processeurs, disques etc.).

Dans un Cloud dinfrastructure, lutilisateur, ou lentreprise cliente, est matre de sonenvironnement virtuel et peut y installer ce que bon lui semble. De nombreuses offresproposent, par exemple, linstallation de serveurs virtuels, configurables la demande, surlesquels il sera possible dexcuter ses applications.

Remarque :

Le groupe de travail du CIGREF note quil est ncessaire de trouver le bon acteur capabledaccompagner le client . Et il prcise que ce nest pas facile, car il devra avoir une doublecasquette : infrastructure mais aussi service et usage pour aider les quipes grer etmettre en uvre sa solution.

Aujourdhui pour le IaaS , on voit se dessiner une offre venant essentiellement desconstructeurs, des oprateurs et des hbergeurs.

C LOUD& P AAS - PLATEFORM AS ASERVICE

Si le IaaS concerne essentiellement la production et lexploitation, le Cloud de niveau PaaS concerne les dveloppeurs et les producteurs dapplications , soit deux niveaux de service :les plateformes de dveloppement, et les applications qui fournissent le service du niveausuprieur (SaaS ).

Le PaaS permet, par exemple, de mettre disposition des dveloppeurs un framework dedveloppement adapt leurs besoins.

Il permet aussi de donner aux applications un cadre dexcution qui produira des servicesSaaS (par exemple Salesforce).

Remarque :

Attention, les ressources requises par une application en mode PaaS peuvent dpendre dunombre important de clients qui y accdent en mode SaaS (par exemple pour laconsommation de bande passante) et dans ce cas, le service de fourniture dune plateformepeut tre factur, par certains oprateurs, comme une plateforme de productionclassique, c'est--dire au nombre de licences utilisateurs et non pas avec un abonnementglobal au service.



13/34


C LOUD& S AAS - SOFTWARE AS ASERVICE

Le Cloud de niveau SaaS reprsente le plus souvent un catalogue dapplications accessiblesen mode service aux utilisateurs ou clients finaux .

Dans le mode SaaS , lusage prime sur la solution : on parle de service de messagerie, deCMS, de service dachat dans des boutiques en ligne, de service daccs des bibliothquesetc. Lapplication est dj construite et oprationnelle, il ny a pas vritablement dedveloppement mais plutt du paramtrage ; do le succs de ce modle de service : ilconcerne et met la porte de nimporte qui tout un ensemble de services modelables etpersonnalisables trs simplement.

(Source CIGREF 2013)Figure 2 : Structuration des diffrents Clouds par rapport au modle de service

Pour une entreprise, lutilisation dun Cloud en mode SaaS peut tre particulirementpertinente dans les phases de maquettage ou de prototypage car cela permet, dans undlai trs court et pour un cot rduit, dvaluer une solution, de pouvoir la tester sansmettre en uvre des ressources propres, puis de linternaliser, le cas chant, si le rsultatest concluant.

Cest cette facilit dusage qui sduit notamment les directions mtiers. Elles peuvent, avecce type de solutions, valider un concept (marketing par exemple), voire en tester plusieurs,faire des choix mtiers indpendamment du systme dinformation de lentreprise ; avec

la possibilit dimpliquer immdiatement dautres acteurs (clients, partenaires) dans larflexion. Et ceci en saffranchissant de laval de la DSI.



14/34


Cest cette facilit dusage qui inquite nanmoins la DSI, car elle peut entraner des choixdisjoints de la politique SI de lentreprise, notamment en termes dintgration ou descurit.

MODLE AS ASERVICE VS MODLE ASP

Attention, on peut confondre le as a Service et ce que lon appelait auparavant le mode ASP ( Application Service Provider ). Si les concepts peuvent paratre proches, il y a desdiffrences notables :

Les applications sappuyant sur le modle as a Service ont t nativementconues pour le web et utilisent une architecture multi-tenant 13 .

o En mode as a Service , lenvironnement de production est mutualis etvirtualis : il ny a quune seule et mme instance pour tous les clients. Alorsquen mode ASP , il y a une instance par client.

o En mode ASP , la customisation est possible mais ncessite des dveloppementsspcifiques ; en mode SaaS la personnalisation ne peut se faire que par leparamtrage car il nexiste quun seul et mme standard pour tous.

