DSI: préparez-vous à devenir cloud broker!

LES SYNTHÈSES SOLUCOM

DSI, préparez-vous à devenir Cloud broker !

Observatoire de la transformation des entreprises

no48

2• Les Synthèses © Solucom - Janvier 2014


Janvier 2014 - Les Synthèses © Solucom 3•

Nous remercions l’ensemble de nos clients qui, fort de leur participation à l’Atelier Solucom, ont enrichi notre réflexion sur le sujet.

Cette Synthèse a été rédigée avec la collaboration de Benoît Darde, Benoît Paroissin et Raphaël Tordjman (Solucom).

Thierry Debleds est senior manager chez Solucom.

Diplômé de Telecom ParisTech (ENST), il a à son actif près de quinze années de conseil auprès des grands comptes. Il est responsable de la business line « Datacenter & Cloud Services » au sein de la practice Architecture des systèmes d’information du cabinet Solucom.

[email protected]

Gérôme Billois est senior manager chez Solucom.

Diplômé de l’INSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans l’évaluation et la mise en place de leur gouvernance sécurité et dans leurs projets de sécurisation de l’information.

[email protected]

Julien Contal est manager chez Solucom.

Diplômé de l’UTBM, il accompagne depuis 10 ans nos clients dans leurs programmes de transformation infrastructures. Il a développé une expertise pointue dans les approches Cloud computing.

[email protected]

Nicolas Thierry est manager chez Solucom.

Diplômé de Supélec, il intervient depuis 2003 auprès de DSI de grands comptes pour amé-liorer leur performance opérationnelle et optimiser leurs processus. Il possède également une forte expertise en définition et mise en place d’offres de service.

[email protected]

2• Les Synthèses © Solucom - Janvier 2014 Janvier 2014 - Les Synthèses © Solucom 3•

ÉDITO

Le Cloud computing : une révolution annoncée

C’est absolument certain : le Cloud computing va révolutionner notre manière de concevoir, de gérer et d’utiliser le

système d’information !

Le grand public est aujourd’hui le premier bénéficiaire de cette transformation qui bouleverse tout l’écosystème de l’IT.

Mais les grandes entreprises doivent dès aujourd’hui rapidement saisir les opportunités apportées par ce nouveau modèle

de « consommation » de l’IT, et ceci pour au moins trois raisons :

Premièrement parce que ce sera un gage de compétitivité.

Deuxièmement parce que ce sera le plus sûr moyen de suivre le rythme des évolutions technologiques vécues par le grand

public et donc par les clients et les collaborateurs de l’entreprise.

Et troisièmement parce que ce sera la meilleure manière pour les entreprises, en se « débarrassant » de tout ce qui relève

de besoins « standards », de concentrer leurs efforts et leurs moyens sur ce qui crée une valeur différenciante pour leur

cœur de métier.

Les DSI ne doivent pas seulement se limiter à accompagner cette transformation : ils doivent l’impulser !

Et il ne s’agit pas seulement pour eux de construire des clouds d’infrastructures privés, certes utiles pour accélérer les

mutualisations, mais qui ne sont pas une révolution en soi. Il s’agit bien d’accompagner et fédérer les usages de services

« totalement Cloud » tout en veillant à leur bonne intégration avec le SI.

Pour cela, de nombreux leviers sont à actionner tant sur le plan des compétences, du modèle économique, de l’intégration

au sein du SI que de la sécurité.

Cette Synthèse consacrée au Cloud a justement pour objectif d’analyser ces différents leviers, en identifiant les trajectoires

qui permettront à la DSI d’incarner progressivement son nouveau rôle de « Cloud broker ».

Bonne lecture à tous !

Laurent Bellefin,

directeur associé du cabinet Solucom




Le Cloud : quelle réalité derrière les nuages ?

Une réalité marché derrière le marketing du CloudPhénomène confidentiel connu dans les startups du web au début des années 2000, le « Cloud com-puting » est aujourd’hui devenu le « Cloud ». Concept de consommation à la demande de ressources informa-tiques plus que de technologies en particulier, il s’est d’abord épanoui au travers des offres grand public : stoc-kage de fichiers, accès mails, outils bureautiques, sans oublier les réseaux sociaux… Les utilisateurs s’y sont habitués, inscrivant cette nouvelle façon de consommer dans les mœurs : accessibilité par internet, attractivité des coûts et ergonomie des services.

Au-delà de ces usages grand public, les fournisseurs se sont mis au « cloud-washing » d’une large variété de leurs produits, allant du simple stockage de photos personnelles à des serveurs « nouvelle génération ». Le marché du Cloud offre d’importantes perspectives : il devrait atteindre 6 milliards d’euros en 2016 en France avec une croissance de près de 50% par an d’ici là*.

Une adoption motivée par réduction des coûts et recherche d’agilité Malgré la dynamique du marché et la promesse de gains sous-jacente, les DSI des grandes entreprises tardent à se mettre en mouvement, réagis-sant plus au Cloud qu’elles ne l’an-

ticipent. Elles le privilégient essen-tiellement pour des usages à risques techniques limités et à ROI rapide, principalement en IaaS et en SaaS.

SaaS : une utilisation massive des services standardisés...... Le SaaS est aujourd’hui le princi-pal vecteur d’adoption du Cloud. L’adoption du SaaS est centrée sur les fonctions support dont l’usage est standardisé (bureautique, message-rie, CRM, paie…). Le SaaS est éga-lement fortement sollicité pour les services de sécurité (antivirus, proxy, services de tests d’intrusion…) qui nécessitent une puissance de calcul importante, des évolutions en cycle court ainsi qu’une disponibilité maxi-male pour des employés de plus en plus mobiles.

PaaS : une adoption encore confidentielle....................C’est le segment le moins bien appréhendé par les grands groupes aujourd’hui. Il correspond à la fourni-ture d’une plateforme d’exécution de code informatique. Il permet la mise à disposition d’une application en limitant très fortement les opérations sur les couches sous-jacentes (sys-tèmes, bases de données, serveurs d’applications...). Le PaaS reste aujourd’hui cantonné chez les grands comptes à des usages « jetables », comme des prototypes ou des sites web temporaires (événementiels).

