Solutions cloud : des atouts et des craintes
À l'heure où le RGPD et les menaces sur les informations privées cristallisent les inquiétudes, les questions relatives aux solutions cloud quant à leur pertinence, la sécurité en jeu, la localisation des données prennent une résonance particulière. Quelques éclairages aident à la prise de décision
Je m'abonneC'est une véritable lame de fond que l'on prédit autour de la notion de cloud dans l'avenir à court terme. En 2017, le cabinet d'étude IDC révélait qu'au moins 25 % des entreprises exploitent des applications tierces dans le Cloud, que ce soit pour des besoins internes ou externes. Et il annonce que d'ici 2021, les revenus liés au Cloud pour ses éditeurs devraient atteindre 554 milliards de dollars, c'est-à-dire plus du double par rapport à 2016. Au-delà de la tendance qu'il représente, ce phénomène s'apparente bel et bien à une réalité synonyme de levier de compétitivité pour les entreprises.
Pourtant, le Cloud pose question et divise dans plusieurs domaines. La conservation de la maîtrise des données, de leur sécurité, ou encore les coûts engendrés font régulièrement débat au sein des organisations. Qu'en est-il des pratiques et attentes en la matière dans les directions achats ?
Pour Audrey Legrand, responsable achats au sein de la société Isagri, spécialisée dans le développement de logiciels, "l'avantage économique est évident, car on ne paye ni les améliorations, ni les évolutions logicielles. Nous avons basculé vers une offre cloud il y a trois ans à peine. C'était clairement un choix judicieux." Elle estime que "le gain de flexibilité et de rapidité, en plus de la meilleure maîtrise des dépenses qui en résulte, explique le basculement à grande échelle vers les offres cloud."
Une mutation inéluctable
"Il y a seulement deux ans, des acteurs comme Oracle présentaient des solutions Cloud, mais avaient encore des difficultés à les vendre. Aujourd'hui, on sent que le recours à ces solutions devient complètement naturel. Les DSI doivent changer d'approche. On constate une évolution très rapide. Certains DSI non partisans de cette tendance ont été remplacés, d'autres se sont adaptés", constate Cédric Guillouet, Associé Achat & Supply Chain, cabinet de conseil Althea.
De son côté, David Chassan, Chief Communications Officer chez Outscale, souligne le fait "qu'il n'y a pas d'Intelligence artificielle, de Big Data, d'Internet des objets, de voitures autonomes, de villes intelligentes, d'analyse prédictive, sans une infrastructure Cloud computing. Or, toutes ces technologies se démocratisent de manière exponentielle dans notre société. L'adoption du Cloud est un mouvement qui se généralise, notamment grâce à la forte évolution des écosystèmes interconnectés."
L'automatisation, l'interopérabilité (multi-cloud), la conformité et la puissance du Cloud permettent aux entreprises de réduire le délai nécessaire pour le développement et la mise au point d'un projet ou d'un produit, avant qu'il puisse être lancé sur le marché, c'est le time to market. "C'est une notion très importante et une fois lié au Cloud, cela favorise l'agilité IT des entreprises et ainsi nous pouvons présenter une version avancée de leurs solutions aux investisseurs, voire presque le lancer sur le marché dans un temps qui est beaucoup moins long", poursuit David Chassan.
Lire la suite en page 2: Le coût, pierre angulaire de l'évolution vers le Cloud
Le coût, pierre angulaire de l'évolution vers le Cloud
Selon le rapport State of the Cloud 2017 de la société RightScale, spécialisée dans la gestion des plateformes cloud, 53 % des utilisateurs citent le coût comme l'un principaux avantages de ce type de solution. En plus de limiter les investissements, le cloud permet également aux petites et moyennes structures de bénéficier d'une infrastructure hautement qualitative, à laquelle elle ne pourrait pas prétendre en raison d'investissements trop élevés.
A priori, le Cloud paraît bien moins cher. Néanmoins, il faut tenir compte de plusieurs paramètres qui s'apparentent souvent à des coûts cachés. "Les pertes de temps liées à la rapidité d'accès aux applications, la relation avec le support et l'assistance fournie sont des éléments qui peuvent être contraignants. La position concurrentielle du fournisseur sur son marché a également un impact sur le prix. S'il ambitionne de mettre le pied dans un secteur d'activité, l'entreprise cliente appartenant à ce secteur bénéficiera de prix préférentiels et d'offres très intéressantes", souligne Cédric Guillouet.
Afin d'éviter ces coûts cachés, il importe d'avoir un projet informatique bien ficelé, rattaché à des objectifs business correctement identifiés et associé à un fournisseur cloud transparent. Le déploiement et l'usage des ressources cloud doivent être anticipés, évalués, pour arriver à une gouvernance aisée et maîtrisée. Dès la définition du projet, les besoins doivent être correctement évalués afin d'éviter des désagréments, par exemple de sur-dimensionnement, de sous-dimensionnement, de stockage.... Des aléas, indépendants du fournisseur de Cloud, peuvent survenir tels que des imprévus de type réglementaire qui pourraient engendrer des frais de mise en conformité. Des réticences parfois infondées...