Les montes de version en mode ASP , pour les raisons exposes ci-dessus, sontbeaucoup plus complexes , problmatiques (et donc coteuses) quen mode as aService , a fortiori si lapplication a fait lobjet de dveloppements spcifiques pourcertains clients.

Pour illustrer la diffrence entre les deux modes, on peut citer, par exemple, deuxsolutions leaders sur le march des applications Achat ayant des modlescompltement diffrents : Ariba (100% SaaS ) et Synertrade (100% ASP).

LES TYPOLOGIES DUC LOUD C OMPUTING Aujourdhui il nest pas toujours facile davoir une description simple dun Cloud et uneexplication claire des typologies concernes par les offres des fournisseurs. Il suffit de poserla question Quest-ce quun Cloud et quelles sont ses typologies ? lors dun vnementpour sen rendre compte. Or la clart des offres doit contribuer garantir la qualit desservices proposs par la DSI aux directions Mtiers clientes.

13 Une architecture multi-tenant met en uvre une seule instance dapplication, mais utilisable pour tout unensemble de clients de diffrentes natures.



15/34


Le groupe de travail du CIGREF sest donc intress aux diffrentes typologies de Cloud Computing qui peuvent tre mises en uvre. La rflexion a t organise autour de deuxnotions :

1. Qui gre le Cloud ? : lentreprise elle-mme ou un oprateur de Cloud ?Le groupe a choisi dutiliser les termes suivants :

Cloud interne dans le cas o cest lentreprise qui est matre de la gestion duCloud, avec ses propres ressources.

Cloud externe dans le cas o la gestion du Cloud est matrise par un prestataireoprateur de Cloud .

2. Qui est le client du service offert par le Cloud ? : lentreprise elle-mme ou une

organisation externe (fournisseur, partenaire, filiale, etc.), voire le grand public (lesclients de lentreprise par exemple) ?Le groupe de travail a choisi dutiliser les termes suivants :

Cloud priv sil est ddi aux besoins propres de lentreprise. Cloud ouvert sil est ouvert au grand public ou une autre organisation externe

lentreprise (fournisseur, partenaire, filiale etc.)

Au final, 4 typologies ont t identifies . Chacune delles ne concerne pas toutes lesentreprises, mais elles sont reprsentatives de ce quune DSI peut tre conduite envisager.

Les typologies peuvent aussi tre mlanges , par exemple un GIE peut grer un Cloud interne, et offrir des services privs pour lentreprise et publics dautres entreprises. Demme un Cloud interne peut avoir besoin de stendre ponctuellement et donc de dborder sur un Cloud externe : on parlera alors de Cloud hybride.

(Source CIGREF 2013)

Figure 3 : Les typologies du Cloud Computing



16/34


1. C LOUDS GRS EN INTERNE ET USAGE PRIV

Ce sont les solutions compltement gres par la DSI . La DSI peut faire ventuellementappel un prestataire (type infogrant) mais elle garde la matrise complte de la solution.

Les solutions de Clouds internes et privs permettent de mettre disposition un cataloguede services internes et de se positionner comme une alternative oprationnelle auxservices existants sur Internet .

Elles permettent aussi une meilleure agilit et une qualit de service accrue , au dtrimentpeut-tre des dveloppements spcifiques qui ne sont plus possibles 14. Nanmoins commelentreprise en a la matrise, grer quelques particularits des clients en personnalisant le

paramtrage des instances est toujours possible.Les retours dexpriences ont aussi montr que la mise en uvre dun Cloud interne peutpermettre doptimiser lutilisation des ressources dun datacenter et de prenniser uneinfrastructure.

En termes de scurit, tous les grands groupes ont dfini une politique de scurit entrantdans le cadre de la gouvernance du SI. Les serveurs supportant un Cloud interne sont donccontraints respecter cette politique de scurit. Il ny a donc pas de dispositionsupplmentaire prendre.