IaaS : des déploiements essentiel-lement en mode « privé »...........Le modèle IaaS, fourniture de machines virtuelles (VMs) et res-sources associées depuis un Cloud, qu’il soit public ou privé, permet d’in-troduire davantage d’agilité.

Les grandes entreprises déploient aujourd’hui beaucoup de IaaS pri-vés, dans l’optique de capitaliser sur leurs compétences internes et leurs investissements en infrastructures. De son côté, le IaaS public est mis en œuvre de façon très ciblée, par exemple pour une filière web, ou dans une logique de « bac à sable ».

Pour autant, grâce à la consolidation à grande échelle, c’est le modèle public qui permet d’obtenir les gains fonc-

*Selon l’estimation du cabinet IDC

Segmentation du marché du Cloud

Le marché du Cloud se scinde aujourd’hui en 3 principaux segments SaaS (Software-as-a-Service), PaaS (Platform-as-a-Service) et IaaS (Infrastructure-as-a-Service), et selon 2 modes de mise à disposition : privé (usage dédié à une entité) ou public (largement ouvert au mar-ché et mutualisé). Ces 2 modes peuvent être combinés dans une approche dite « hybride ».

Niveau d’adoption du Cloud : motivations et services déployés

Leviers motivant une démarche Cloud Usages privilégiés des services Cloud

© Solucom


marché devrait évoluer pour offrir des solutions avec une valeur ajoutée de plus en plus forte, pour répondre à la fois aux offreurs en quête de relais de croissance et aux entreprises uti-lisatrices souhaitant optimiser leur marge en se recentrant sur leur cœur de métier.

Le SaaS devrait s’imposer dans les entreprises comme le choix par défaut. Les éditeurs de logiciels vont proposer de manière systéma-tique leurs solutions en mode SaaS,

tionnels et financiers les plus impor-tants. C’est pourquoi les stratégies de déploiement de IaaS privés sont ou doivent être considérés comme une étape sur une trajectoire plus ou moins long terme de généralisation d’IaaS public.

Un avenir qui promet plus d’innovation et de valeur ajoutéeLa 1ère phase d’adoption du Cloud est motivée par la recherche d’éco-nomies et l’optimisation du niveau d’agilité. Ces prochaines années, le

en partenariat avec les fournisseurs IaaS. Ils s’assureront ainsi des reve-nus constants et proposeront à leurs clients des services très industrialisés, flexibles et au meilleur coût.

L’usage du PaaS devrait exploser lorsque les problématiques de por-tabilité des applications, bien sou-vent surestimées, seront résolues. Il devrait alors devenir le socle d’exé-cution par défaut de toutes les appli-cations qui ne seraient pas consom-mées en SaaS. Ces plateformes vont s’enrichir pour fournir aux développeurs un maximum d’accé-lérateurs et de nouvelles possibilités (composants et connecteurs pré-pac-kagés, services de sécurité, réseaux de distribution de contenus... ) et donc en faire un choix par défaut dans les filières de développement. Par ailleurs, les éditeurs de progiciels devraient rapidement proposer leurs solutions en mode pré-packagé pour les plateformes PaaS du marché.

Le IaaS devrait perdurer pour adres-ser des besoins applicatifs très spé-cifiques. Mais il ne permettra pas d’aller chercher toutes les économies d’échelle d’une approche Cloud.

Ce sont le SaaS et le PaaS qui porte-ront le marché demain.

La puissance du Cloud au service du Big data

Le Big data* nécessite aujourd’hui des investissements et un savoir-faire importants, ce qui freine sa mise en œuvre. Le challenge est double : mobiliser d’importantes capacités de traitement sur des laps de temps réduits et mettre en œuvre des algorithmes d’analyse des données les plus pointus possibles, sur des jeux de données étendus. Le Cloud apporte là une vraie réponse. Les fournisseurs Cloud ont la capacité de mobiliser des puissances de calcul et de stockage importantes sur des périodes de temps variables.

Ils ont également la capacité à s’interconnecter à de multiples fournisseurs de données et à intégrer des algo-rithmes de corrélation avancés pour que leurs clients puissent tirer un maximum de valeur de leurs données. Ces possibilités techniques ouvrent de nouveaux horizons sur le pan des usages, dans tous les domaines de l’entreprise. Il est par exemple possible d’optimiser les chemins logistiques en fonction de la météo, du trafic et de sa gestion des stocks ou encore d’anticiper les tendances marketing sur la base de ses données clients, des volumes de ventes et des bruissements sur les réseaux sociaux.

Panorama de la maturité des offres Cloud

*Découvrez notre dossier Big data sur solucominsight.fr

© Solucom

© Chalvin




Les 4 clés de l’intégration des services CloudL’approche Cloud est par essence une approche « sur étagère ». Les entre-prises sont naturellement conduites à souscrire différents services Cloud, chacun étant le meilleur de ce que sait offrir le marché sur son périmètre. Mais sans vision d’ensemble et sans anticipation, on s’expose à une mise en silos préjudiciable. Le SI perd alors en agilité, en exploitabilité, voire en per-formance économique… soit l’opposé des résultats escomptés. Voici quatre domaines clés pour assurer l’intégra-tion des services Cloud.

1 - Une intégration des données sans couture.............................Avec l’utilisation de services Cloud, on exacerbe le besoin de mettre en place des plateformes transverses d’échanges entre les différentes ressources, qu’elles soient Cloud ou internes. Cette problématique est essentiellement présente lorsque l’on s’appuie sur des services SaaS. Il s’agit ainsi soit d’étendre les plate-formes d’échanges traditionnelles aux services Cloud si elles offrent des connecteurs vers les interfaces (API) des applications Cloud, soit de s’ap-puyer sur des services d’échanges relais (Cloud ou internalisés), qui masqueront la complexité des interfaces et de leur évolution.

2 - Une gestion centralisée des identités............................Celle-ci est essentielle pour fournir aux utilisateurs un accès sans couture à l’ensemble du SI, qu’il soit en mode Cloud ou non. Elle doit notamment permettre de gérer le cycle de vie des comptes utilisateurs (décommission-nement, gestion du mot de passe…). Cet aspect est trop souvent négligé. Il arrive par exemple de laisser des accès ouverts à des employés ayant quitté la société, l’exposant à de la surfactu-ration et à d’importantes brèches de sécurité. La DSI doit donc mettre en œuvre une gouvernance des identités globale ainsi que l’outillage adéquat.