Le rapport au cloud computing dépend souvent de la taille de l'entreprise. Les grandes organisations semblent avoir bien cerné le sujet. "Elles ont bien compris les problématiques, ont des exigences en termes de performance, de sécurité, de localisation des données très claires et cadrées, là où dans un passé récent encore, il fallait leur poser beaucoup de questions pour circonscrire les besoins exacts et les contraintes. Dans les structures de plus petite taille et même des ETI, c'est différent. Elles souffrent parfois de la pression de l'éditeur de solutions qui veut quitter les offres on premise pour se tourner vers le Cloud", remarque Cédric Guillouet.
Les solutions sourcing to contract sont pratiquement nées dans le Cloud, à l'inverse des solutions procure to pay où les systèmes sont davantage logés dans les ERP. À noter que dans d'autres périmètres fonctionnels comme les fonctions RH ou supply chain, la tendance à recourir au Cloud est vraiment plus récente.
Certains acteurs historiques comme Synertrade proposent des offres SaaS, mais les applications disponibles sur smartphone par exemple, et les bases de données rattachées sont bien la propriété du client. Les déploiements spécifiques peuvent alors être intégrés au reste de l'offre. Aujourd'hui, ces éditeurs uniformisent également leurs offres, de sorte que tous les clients aient véritablement la même application. "Nous sommes passés d'une logique d'offre personnalisée à un contexte où les souhaits spécifiques de chaque client en termes de fonctionnalités se retrouvent intégrés dans des offres communes pour tous. Les réticences de passage au Cloud pour certains clients reposent donc sur des doutes quant au fait de disposer de toutes les fonctionnalités spécifiques dont ils bénéficiaient jusque-là en interne", décrit Cédric Guillouet.
"D'autres réticences paraissent plus étonnantes", illustre-t-il. "Un client m'a confié récemment qu'il ne souhaitait pas consulter un éditeur prétextant que ce dernier appartient à son concurrent, et que celui-ci pourrait ainsi accéder à ses données confidentielles. C'est en réalité une méconnaissance totale, car les données chez l'éditeur sont bien sûr cryptées. Il reste un travail de pédagogie à faire sur ce plan."
Lire la suite en page 3: ... et des craintes plus compréhensibles
... et des craintes plus compréhensibles
La territorialité des données est bien sûr au coeur des interrogations. Un acteur comme Ivalua, historiquement franco-français, mais récemment tourné vers les États-Unis, reste parfaitement compatible avec les exigences du RGPD. "L'offre de BravoSolution, rachetée par l'américain Jaggaer, reste elle aussi tout à fait en accord avec le RGPD. Mis à part quelques acteurs comme l'Indien Zycus, les garanties sont fortes en la matière", assure Cédric Guillouet.
Dans le cas d'Amazon, les réticences peuvent se comprendre, car il y a un risque de redondances des données qui peuvent se retrouver sur le sol américain soumis à une réglementation très différente. En conséquence, des fournisseurs français comme OVH ont actuellement le vent en poupe.
François Tourrette, fondateur de la société Brapi (Benchmark des responsables achat de prestations intellectuelles), observe ainsi "une tendance forte effectivement à se tourner vers des fournisseurs cloud français, en particulier lorsque les données sont sensibles. Mais finalement la majorité des données peuvent aujourd'hui être considérées comme sensibles."
"L'endroit où sont stockées les données est une question fondamentale. Bon nombre d'éditeurs, comme Jaggaer, ont adopté des hébergements en Europe ou en France, pour diminuer le risque lié au RGPD. La problématique de la localisation des données est aujourd'hui une question réglée pour les éditeurs achats. Les seuls acteurs qui ont un problème sur ce plan sont les réseaux fournisseurs. Ariba par exemple dispose d'un réseau de ce type, de plusieurs milliers de sociétés, et toutes les données sont toujours hébergées aux États-Unis. Il va leur falloir mettre en place un hébergement de chaque côté de l'Atlantique et synchroniser l'ensemble", indique Patrick Chabannes, directeur commercial chez Jaggaer.
David Chassan souligne quant à lui "l'extraterritorialité du droit américain qui s'est à nouveau renforcé avec le Cloud Act qui permet aux autorités judiciaires américaines d'accéder aux données stockées hors des États-Unis. En effet, peu importe que vos données soient localisées sur des serveurs en France ou en Europe par un fournisseur de cloud américain. Ce dernier peut partager vos données à la demande des autorités judiciaires américaines."
Les garanties de sécurité sont parfois également remises en question à juste titre.
"Ce n'est pas parce qu'un hébergeur est de très haut niveau que l'éditeur de logiciels qui en est client lui achète tous les services. Il est même fréquent que l'éditeur achète un minimum de services. Il peut très bien acheter simplement un certain nombre de mètres carrés ainsi que la sécurité physique des lieux", confie Patrick Chabannes. Il estime par ailleurs que "les applications informatiques des SI Achats ne sont pas assez auditées par leurs clients, avec des tests reposant sur des tentatives de pénétration réelles pour étudier le niveau de sécurité. Même s'il existe des certifications synonymes de garanties en la matière, la faiblesse de l'analyse de la sécurité du service vendu par les éditeurs peut parfois surprendre."
La visite des locaux qui hébergent les solutions des éditeurs est recommandée aux entreprises clientes, en particulier s'il s'agit d'un hébergeur de moindre importance n'ayant pas de renom à l'échelle internationale.