Voici quelques exemples de Clouds internes usage priv, suivant les couches de serviceconcernes :

SaaS : espaces collaboratifs internes PaaS : plateformes de serveurs de dveloppement la demande (dveloppement

web : ViFiB) IaaS : dploiement de serveurs virtuels la demande (ViFiB, VMware, EMC, IBM, HP,

)

Remarques :

1. Il y a eu dbat au sein du groupe de travail du CIGREF sur lintrt de la mise en uvredun Cloud Interne usage priv pour lentreprise. Si la plupart des participants au GTconoivent, dans leur contexte, lintrt dun Cloud , dautres y voient un conceptmarketing sans relle valeur ajoute vis--vis des infrastructures traditionnelles. Pources derniers, lintrt du Cloud Computing nest alors peru que comme une solutionexterne lentreprise.

14 Un Cloud offre un service gnrique lensemble de ses clients.



17/34


2. Certains membres du groupe de travail pensent aussi quil y a une taille minimum (pourtoutes les couches du modle de service) pour quun Cloud soit utile et efficace :

par exemple un certain nombre de serveurs pour du IaaS ; un primtre applicatif suffisant pour une plateforme PaaS ; un catalogue assez toff de services pour le SaaS .

Aucun lment quantitatif na cependant t donn.

2. C LOUDS GRS EN EXTERNE ET USAGE PRIV

Ce sont des solutions qui permettent la DSI de ne pas investir dans une infrastructurespcifique, avec les processus accompagnant sa mise en uvre, et les comptencesncessaires. Cela ncessite nanmoins un minimum dtudes et dveloppementsindispensables en termes dintgration avec lexistant 15.

Le choix dinvestissement dans la mise en uvre dun Cloud interne vs la location deservices dans un Cloud externe est li la politique long ou court terme de lentreprise , sa taille, au nombre dutilisateurs.

Dans cette typologie la relation avec le fournisseur volue. Des problmatiques nouvellesmergent en termes de localisation des donnes, dinteroprabilit des systmes et de

rversibilit des applications. La contractualisation avec le prestataire ncessite alors unpoint dattention particulier. De manire gnrale, on nachte plus une licence, onsabonne un service .

Dans le cas dune location de services , plusieurs membres du groupe de travail saccordent dire quelle est conomiquement intressante sur des dures de quelques semaines ouquelques mois, mais pas sur du long terme . Quand le modle de licence est possible, leROI16 semble plus intressant sur du long terme, mais avec lvolution des technologies, desusages, et surtout des politiques dentreprises, il nest pas possible de se projeter au-del

de 3/4 ans. Labonnement prvaut donc avec succs.En termes de scurit, la problmatique du Cloud externe est diffrente de celle du Cloudinterne : la politique de scurit du fournisseur nest pas maitrise par le client. Or dans cecas prcis, le fournisseur doit pouvoir garantir la scurit des donnes du client . Il doitavoir une gouvernance adapte au client, sinon il y a risque dallgeance la politique dufournisseur. La question est donc de savoir comment influencer un fournisseur de Cloud

15 Lelegacy

16 ROI :Return Of Investment (retour sur investissement)



18/34


pour que le contrat ne soit pas compltement gnrique, notamment sur les questions descurit des donnes 17.

Lusage dun Cloud externe et priv implique aussi de bien dfinir le primtre des servicesattendus . Ce primtre doit aller au-del des services logiciels et techniques , il doit pouvoirenglober des expertises mtier pour tre performant et pertinent dans les phases deparamtrage, formation et conduite du changement. Si ces prestations mtier peuvent fairelobjet dun contrat de prestations avec une socit de conseil, il semble prfrable deresponsabiliser le fournisseur de la solution en lui confiant une responsabilit de matreduvre avec une obligation de bonne fin.

Enfin, une zone dombre persiste, lie au modle en couches : le prestataire sengage sur la

couche de service concerne par le contrat, mais quen est-il des couches infrieures18

? Aucune rponse na pour le moment t trouve dans les diffrentes offres.

