L'aspect achat-juridique

Avoir un oeil aguerri sur le versant juridique des offres des fournisseurs est alors indispensable. En effet, ces prestataires proposent généralement des contrats standards, qu'il convient de revoir, négocier et lorsque ce n'est pas possible de mesurer les risques sur l'activité. Ces risques deviennent des contraintes supplémentaires à intégrer au service fournisseur.

Note : les conditions générales des services cloud évoluent régulièrement dans le temps : l'achat du même service à deux moments distincts peut être assorti de contraintes différentes. Le tableau de bord (voir ci-dessus) doit pouvoir suivre ces contraintes.

La réversibilité des données

Nous avons traité ci-dessus la partie opérationnelle de ce point. Cependant nous constatons que cette clause se trouve la plupart du temps absente des contrats cloud. Et lorsqu'elle est présente, son coût n'est généralement pas précisé. Il est donc nécessaire d'aborder dans la phase de négociation avec son fournisseur potentiel les conditions minimales suivantes : mise en oeuvre de la réversibilité complète ou partielle incluant un plan de réversibilité, et la garantie d'effacement des données, historiques programmes et méta-données (logs...) chez le fournisseur une fois la réversibilité faite.

Continuité de service

La continuité de services de l'entreprise est dépendante de celle de ses fournisseurs cloud. Un fournisseur de services défaillant nécessite que les services qu'il rend puissent être repris sur d'autres systèmes ou basculés sur d'autres fournisseurs. Chez les fournisseurs de services cloud, cette opération peut entraîner une perte d'enregistrement des données, gérée contractuellement par des SLA de RTO (recovery time objective) et RPO (recovery point objective). Il est néanmoins nécessaire d'étudier attentivement le Plan de Continuité d'Activité du fournisseur, de vérifier la dernière date à laquelle il a été testé et d'inclure le fournisseur dans des tests réguliers du PCA de l'entreprise.

La sécurité

La sécurité des données doit également faire l'objet d'une étude approfondie et documentée dans le contrat. Sur cet aspect, il est recommandé de se faire accompagner par les équipes opérationnelles (RSSI), qui seront à même de réviser et challenger les clauses contractuelles relatives aux niveaux de sécurité attendus (Plan d'Assurance Sécurité de l'entreprise).

La confidentialité

Il est important de connaître les mesures du fournisseur concernant la confidentialité des données. Notamment, il faut s'assurer que les règles de confidentialité correspondent aux standards de la société et les faire valider là aussi par le RSSI. Cela couvre entre autres l'accès et le traitement des données à caractère personnel.

Mesurer le niveau de service de ses opérateurs cloud / mise en place de Service Level Agreements

Il semble évident que l'on ait une mesure du niveau de service de ses opérateurs cloud. En pratique, cela demande un important travail de mise en place.

La mise en place de Service Level Agreements (SLA) - Tout service doit s'accompagner de SLA, spécifiant non seulement le niveau mais les contraintes du service proposé. Plus les SLA sur un service sont forts et donc contraignants pour le fournisseur, plus ils seront chers.

Note sur les obligation clients : le SLA implique des obligations réciproques de la part du client. Acheter un service en 24/7 n'a de sens que si le client est en mesure de traiter les informations qui lui sont remontées au fil de l'eau. Exemple : un client a acheté une prestation en 24/7 alors que ses propres ressources étaient organisées en 9/5. Il a dû, dans un premier temps, rajouter des astreintes non prévues avant de revoir sa demande dans un second temps.

Note sur le métier : le SLA doit avant tout répondre à un besoin métier. Annoncer une disponibilité de 99,5% ou 99,9% parle peu au métier. Ce dernier va s'exprimer en terme de ressenti. C'est une bonne pratique de le challenger et de le faire réagir à des tests avec des SLA plus faibles, plus faciles à atteindre et donc moins chers à l'achat.

Vérification des SLAs

Les SLAs sont toujours mesurés et communiqués par le fournisseur. Comment vérifier ces mesures ? La première étape consiste à connaître les bases de mesure et les calculs faits sur ces mesures. Exemple : fréquence de sauvegarde incrémentale et totale de bases de données. Certaines de ces mesures sont mensuelles (sauvegarde, restauration) d'autres sont semestrielles ou annuelles (Rapport de tests de DRP) et certaines sont continues (disponibilité du service). Dans ce dernier cas, la vérification de la mesure demande un système de suivi automatisé. Par exemple l'ITSM de la société relié (interface ou mail) au système de déclaration et suivi des incidents du fournisseur.

Conclusion

La stratégie de sourcing cloud consiste à acquérir les meilleures ressources pour un service optimisé (time to market, disponibilité, fiabilité, redondance...) au meilleur coût avec le moins de contraintes possibles. Dans un premier temps, les directions IT ont répondu à ce challenge en faisant monter en compétence leurs ressources clefs sur les trois fronts : technique, achat et juridique. Avec le développement des offres du marché, la banalisation de services cloud, les exigences de niveau de service, les offres du marché remplacent progressivement les services produits en internes.

Par ailleurs chacun de ces "systèmes" génère des quantités astronomiques d'information : logs d'exploitation, remontées d'événements de supervision, alertes sur les seuils, reporting divers... L'analyse de ces données en temps réel impose de nouveaux traitements : réduire le "bruit" pour ne se concentrer que sur les données qui ont un sens. Corréler ensuite ces données à d'autres données de contexte pour en faire une information pertinente. Réagir à cette information. Et encore mieux, anticiper.

Chaque infogéreur a géré - et d'abord pour son propre compte - la question et propose aujourd'hui au marché des outils d'intelligence artificielle qui permettent d'exécuter la stratégie cloud choisie par l'entreprise (exemple Ignio de TCS, Dryce de HCL...). Stratégie qui doit être revue régulièrement en fonction des conditions changeantes du marché et des besoins de l'entreprise.