3 - Des référentiels communs de service management..........Pour que la DSI puisse garantir les niveaux de services de l’outil informa-tique (disponibilité, impact des chan-gements, capacité d’évolution…), il est nécessaire qu’elle puisse intégrer les services Cloud à ses référentiels de service management. Ils auront notam-ment un rôle primordial pour gérer les changements. En effet, les services Cloud évoluent constamment, en cycle rapide, sans que les clients puissent s’y opposer. Les analyses d’impacts doivent donc être précises et le plus automati-sées possible. Pour s’adapter au Cloud, les référentiels devront intégrer des res-sources fournies en mode as-a-Service,

pour lesquels les aspects de localisation ou de dépendance à des ressources phy-siques ne sont pas connus.

4 - Des portails de services par usage...........................L’une des composantes essentielles du Cloud est l’aspect self-service. Pour optimiser l’apport des services Cloud, il est primordial de limiter le nombre de points d’entrées pour les demandes de ressources, les déclarations d’incidents et le suivi des consommations, et ce quel que soit le nombre de fournisseurs.En revanche, il n’est pas nécessaire de se limiter à une seule interface globale pour l’ensemble des services de la DSI. Il s’agit ici de fédérer les différents por-tails de services qui seront instanciés par typologie d’usage et de population.

Pour ce faire, il faut anticiper au plus tôt une cible globale d’intégration puis s’appuyer sur un outillage adapté aux services souscrits et à l’existant. Cet outillage est à déployer progressive-ment à l’occasion de chaque projet Cloud jusqu’à atteindre la cible.

Un ordre de priorité qui dépend de la stratégie Cloud La cible d’outillage sera à définir en fonction de la stratégie Cloud. Dans une stratégie à dominante SaaS, le challenge majeur sera d’intégrer sans couture les nouvelles applications au

Avec la multiplication des nuages, attention à l’orage !

Outils de pilotage et d’intégration de Clouds

SI ExterneSI ExterneSI interneSI interne

Applications legacy

Clouds privés(IaaS et PaaS)

Services SaaS

Clouds publics(IaaS et PaaS)

Portail de services

• Gestion de la demande• AppStore• Reporting d’usage• Selfcare• Ticketing

Service Management• Catalogue de Services• CMDB (Configuration

Management Database)• SLA management

(Service level agreement)• Change Management• Capacity Management

Gestion des identités

• Référentiel utilisateurs• (Dé)provisioning• Fédération d’identités• Single sign on (SSO)

Intégration

• Plateforme d’intégrationde services

• Plateforme d’intégrationde données

• Orchestration de Clouds

Les 4 clés d’intégration d’un service Cloud


qui est en phase d’évolution rapide. D’un côté, des startups aux offres fonction-nellement riches mais dont la pérennité n’est pas toujours assurée. De l’autre, des fournisseurs traditionnels avec des offres qui sont soit balbutiantes, soit issues de rachats récents, donc peu intégrées au reste de leur gamme et en passe de subir des évolutions majeures.

Ces solutions n’étant pas pleinement satisfaisantes, deux stratégies de déploiement s’offrent aux entreprises. Si l’on est dans un rythme d’adoption

du Cloud plutôt lent, mieux vaut tem-poriser en s’appuyant sur l’outillage existant et en l’adaptant au cas par cas. Par exemple, des transferts de fichiers non automatisés peuvent suffire dans un 1er temps pour assurer le provisionning des identités. Cette stratégie évite d’in-vestir dans des solutions peut-être non-pérennes, au prix d’un surcoût modéré en opérations.

En revanche, si l’on souhaite adopter une démarche volontariste et cadencée vers le Cloud, il n’est plus possible de temporiser au risque de voir exploser ses coûts d’opérations. Il faut donc expéri-menter ce que le marché sait fournir ! L’outillage Cloud-ready, qu’il per-mette l’intégration de données, la gestion des identités et le service management ou offre un portail de service, embarque de toute façon un ensemble de connecteurs vers les fournisseurs du marché. Charge ensuite à l’éditeur de la solution de les maintenir à jour en fonction des évo-lutions apportées par les fournisseurs Cloud.

Quoiqu’il en soit, il faut rester en veille permanente pour adapter sa stratégie aux évolutions des standards, à leur niveau d’adoption par le marché et aux mouvements de consolidation.

SI. Il faudra donc en priorité traiter les problématiques d’intégration de don-nées, la gestion unifiée des identités et le portail de services. Si la stratégie Cloud est essentiellement IaaS, les enjeux seront plutôt liés à la gestion de ce nouveau parc de ressources. Il faudra alors se doter rapidement d’un outillage permettant d’adresser la problématique de service management.

Une stratégie d’outillage à définir Deux types d’acteurs constituent actuel-lement le marché de l’outillage Cloud,

Comment assurer une gestion unifiée de votre Cloud hybride ?

Les outils de Cloud Management Platforms (CMP) permettent de gérer de manière unifiée des environnements Cloud privés, publics ou hybrides en fournissant des interfaces self-service, du provisionning, de la facturation... Sur ce marché, deux grandes approches se distinguent :

1 – L’approche best of breed, fondée sur l’utilisation de plateformes de gestion de Cloud privé open source comme OpenStack qui permettent l’extension d’une infrastructure vers un Cloud public, ou sur des solutions logicielles propriétaires équivalentes. Cette approche offre davantage d’indépendance par rapport aux fournisseurs des services Cloud souscrits et favorise la réversibilité, mais elle induit des coûts et une complexité de mise en œuvre qui peuvent être bloquants pour certaines entreprises.

2 – L’approche intégrée, qui s’appuie sur l’extension de solutions de virtualisation déjà déployées. Microsoft et VMware proposent ainsi à leurs clients d’utiliser leur hyperviseur (respectivement Hyper-V et vSphere) pour basculer de façon transparente vers leur Cloud public ou celui d’un tiers. Si la simplicité de déploiement est attractive, le risque de lock-in chez le constructeur n’est pas neutre et la réversibilité nécessairement plus difficile qu’avec un outil indépendant.