Voici quelques exemples de Clouds externes usage priv suivant les couches de serviceconcernes :

SaaS : Suites bureautiques en ligne (Google Apps, Office 365), CRM (Salesforce),services de vente en ligne (Amazon)

PaaS : Environnements de dveloppement (Oracle PaaS, Salesforce, ViFiB, ) IaaS : Location dinfrastructures virtuelles (OVH, Amazon, Numergy, CloudWatt,

Cheops Technology, Intrinsec, )

3. C LOUDS GRS EN INTERNE ET USAGE OUVERT

Cette typologie concerne le plus souvent les organisations (comme les GIE 19) qui offrent desservices en interne lentreprise et en externe des clients. Lentreprise est alors elle-mme Oprateur de Cloud .

Dans ce cas de figure, les contraintes et remarques identifies prcdemment pour un Cloud

externe usage priv, sappliquent mais de manire inverse : Savoir rpondre aux problmatiques de localisation des donnes, dinteroprabilit

des systmes et de rversibilit des applications. Bien choisir le modle conomique : licence ou abonnement.

17 A ce sujet, de plus amples informations se trouvent dans le rapport ( paraitre) CIGREF/AFAI/IFACI CloudComputing et protection des donnes. Guide pratique lattention des directions gnrales etoprationnelles

18 Hormis leIaaS qui est la couche la plus basse.

19 GIE : Groupement dIntrt conomique



19/34


Sappuyer et communiquer sur sa propre gouvernance de la scurit pour garantir lascurit des donnes de son client.

Dterminer le primtre des services offerts. Apporter une rponse sur lengagement sur les couches de services infrieures

celle du service propos.

Voici quelques exemples de Clouds internes usage ouvert suivant les couches de serviceconcernes :

SaaS : site web cl en main de type CMS pour une entreprise franchise PaaS : offre de plateforme de dveloppement la demande (Free Cloud Alliance, ),

paramtrage de configuration virtuelle (VMWare, )

IaaS : offre de serveurs virtualiss (VMWare, IBM, HP, Free Cloud Alliance, )

4. C LOUDS GRS EN EXTERNE ET USAGE OUVERT

Cette typologie correspond, par exemple, aux cas des directions Mtiers qui sadressentdirectement aux oprateurs de service, pour mettre en place un Cloud de service destination de populations externes lentreprise comme les clients ou les partenaires.

Cette situation, reconnue par de nombreuses entreprises membres, est donc singulire car

elle permet aux directions mtiers de saffranchir , a priori , de la DSI. Cette typologiepermet aussi souvent aux directions Mtiers de challenger la DSI dans sa capacit offrir unservice quivalent en termes dusage, de cot, de dlai et de performances.

Au-del de la communication ncessaire entre la DSI et les directions mtiers, le rle de laDSI est donc dans ce cas, de conseiller le client dans le choix du Cloud appropri sonbesoin, dviter les redondances avec le systme dinformation existant, ou les trous descurit inopins crs par des raccords sauvages sur le SI de lentreprise.

Voici quelques exemples de Clouds externes usage ouvert suivant les couches de serviceconcernes :

SaaS : rseaux sociaux publics ou professionnels (Facebook, Google+, LinkedIn),publication ou mise en ligne de produits dans des magasins numriques (AppleStore,Amazon)

PaaS : plateformes de dveloppement dapplications mobiles (Kawet), paramtragede configuration virtuelles (VMware), ou dhbergement dapplications (WindowsAzure), dveloppement web (ViFiB)

IaaS : espaces de stockage de donnes (iCloud, SkyDrive, Google Drive, DropBox,

CloudWatt, Numergy, oprateurs tlcoms : Orange, SFR, Bouygues Telecoms)



20/34


CONSEILS ET BONNES PRATIQUES

Les tableaux qui suivent contiennent un ensemble de conseils et de bonnes pratiquesconcernant les 4 typologies de Cloud . Cette liste nest pas exhaustive, elle est issue desmultiples changes et retours dexprience effectus lors des runions du groupe de travail.

Ces conseils et bonnes pratiques ont t regroupes en 5 catgories :

A. JuridiqueB. Scurit et risquesC. RH et comptencesD. Donnes et audit

E.

Infrastructures



21/34


1. Cloud Interne PrivLentreprise gre un Cloud pour son usage interne

2. Cloud Externe PrivLentreprise utilise un Cloud gr par un oprateur externe

pour son usage interne

A. JURIDIQUECONTRAT

Veiller aux contrats avec les diteurs et constructeurs (notamment lastructure tarifaire des licences et la dpendance avec linfrastructure) pourles logiciels dploys sur leCloud Interne.

Etablir une offre de service interne pour cadrer les prestations etengagements vis--vis des usagers internes.

Veiller aux contrats avec les oprateurs de Cloud , et notamment queloprateur fournit des niveaux de service diffrencis (SLA).

Contractualiser un engagement dassistance du fournisseur pour unercupration des donnes (en cas de faillite, fin de contrat).

Veiller aux contrats de licence pour les logiciels dploys sur le Cloud .Attention, un contrat SaaS ou ASP est assez complexe construirecar il doit reposer sur des obligations relevant de diffrents types de contrats(contrat de licence, TMA, infogrance, hbergement, assistancetechnique).

Si le fournisseur dune solutionSaaS utilise des modules applicatifs qui ne luiappartiennent pas, il faut bien sassurer que le ou les fournisseurs de cesmodules sont engags contractuellement sur toute la dure de votre proprecontrat.



22/34





RESPONSABILIT Couvrir les risques dun usage dtourn de la donne (ex : charte IT interne

lentreprise, annexe spcifique dans les conditions contractuelles dachat de

prestation). Dfinir les moyens permettant didentifier les responsabilits en cas de perte

ou daltration de la donne (traabilit, contrle, audit).

Obtenir de loprateur des garanties ou a minima les modalits mises enuvre pour couvrir les risques dun usage dtourn de la donne.

Exiger que les responsabilits puissent tre dtermines en cas de perte oudaltration de la donne.

PRIX Sassurer que les prix/conditions sont garantis dans le temps (notamment dans le cas du rachat du fournisseur par un autre...)

Sassurer que les prix sont bien assujettis sur un usage on demand c'est--dire que lon peut rduire le nombre dutilisateurs et donc les frais (mensuels,annuels) si lactivit le justifie.

RVERSIBILIT Formaliser les conditions de rversibilit.

PROPRIT Sassurer de la proprit intellectuelle sur les processus mtier et les

donnes de lentreprise qui sont sur le Cloud .

Avoir des garanties quant la proprit et la localisation des donnes (entermes de pays pour les aspects de rglementation).

valuer limpact duPatriot Act dans le cas dun prestataire amricain.



23/34





B. SCURIT & RISQUESPRA/PCA

Repenser et adapter les procdures de PRA/PCA Mtier internes lentreprise.

Prvoir les tests de PRA.

Repenser et adapter les procdures douverture et de synchronisation desflux ainsi que les procdures de PCA Mtier internes lentreprise.

Remarque : Vrifier lapplicabilit dun PRA/PCA implique de sassurer au pralable que cest possible avec la solution externe propose.

GARANTIES Obtenir des garanties sur les dlais de reconstruction flux ferms des

applications externalises.

Rexaminer les contraintes et recommandations de la CNIL au regard delenvironnement externalis.

CONTRAINTES PRESTATAIRE

Exiger du prestataire quil soit certifi ISO 27001 ou label SAS 70 type II afinde garantir aux utilisateurs que toutes les obligations de scurit sont bienrespectes.

Exiger du prestataire la liste de tous les lieux de stockage des donnes, ycompris les sites de secours.



24/34





C. RESSOURCES HUMAINES COMPTENCES

Besoin de comptences plutt techniques, support et virtualisation.Certaines comptences peuvent voluer dun profil doprateur techniquevers un profil danalyste ou de dveloppeur dautomatismes.

Disposer de comptences mtiers permettant de comprendre et danticiperles besoins et les usages que les mtiers peuvent faire dun Cloud , pourviter par exemple quils fassent appel un Cloud externe.

Mme si on a moins besoin de comptences techniques et de support auxoprations il faut conserver un noyau dexpertise technique, notammentdans le cadre des rversibilits ou du dclenchement de PRA/PCA.

Renforcer les comptences en matire de contrat, dachat et de juridique.

Se recentrer sur le mtier tout en conservant le volume de comptencestechniques cls en interne, pour la gestion des infrastructures internesrestantes, pour garantir linteroprabilit entre linterne et lexterne.