La standardisation, catalyseur du Cloud

Le Cloud impose des cadres de référence et de fonctionnement stricts. Pour s’y adapter plus facilement, rien ne vaut un SI préalablement standardisé. Les efforts de standardisation de la DSI doivent donc être intensifiés pour se préparer au Cloud. Cela passe par la mise en place de catalogues de services refacturés, la gestion des données référentielles (afin de garantir la maîtrise de la donnée) et l’adoption d’orienta-tions SOA (pour être en capacité d’automatiser de bout en bout des processus métiers dans les approches SaaS). Pour aller plus loin en matière d’intégration continue et d’automatisation du provisioning et ainsi favoriser une transition vers le modèle PaaS, l’industrialisation des filières études et production est à accélérer. Enfin, dernier levier, la consolidation et la virtualisation des infrastructures, permet d’optimiser la surface éligible au Cloud et donc d’optimiser l’apport d’une stratégie IaaS.

Ces efforts de standardisation ne doivent pas faire peur. En effet, si d’un côté le SI doit se standardiser pour devenir Cloud-ready, de l’autre, le Cloud favorise le processus de standardisation. Une ironie dont il faut savoir jouer !




Sécurité et Cloud, un mariage de raison

Des craintes à relativiser…Trois risques sont souvent mis en avant mais il faut les relativiser.

Disponibilité du Cloud.............Chaque incident touchant l’un des grands acteurs du Cloud fait la « Une » de l’actualité, mettant sur le devant de la scène la question de sa disponibilité. Il s’agit pourtant d’un faux problème : les taux de disponibilité des services Cloud sont souvent supérieurs à ceux des systèmes internes des entreprises. La situation, d’un point de vue média-tique, est comparable à celle des accidents aériens : bien que rares, ils choquent l’opinion et intéressent les journalistes beaucoup plus que les accidents de voiture, qui font pourtant annuellement plus de victimes. La disponibilité n’est donc pas un risque inhérent au Cloud. Il reste néanmoins une spécificité à laquelle il faut prêter attention : la connectivité avec le four-nisseur Cloud. Si celui-ci utilise inter-net comme unique moyen d’accès à ses datacenters, le risque d’indisponibilité de cet accès et d’internet en tant que tel doit être pris en compte.

Confidentialité des données......... Mes données sont-elles isolées de celles des autres clients ? Les administrateurs peuvent-ils y accéder ? Il est important de remettre ces craintes en perspective. D’une part, toutes les données de l’en-treprise ne sont pas critiques en termes de confidentialité. D’autre part, si ces questions se justifient dans certains cas, elles ne sont pas nouvelles et ont trouvé leurs réponses il y a déjà plu-sieurs années, à l’heure des premiers contrats d’externalisation IT ou de l’em-ploi d’administrateurs prestataires. Les principales différences résident dans l’éloignement potentiel et le degré de contrôle possible du fournisseur.

La confidentialité des données vis-à-vis des Etats reste un sujet plus complexe à adresser. Ces derniers disposent en effet de textes leur permettant d’accé-der aux données présentes dans les sys-tèmes hébergés sur leur sol. Les USA

font souvent figure d’épouvantail, leurs textes ayant en plus une portée extrater-ritoriale (Patriot Act, FISAA). Ces textes permettent à la justice et aux forces de l’ordre américaines d’accéder aux don-nées manipulées par des sociétés de droit américain quel que soit le client et la localisation des données. Le risque est donc que des Etats aient accès aux données dans un objectif d’es-pionnage économique. Ce risque est réel comme l’illustrent les révélations sur les moyens dont dispose la NSA. Mais là encore, la portée du risque est à mesurer. Seules quelques données ont un niveau de sensibilité élevé : éta-tiques (administrations, défense, etc.), stratégiques pour l’entreprise dans un environnement à forts enjeux concur-rentiels, géopolitiques, etc.

Conformité réglementaire........La conformité réglementaire (PCI-DSS, LIL…) des offres Cloud, notamment en matière de protection des données à caractère personnel est également un sujet d’inquiétude. La situation reste très variable en fonction des acteurs, même si des réponses techniques (localisation des données, chiffre-ment…) ou juridiques (Safe Harbour, contrat type de la commission euro-péenne…) existent aujourd’hui chez la plupart d’entre eux.

… car la sécurité est au cœur de la préoccupation des fournisseursTrès visibles et régulièrement attaqués, les fournisseurs majeurs de Cloud mettent souvent en place des équipes dédiées pour assurer la sécurité de leurs services. La sécurité est même devenue pour certains d’entre eux l’un des principaux arguments de vente.

Attention cependant : tous n’assurent pas le même niveau de sécurité. Il reste donc important de préciser avec le fournisseur les mesures incluses dès la signature du contrat, d’autant qu’il est difficile de faire évoluer les mécanismes de sécurité d’un fournisseur quand ceux-ci ne sont pas prévus initialement.

Certains fournisseurs de solutions « SaaS métier » de taille petite et inter-médiaire négligent parfois la sécurité : les audits et tests d’intrusion ont pour ce type d’offres une importance accrue.

Vers une coresponsabilité fournisseur / entreprise Analyse de risque : passer de l’intention à l’action.............. Suivre une démarche d’analyse de risque est impératif pour lever les freins relatifs à l’adoption du Cloud. La fina-lité de l’analyse n’est pas d’interdire le Cloud par défaut mais plutôt d’identi-fier les données sensibles afin d’accom-pagner les projets de la manière la plus sûre et la plus pertinente.

L’implication des responsables sécurité dès le démarrage des projets est donc essentielle. Ils doivent identifier les risques que l’on peut réduire par des moyens techniques et organisationnels, et ceux résiduels impossibles à couvrir. Aux Métiers et à la Direction de déci-der ensuite si ceux-ci sont acceptables ou non pour l’entreprise. Et de revoir si besoin le périmètre de la demarche Cloud.

Et si on parlait réversibilité ?

L’importance de la réversibilité est accentuée avec le Cloud. C’est donc un sujet à prendre en compte dès la phase de choix du fournis-seur, pour notamment maîtriser les risques opérationnels.