Limplication et, surtout, la disponibilit des utilisateurs sont essentiellespendant les phases de paramtrage, recette et migration. Le dploiementdun projet SaaS sans la mobilisation des clients utilisateurs de loutil estvou lchec.

Le succs du dploiement dune solution SaaS est notamment proportionnel linvestissement ralis dans la conduite du changement (information,formation, communication, coaching ).

Un fournisseur dune solution SaaS doit avoir des comptences mtier enrapport avec lapplication quil fournit, cest l sa vraie valeur ajoute. Lefournisseur ne doit pas seulement se contenter de mettre disposition duclient un outil, il doit aussi apporter de la valeur business permettant auclient dautomatiser et doptimiser ses processus. Dans certains cas, la



25/34


26/34





D. DONNES & AUDITAUDIT

Pas de modification particulire par rapport une exploitation internetraditionnelle.

Prvoir les conditions daudit de la scurit et du service.

Prvoir dans le contrat une clause daudit technique et daccs aux locaux duprestataire.

LOCALISATION Loprateur du Cloud doit pouvoir fournir des informations sur la localisation

des donnes dans ses datacenters.

Loprateur doit pouvoir garantir les risques dun usage dtourn de ladonne.

RESPONSABILIT Loprateur doit tre en mesure de dterminer les responsabilits en cas de

perte ou daltration de la donne.

DONNES Sassurer que loprateur puisse garantir lentreprise cliente la

conservation de la proprit intellectuelle sur les processus mtier et lesdonnes du client.

Si des donnes caractre personnel sont gres sur les serveurs du



27/34




pour son usage internefournisseur, le client doit procder lensemble des obligations qui luiincombent dans le cadre de la loi de janvier 1978 Informatique & Libert .Des autorisations CNIL sont donc ncessaires (mme dans le cas dun Cloud externe priv).

Dans le cas o les donnes sont stockes sur des serveurs localiss dans despays en dehors de lUnion Europenne, une autorisation spciale detransfert des donnes doit tre demande la CNIL.

Migration des donnes : prparer les donnes migrer, mais laisser auprestataire la responsabilit de la migration. Le diable est dans le dtail et en matire de migration, il ny a que des dtails grer.

E. INFRASTRUCTURES La solution sappuie sur le rseau de lentreprise.

Lentreprise doit garder la matrise de lintgration de la solution Cloud danslinfrastructure existante.

Lentreprise doit garder la maitrise de la structure tarifaire des licences desoutils constituant le Cloud .

Etre vigilant sur le rseau informatique qui donne accs au fournisseur deCloud : qualit de service, disponibilit, mesures

Savoir faire face aux mises niveau de linfrastructure reste internalise,induites par les volutions techniques du Cloud externe (en particulier sur les

postes de travail). Vrifier qui gre les infrastructures du Cloud : loprateur lui-mme ou lun

de ses sous-traitants. Dans ce dernier cas, demander avoir desinformations sur le contrat qui les lie.



28/34


3. Cloud Interne OuvertLentreprise gre un Cloud ouvert vers

des organisations externes ou le grand public

4. Cloud Externe OuvertLentreprise utilise un Cloud gr par un oprateur externe pour un

usage tourn vers des organisations externes ou le grand public

A. JURIDIQUECONTRAT

Lentreprise offrant un service de Cloud , elle doit sinterroger sur lesmodalits du service quelle offre. Font-elles partie dune offre globale oupeuvent-elles tre ngociables ?

Les modalits du contrat dpendent de loffre fournisseur, elles peuvent tredifficilement ngociables.

Loffremulti-device (notamment sur les outils mobiles) est souvent prsentepour rpondre au march mais il nest pas garanti quelle fasse rellementpartie du contrat.

RESPONSABILIT

Prciser les engagements de lentreprise en termes de PRA.

Bien dterminer le primtre de responsabilit du client du Cloud en cas dePRA/PCA.

Dans la ngociation dun SLA avec le client, dfinir le primtre deladministration fonctionnelle le cas chant.

Dfinir les modalits de publication de la roadmap technique de lentrepriseafin de permettre aux clients de prparer et mettre en uvre lesadaptations le cas chant.

Fournir un PRA/PCA implique de sassurer au pralable que cest possibleavec la solution externe propose.

Lentreprise ne matrise pas lvolution de la plateforme, elle doit donc setenir informe de la roadmap de la solution administre pour en informer

ses clients.



29/34






RVERSIBILIT

Dfinir les formats supports pour la restitution de donnes. Dfinir les formats supports pour la restitution de donnes.

Garantir au client une rversibilit des donnes implique de sassurer aupralable que cest possible avec la solution externe propose.

INTEROPRABILIT

Linteroprabilit de la plateforme dpend des choix darchitecture interne lentreprise et doit sadapter aux besoins des clients.

La mise en uvre de solution Open source dans un Cloud interne ncessitede dfinir un processus dinformation, vers les clients, sur les licences.

Linteroprabilit de la plateforme dpend de la solution choisie.

Pour un Cloud externe, il est difficile de savoir si des modules Open source sont mis en uvre, lesquels et leurs modes de licence ; et donc de prvoirles incidences sur les clients.

PRIX

Lentreprise peut dfinir son pricing en fonction de critres matriss(investissement, usage, volumtrie, niveau de service, besoins des clientsetc.), mais attention la dpendance tarifaire avec certains fournisseurs,notamment les diteurs des logiciels constituant le Cloud .

Lentreprise qui utilise un Cloud externe ouvert est dpendante des prixpratiqus par son oprateur de Cloud . Dans le cas o elle offre un serviceexterne lentreprise, elle peut tre amene le faire payer. Sa tarificationdevra suivre celle de son oprateur.



30/34






B. SCURIT & RISQUESAUDIT

Une solution interne doit tre auditable et soumise des tests dintrusion.

DONNES

La loi franaise impose une entreprise offrant un espace de stockage dedonnes, la connaissance de la localisation des donnes.

Sinterroger sur la possibilit dassurer le client que ses donnes ne sontreconstituables que par lui (pour viter laccs dun tiers).

La traabilit, larchivage et la rversibilit doivent tre garantis en termesde scurit.

Sassurer du respect de la rglementation auprs de la CNIL.

Les garanties offrir un client sont celles que lentreprise exigerait si ellesappuyait sur un oprateur de Cloud externe.

La loi franaise impose une entreprise offrant un espace de stockage dedonnes, la connaissance de la localisation des donnes. Mais si la solutionnest pas fournie par un oprateur franais, la localisation des donnes nestpas garantie.

La solution externe choisie doit rpondre aux contraintes de la CNIL.

La garantie de laccs par lentreprise la reconstitution de ses donnes(pour viter laccs dun tiers) dpend de la solution choisie.

La traabilit, larchivage et la rversibilit dpendent de la solution choisie.Il est difficile pour lentreprise offrant le service de les garantir.

Une solution externe peut tre soumise des tests dintrusion mais estdifficilement auditable car la localisation des donnes est difficilementpossible.



31/34






C. RESSOURCES HUMAINESCOMPTENCES

Pour un Cloud interne, les comptences sont plutt techniques, support etvirtualisation.

Certaines comptences peuvent voluer dun profil doprateur techniquevers un profil danalyste ou de dveloppeur dautomatismes.

La mobilit des utilisateurs est offerte par les services dun Cloud , cela peutavoir des impacts sur les contrats de travail.

Pour un Cloud externe, les comptences couvrent les aspects techniques etsupport, mais aussi achat et juridique.

D. AUDIT & DONNESDONNES

Lentreprise doit pouvoir fournir des informations sur la localisation(gographique) des donnes dans ses propres datacenters.

Couvrir les risques dun usage dtourn de la donne.

Obtenir les informations sur la localisation (gographique) des donnes.

Lentreprise doit sinformer sur ses moyens daction sur la solution en casdun usage dtourn de la donne.



32/34






RESPONSABILIT

Lentreprise est responsable en cas de perte ou daltration de la donne.

Garantir la conservation de la proprit intellectuelle sur les processusmtier et les donnes du client.

Sinformer sur la responsabilit de lentreprise en cas de perte oudaltration des donnes.

tudier limpact duPatriot Act dans le cas dun prestataire amricain.

Sassurer de la conservation de la proprit intellectuelle sur les processusmtier et les donnes du client.