Concrètement, il s’agit d’éviter les offres proposant des hébergements privatifs trop spécifiques et de privi-légier celles s’appuyant le plus pos-sible sur des standards du marché.

En fonction du type d’offre sous-crite, il s’agira aussi de s’assurer que l’ensemble des données (SaaS) et que le code applicatif peuvent être exportés vers d’autres pla-teformes (PaaS) ou qu’il est pos-sible de récupérer les machines virtuelles (IaaS).

* PCI-DSS : Payment Card Industry Data Security Standard LIL : Loi Informatique et Liberté


Des contrôles à ne pas négliger..Durant le projet ou en amont lors de la phase de choix des fournisseurs, il est recommandé de poser des questions précises sur les mesures de sécurité pour ne pas laisser place à des réponses ambiguës. Par exemple, beaucoup de fournisseurs mettent en avant leurs cer-tifications. Il convient de vérifier le type de certification et le périmètre concerné (voir schéma ci-dessus).

Un certain nombre d’acteurs du Cloud acceptent d’ailleurs de four-nir des détails sur l’architecture de leur solution, après signature d’un accord de non-divulgation. La capacité à répondre rapidement et de manière détaillée aux questions per-met de se forger un avis sur la maturité de l’offre proposée.

En outre, la possibilité d’auditer le prestataire Cloud est un bonus à ne pas négliger. Accepter un audit est une preuve de transparence du fournisseur et de confiance en son niveau de sécu-rité. Même si les plus grands acteurs anglo-saxons s’y refusent, il est toujours utile de poser la question, notamment pour des acteurs de taille intermédiaire.

Des référentiels émergents....Un outillage commence à voir le jour pour aider les entreprises à évaluer les risques et le niveau de sécurité inhérent. En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié un guide pour accompagner les démarches de type Cloud computing. Au niveau euro-péen, l’ENISA (European Network and Information Security Agency) fournit une analyse générique mais complète des risques liés au Cloud. Enfin, outre-Atlantique, l’association Cloud Security Alliance, qui regroupe les acteurs majeurs, a mis au point la Cloud Controls Matrix. Cette matrice permet de comparer de nombreux fournisseurs sur des critères de sécurité précis. Bien que fondée sur les seules déclarations desdits fournisseurs, elle peut s’avérer utile pour comparer les offres.

Le chiffrement : graal de la sécu-rité Cloud ?................................Parmi les solutions techniques permet-tant de réduire les risques du Cloud, le chiffrement se positionne en tête. Et si aujourd’hui son utilisation nécessite souvent de donner les clés de déchif-frement au fournisseur, des innovations technologiques se profilent. Elles per-mettront de transférer et de traiter des

données à distance sans jamais don-ner au fournisseur d’accès direct. Bien qu’encore expérimentales, ces tech-niques, rassemblées sous la bannière du « chiffrement homomorphique* », méritent qu’on les suive avec attention.

Ne pas mettre ses responsabi-lités dans les nuages..............Contrairement à ce que trop d’entre-prises pensent, leur responsabilité ne s’arrête pas une fois la solution Cloud mise en production. Si le fournisseur est tenu de respecter un certain nombre de règles de sécurité, le maintien du niveau de protection dans le temps relève aussi de la responsabilité de l’entreprise.

Pour cela, les bonnes pratiques appli-quées au SI d’entreprise doivent être transposées au Cloud : gouvernance de la sécurité (processus, sensibilisation des utilisateurs), administration fonc-tionnelle de la sécurité, configuration des options de sécurité avancées, res-triction des droits requis par les utili-sateurs, formation des administrateurs, revue régulière des paramètres de confi-guration… Ceci est particulièrement vrai pour la gestion des identités et des accès, élément clé pour garantir la confi-dentialité des données dans le Cloud.

La règlementation à l’ère du Cloud

* Cf. nos articles sur le sujet sur www.solucominsight.fr




Anticiper les usages pour garantir l’équilibre économique du Cloud

Le développement du Cloud met la DSI en risque sur ses deux objectifs de maîtrise économique :

•L’atteinte de son propre équilibre économique devient plus com-plexe, avec l’évolution des modèles de facturation des fournisseurs, notamment à l’usage ;

•La garantie de maîtrise des coûts IT à l’échelle de l’entreprise est remise en cause par l’accès simpli-fié aux services Cloud (souscription directe de services par le Métier par exemple).

Face à ce challenge, les DSI doivent repenser le pilotage de l’équilibre économique à l’ère du Cloud.

Déchiffrer la complexité des modèles fournisseurLa maîtrise de la facturation du four-nisseur constitue le premier pilier de ce pilotage.

De prime abord, le système de fac-turation du Cloud peut paraître simple : prix à l’unité, facturation au volume. Ce mode de fonctionne-ment peut cependant générer des surprises au bout de quelques cycles de facturation : le modèle contractuel embarque fréquemment des éléments structurants tels que les volumes ou montants minimaux, ou encore les effets de seuil. De telles clauses induisent des risques pour la DSI : si la demande du Métier n’est pas au rendez-vous, l’équilibre économique

du service pourrait ne pas être atteint.

Avant de contractualiser, une atten-tion particulière doit porter sur la compréhension du modèle écono-mique du fournisseur, et notamment sur les services et options qui sont les plus rentables pour ce dernier. En effet, les tarifs de service anormale-ment bas pourront cacher des options coûteuses qui s’avéreront finalement nécessaires (extension de volumes de stockage, frais d’interconnexion, etc.).

Construire des scénarios d’utilisation des servicesLa réflexion sur l’équilibre économique doit amener à piloter les recettes de la DSI et implique donc de bénéficier

Une transformation de Capex en Opex

Le passage en mode Cloud fait évoluer profondément le modèle économique de la DSI. Les dépenses d’investissement nécessaires sont déportées chez le fournisseur ainsi que les contraintes liées à leur amortissement. La mutualisation des investissements sur un large panel de clients permet d’obtenir un coût global moindre pour la DSI et une atteinte plus rapide de l’équilibre économique.