E. INFRASTRUCTURES

Linteroprabilit de la plateforme dpend des choix darchitecture interne lentreprise et peut sadapter aux besoins des clients. Il faut toutefois veiller respecter les standards simples du march en termes daccs oudchange.

Loffre multi-device (notamment sur les outils mobiles) nest pas simple mettre en uvre car il faut la dvelopper (il y a de nombreux devices diffrents et il en apparat rgulirement) et la maintenir dans le temps (lesdevices voluent trs rapidement).



33/34


CONCLUSION Le Cloud Computing est aujourdhui un lment cl de la transformation numrique des

entreprises. Il permet ces dernires de se dgager de la contrainte technique au profit delagilit et de ladaptation du service aux besoins des Mtiers. Il permet aussi de rpondreefficacement la problmatique de la mobilit en donnant accs aux informations etservices en tous lieux.

Au-del des diffrentes dfinitions identifies par le groupe de travail, qui sont ncessairespour changer et faciliter la comprhension entre les diffrentes parties prenantes, le dfide la DSI est de savoir marier les 4 typologies du Cloud Computing dcrites dans ce rapport.De fait, les entreprises devront, si ce nest dj fait, faire cohabiter des solutions externes etinternes, ouvertes et prives.

Dans ce patchwork de solutions qui sinstallent dans le SI de lentreprise, la valeur ajoute dela DSI est dy mettre de la cohrence, darchitecturer les services et de garantir une qualitde service constante et quivalente en externe comme en interne. Cest aussi de prenniserlinfrastructure et larchitecture du SI en les transformant pour faire face lvolution de lastratgie de lentreprise mais aussi de lenvironnement dans lequel elle volue.

Dans ce cadre, le rle de la DSI pourrait voluer vers un rle de courtier qui propose sespropres services internes mais aussi encapsule des services externes pour les intgrer et lesproposer en interne. Le challenge est, en sappuyant sur une relation avec des mtiers de

plus en plus mature, dtre suffisamment en amont des besoins (une veille auprs desdirections Mtiers est indispensable) pour fournir et intgrer, sils sont pertinents, lesservices, tout en maitrisant la scurit, linteroprabilit, etc.

Ce challenge comprend aussi ltablissement dun contrat qui, tout en protgeant le SI etlentreprise vis--vis de ses fournisseurs, garantit la prservation du service sur laccs, laqualit et les donnes, ainsi que la rversibilit, et ceci au-del de la priode contractuelle(dans le cas dun changement de contrat, les donnes doivent toujours tre accessibles tantque la migration na pas eu compltement lieu).

Lmergence du cloud computing et des services associs constitue une mutation quise traduit par des modles conomiques diffrents et des offres nouvelles ayant unimpact important sur lcosystme des services dinformation des entreprises Le cloudcomputing est une solution combiner aux solutions SI existantes. La fonction SI a unrle dintgrateur ultime avec les processus mtiers et les autres solutions constituant le

patrimoine applicatif de lentreprise tendue. Les offres de cloud computing doivent donctre interoprables, rversibles et reposer sur des standards ouverts. Loffre de cloudcomputing doit tre source dinnovation pour les entreprises, en termes de financement,de sourcing, darchitecture et surtout de services diffrencis

LEntreprise numrique Quelles stratgies ? (dcembre 2010)

http://www.entreprises-et-cultures-numeriques.org/entreprise-numerique-quelles-strategies-pour-2015/http://www.entreprises-et-cultures-numeriques.org/entreprise-numerique-quelles-strategies-pour-2015/http://www.entreprises-et-cultures-numeriques.org/entreprise-numerique-quelles-strategies-pour-2015/http://www.entreprises-et-cultures-numeriques.org/entreprise-numerique-quelles-strategies-pour-2015/


34/34

CIGREF21 avenue de Messine

75008 PARIS

Tel. : +33 1 56 59 70 00Fax : +33 1 56 59 70 01

[email protected] www.cigref.fr
mailto:[email protected]:[email protected]://www.cigref.fr/http://www.cigref.fr/http://www.cigref.fr/mailto:[email protected]

Documents

2012 2013 Fondamentaux Cloud Computing Point de Vue Grandes Entreprises