Toutefois, une attention particulière doit être portée lors du passage à ce nouveau modèle pay per use pour tirer réelle-ment parti de ces bénéfices. Deux points d’attention sont à étudier :

1 - Lors de la souscription d’un service Cloud, il faut veiller à ce que les investissements précédents soient amortis pour éviter une perte sèche (write-off) lors de la migration vers le nouveau service.

2 - Le contrat proposé par le fournisseur doit être étudié finement : afin de couvrir ses investissements, celui-ci peut demander un engagement sur la durée qui peut réduire la flexibilité inhérente au modèle Cloud.

Modèle classique Modèle Cloud


tails self-service par exemple) et l’amélioration de la qualité ont pour effet de faciliter l’accès aux services informatiques pour les utilisateurs, qui ont ainsi naturellement tendance à en augmenter leur utilisation : cette amélioration de l’offre conduit à une demande accrue.

La facturation à l’usage par les four-nisseurs, associée à cette augmen-tation de la demande peut d’ailleurs induire une augmentation de la fac-ture globale des services Cloud.

Sans freiner la productivité des Métiers, la DSI se doit de les accom-pagner et les conseiller, en mettant à leur disposition des outils de suivi de l’usage des services IT.

Il s’agit avant tout de donner un maximum de visibilité au Métier sur ses consommations :

•Refacturer au Métier peu de temps après les consommations réelles, au mois par mois ;

•Produire un reporting opération-nel de l’utilisation des services, intégrant notamment un suivi des volumes consommés par rap-port aux volumes prévus, et un système d’alertes en cas de sur-

consommation (et également de sous-consommation) ;

•Analyser cette consommation avec les Métiers pour ajuster les priorités et prévisions d’utilisation future.

Il est également recommandé de fournir les systèmes techniques de gestion de la demande (portails self-service, outils de workflow), permet-tant au client de valider les besoins de ses utilisateurs. Cet accompagnement de la demande constitue un véritable service fourni par la DSI, qui ne serait pas acces-sible en cas de souscription des services Cloud directement par les Métiers. Ces derniers n’ont en effet pas d’objectif régalien de maîtrise globale des coûts IT : il s’agit donc pour la DSI de valoriser l’image de ce service, qui constitue un réel élément différenciant.

d’une vue au plus juste des besoins du Métier, présents et futurs.

Il s’agit, pour la DSI et ses clients, de construire et de suivre une pro-jection de l’évolution des volumes d’utilisation des services Cloud, et si nécessaire de formaliser des scéna-rios d’évolution. Cette concertation DSI / Métiers permet d’obtenir un engagement mutuel entre la DSI et les Métiers.

Cette connaissance permettra à la DSI de souscrire au service Cloud le plus adapté, d’évaluer le seuil de rentabilité de ce service, et de mettre en place une facturation à l’usage permettant l’équilibre économique.

Pour le Métier, cette collaboration permettra de disposer d’un certain degré de maîtrise financière de ses dépenses informatiques.

Les scénarios d’utilisation des services constitueront in fine des entrants précieux dans la démarche de construction budgétaire, pour les Métiers et pour la DSI.

Accompagner le Métier dans la gestion de sa demandeLa mise en place d’outils ergono-miques pour l’accès au Cloud (por-

Comment démontrer l’apport de valeur de la DSI ?

L’utilisation accrue du Cloud dans la DSI ne remet pas en cause les principes de tarification des services mis en place ces dernières années, avec une tendance actuelle à la simplification du modèle (réduction du nombre d’unités d’œuvre et limitation des options).

Face à des Métiers en capacité de souscrire directement à certains services Cloud, la DSI se voit de plus en plus challengée sur le tarif de ses services, notamment sur l’écart avec les prix publics des fournisseurs.

Sans remettre en cause le modèle de refacturation, la DSI doit anticiper ce frein, en mettant en avant la valeur ajoutée que couvre l’écart tarifaire : frais liés au projet d’intégration dans le SI, services d’infrastructures transverses tels que l’authentification, l’assistance au pilotage de la demande, etc. Ces services devront par exemple être explicitement notés dans le catalogue de services et communiqués clairement au client.




nique devient un enjeu majeur. Ce sera tout particulièrement le cas sur des actions opérationnelles comme la mise en œuvre des changements ou la résolution des incidents.

La présence de ces profils tech-niques, capables de comprendre ce SI multi-facettes et de coordonner les fournisseurs, constituera même très vite un impératif pour la DSI.

On assistera aussi à la montée en puissance de profils techniques très spécifiques, conséquence directe de l’évolution de l’architecture du SI dans le contexte Cloud. Les compé-tences d’intégration technique des SI (architecture, orchestration, intégra-tion de données, etc.) vont ainsi être amenées à se développer, avec un objectif clé : garantir la cohérence du SI. Des compétences sécurité (fédé-ration d’identité, gestion des habilita-tions) vont également se développer.

Une nécessaire transformation des compétences et des pratiques

Changer les mentalités : du sur-mesure au prêt-à-porterLa standardisation est l’une des caractéristiques du Cloud. Si l’entre-prise veut en tirer tous les bénéfices, opérationnels comme économiques, elle doit accepter et faire accepter aux utilisateurs un degré de standar-disation important. Le déploiement du Cloud en entreprise implique un changement de posture pour la DSI et une évolution radicale dans les mentalités, au sein des équipes informatiques comme du côté des Métiers.

Le challenge principal pour les équipes de maîtrise d’ouvrage et de conception du SI va avant tout être de trouver le bon point d’équilibre entre les besoins de personnalisa-tion des services Cloud et le niveau de standardisation imposé par les fournisseurs.

En outre, les équipes informatiques vont devoir apporter toute leur exper-tise pour mettre en cohérence des Clouds multiples et ainsi former un SI homogène. Bien qu’habituées à des environnements complexes, elles devront également intégrer un cadre moins flexible qu’auparavant.

Faire évoluer les fonctions techniques Avec le développement du Cloud, la spécialisation des compétences est de moins en moins d’actualité : la tendance est au profil multi-géné-raliste. On le voit par exemple avec la mise en place de services SaaS, comme la bureautique et la messa-gerie : le besoin d’experts techniques sur ces périmètres auparavant inter-nalisés est de plus en plus faible.

Avec un SI hybride, intégrant des ser-vices Cloud et des composants héber-gés en propre, la coordination tech-

Évolution des métiers de la DSI dans un contexte Cloud


Renforcer les fonctions de management des services ........Le phénomène d’externalisation, croissant ces dernières années, a poussé au développement de compé-tences de pilotage des activités exter-nalisées, mais aussi à une réduction de la prise en charge en interne des activités opérationnelles de la DSI (production, développement...).

Cette transition du « faire » au « faire faire » est encore plus marquée dans un contexte Cloud, où le niveau de standardisation requis va imposer à la DSI d’industrialiser encore plus ses activités.

Les démarches de définition et de mise en place de services et de lignes de services ont conduit à l’appari-tion de fonctions de type « Service Manager » ou « Service Delivery Manager », dont le rôle est de coor-donner la production du service et sa bonne fourniture au client.

Ces rôles doivent fortement se ren-forcer sur le pilotage des volumes consommés afin d’accompagner avec proactivité les clients dans la gestion de leur demande.

De cette manière, les service mana-gers peuvent être responsabilisés sur l’équilibre économique de leur ser-vice et plus seulement sur les enga-gements de qualité de service et de performance opérationnelle.

Anticiper dès aujourd’hui les impacts RH du CloudIl est crucial de bien accompagner la transition des compétences asso-ciées aux externalisations croissantes induites par le Cloud.

Une méthode classique consiste à mettre en place une démarche de Gestion Prévisionnelle des Emplois et Compétences (GPEC)*, aussi connue sous le nom de Talent Management.

Pour analyser l’impact RH lié au Cloud, les DSI doivent justement se doter d’une véritable cartographie de ces emplois et compétences. Les déformations RH provoquées à court terme par les décisions connues en matière de Cloud peuvent ainsi être évaluées et faire l’objet de plans d’ac-tions de redéploiements optimaux.

Par ailleurs, une identification des impacts potentiels à moyen / long terme doit être réalisée. Elle permet d’évaluer les plans d’actions RH et management à dérouler en matière de mobilité, formation, gestion de carrière et objectifs...

Leviers d’action pour garantir l’employabilité des collaborateurs

Favoriser l’évolution horizontale

autant que verticale

Valoriser la voie de l’expertise ou

les nouveaux rôles clés autant

que celle du management

Définir des objectifs permettant

de faire progresser rapidement

les collaborateurs sur les savoir-

faire nécessaires à l’adaptation

Recrutement par profil et poten-

tiel d’évolution et non sur poste.

Un candidat doit être choisi pour

son adaptabilité et sa capacité à

évoluer dans différents postes.

Développer une politique de mobilité

pour servir la gestion des carrières.

En profiter pour initier des passerelles

avec les entités métiers.

Développer les soft skills transverses gages

d’adaptation des collaborateurs aux nouveaux

environnements

* Cf. le Focus « Et si les DSI tiraient enfin partie de leur capital RH ? », www.solucom.fr, rubrique Insights / publications 2

5 leviers pour garantir l’agilité des collaborateurs et de la DSI

Recrutement

Mobilité

Formation

Évaluation

Gestion descarrières

Employabilité

du collaborateur

Repenser l’évolution enfavorisant l’évolution

horizontale autant queverticale. Séparer la voie

de l’expertise de celle dumanagement.

Définir des objectifspermettant de faire

progresser rapidement lescollaborateurs sur les

savoir-faire nécessairesà l’adaptation

Développer une politique demobilité pour servir la gestiondes carrières. En profiter pourinitier les passerelles avecles entités métiers

Recrutement par profil etpotentiel d’évolution et nonsur poste. Un candidat doitêtre choisi pour sonadaptabilité et sa capacité àévoluer dans différents postes.

Développer les soft skills (qualités humaineset relationnelles) transverses gagesd’adaptation des collaborateurs aux

nouveaux environnements




Un incubateur au sein de la DSI pour fédérer les initiatives Cloud

L’avant-poste d’une transformation réussie vers le Cloud................Anticiper et fédérer l’ensemble des initiatives Cloud est un enjeu clé pour la DSI. Elle risque sans cela de se retrouver en situation de devoir opérer ou intégrer en urgence de nouveaux services qui ne s’inscriraient pas dans une stratégie d’évolution globale du SI.

Pour répondre à cet enjeu, nous préconisons la mise en place rapide et temporaire d’une petite équipe au sein de la DSI pour constituer un « incubateur Cloud ». Cette structure transverse a pour vocation d’accompagner les initiatives Cloud de l’entreprise pendant 2 à 3 ans, le temps que les services Cloud trouvent leur place dans une stratégie et des modes de fonctionnement plus long terme.

Par ce biais, la DSI sera en mesure de piloter la trajectoire et le rythme de la transformation induite par le Cloud. Elle pourra aussi promouvoir l’usage des services Cloud qui permettront de combiner au mieux innovation, maîtrise financière et maîtrise technique du SI.

L’incubateur constituera par ailleurs un observatoire privilégié des compétences et savoir-faire que la DSI devra développer afin d’évoluer vers un rôle de Cloud broker capable de choisir et d’intégrer les services Cloud les plus adaptés aux besoins de l’entreprise.

Des missions au service d’une adoption progressive du CloudL’une des priorités de l’incubateur est de se faire connaître, de promouvoir son action afin de capter au plus tôt les initiatives Cloud qui pourraient émerger.

Ceci fait, son leitmotiv doit être de favoriser les initiatives autour du Cloud en facilitant le déploiement et l’intégration de ces nouveaux services dans le SI.

Pour cela, il doit jouer un rôle de conseil et de contrôle dans le cadre des projets, pour anticiper d’éventuels écueils techniques ou juridiques réels, mais aussi permettre de relativiser un certain nombre de risques ou de freins non justifiés.

Il diffuse également son expertise et ses retours d’expérience issus d’initiatives précédentes, pour sensibiliser les Métiers et les équipes de la DSI aux impacts du Cloud. Ceux-ci concernent aussi bien le SI (problématiques d’intégration et de réversibilité, décommissionnement de l’existant pour justifier le ROI de l’initiative…) que l’utilisation des services (limitations fonctionnelles liées à l’usage d’une solution standard, perte de maîtrise sur les processus d’évolution et de gestion des changements…).

Ensuite, en s’appuyant sur une veille marché active, il identifie les périmètres du SI éligibles au Cloud et promeut les nouveaux usages porteurs de valeur pour l’entreprise.

Enfin, il a vocation à préparer la transformation de la DSI et du SI pour passer à l’ère du Cloud. Il animera ainsi les réflexions autour des évolutions et de l’outillage nécessaires à la DSI pour maîtriser les impacts du Cloud sur les plans suivants :

•Compétences et organisation ;

•Modèle économique et pilotage des coûts ;

•Garantie de la qualité de service et de la sécurité ;

•Cohérence et homogénéité du SI.

La communication au cœur des missions de l’incubateur

« Anticiper et fédérer l’ensemble des initiatives

Cloud est un enjeu clé pour la DSI.Pour y ré-

pondre, nous préconisons la mise en place ra-

pide et temporaire d’une petite équipe au sein

de la DSI pour constituer un incubateur Cloud ».


Une équipe de 3 à 5 personnes aux compétences transversesSi son act ion est eff icace, l’incubateur favorisera un passage en douceur vers une gestion industrielle des services Cloud par les équipes de la DSI.

Une structure visible et agile...Pour pouvoir assumer pleinement son mandat, l’incubateur doit bénéficier d’un haut niveau de sponsorship et d’un rattachement transverse au sein de la DSI afin d’être légitime et connu des différents Métiers. Il est ainsi plus facilement identifié et dispose des moyens nécessaires pour accompagner toutes les initiatives.

Il doit également avoir la capacité de mobiliser les ressources de la DSI, sans pour autant s’inscrire totale-ment dans le cadre des processus classiques de la DSI. Ainsi, il sera en mesure d’accélérer et de favoriser les initiatives, en particulier lorsque le service Cloud concerné est en phase d’expérimentation ou de pilote.

C’est la seule façon pour l’incuba-teur de réussir à ancrer la DSI dans l’adoption du Cloud et la seule façon de démontrer la valeur ajoutée que la DSI peut apporter aux utilisateurs. À l’image d’une cellule « Innovation », c’est au travers de la réussite durable des initiatives qu’il aura accompa-gnées et du changement d’image de la DSI qu’il aura véhiculé que l’in-cubateur prouvera sa propre valeur et justifiera l’investissement qu’il représente.

…mobilisant de larges compé-tences regroupées sur quelques personnes..................................Afin de conserver l’agilité nécessaire, l’incubateur doit rester compact : 3 à 5 personnes suffisent. En revanche, le succès de l’incubateur repose avant tout sur la qualité du casting de ces personnes.

Pour mener à bien les missions de l’incubateur, les profils à cibler sont ceux alliant compétences IT larges et

parfaite connaissance de l’entreprise et disposant d’un leadership fort pour promouvoir de nouveaux usages et de nouvelles pratiques. De tels profils sont généralement des ressources critiques et libérer une partie de leur temps pour qu’ils se consacrent à l’incubateur est un réel investissement.

Cet investissement est un impératif pour la DSI. Même si l’appel à de la prestation externe est envisageable pour apporter compétences tech-niques et connaissance des offres Cloud, il n’est pas suffisant pour assurer la maîtrise de l’organisation et de l’existant de l’entreprise.

Si les bonnes ressources ne sont pas disponibles en nombre suffi-sant, alors il faut réduire la taille de l’incubateur : à choisir, mieux vaut privilégier le caractère compact de l’équipe à la couverture exhaustive des compétences nécessaires.

Quelles actions pour débuter ?La priorité doit être donnée à l’accompagnement des initiatives qui permettront d’obtenir des quick wins visibles par le Métier et aux actions de communication valorisant les apports du Cloud et de l’incubateur. C’est par ce biais que l’incubateur pourra réellement être l’avant-poste de la transformation induite par le Cloud.

Deux éléments nous semblent essentiels à produire immédiatement par l’incubateur : un kit de sensibilisation aux bénéfices et aux impacts du Cloud (paiement à l’usage, localisation des données, évolution des relations DSI / Métiers...) et le catalogue des services Cloud déjà déployés ou à venir.

Une chose est sûre, l’objectif n’étant pas de pérenniser son existence dans l’organisation, l’incubateur doit avancer vite et donner la priorité à l’action et non à la réflexion !

«L’incubateur doit avancer vite et donner la

priorité à l’action et non à la réflexion ! »




Combiner approche tactique et vision straté-gique : les clés d’une bonne stratégie Cloud

Des choix tactiques court terme assez homogènes…Même si de grandes tendances se dégagent, le rythme et le périmètre d’adoption du Cloud sont propres à chaque entreprise : il n’y a pas de stratégie universelle Cloud.

Pour autant, il n’est pas surprenant aujourd’hui de voir bon nombre de DSI s’orienter vers les mêmes services Cloud, comme la mise à disposition de machines virtuelles ou de plate-formes web, ou encore la messagerie en mode SaaS (voir pages 4 & 5). En effet, les travaux déjà réalisés en matière de virtualisation des infras-tructures, d’externalisation des opé-rations IT et de standardisation des architectures web simplifient l’évolu-tion vers ce type de services.

Déployer de tels services relève plutôt d’une approche tactique, qui permet à la DSI d’obtenir des succès rapides et de démontrer sa capacité à offrir

des services de type Cloud, tout en commençant à se confronter à ses impacts et à la réalité des offres du marché.

…en attendant une stratégie Cloud plus spécifiqueCes services ne constituent toutefois qu’une première étape, la stratégie Cloud de chaque entreprise devant se bâtir sur une analyse plus fine du patrimoine SI de l’entreprise, appli-cation par application, comme l’il-lustre notre arbre de décision Cloud (voir schéma ci-dessous).

Cette analyse peut se faire dès à présent par le biais de l’incubateur Cloud qui, au fur et à mesure qu’il identifiera les périmètres éligibles, sera en mesure de bâtir un catalo-gue de services cible et une roadmap permettant de rythmer l’adoption des services Cloud.

Voici les grandes étapes de la démarche à suivre pour y parvenir :

•Identifier les applications et ser-vices IT éligibles au Cloud en évaluant la valeur apportée à l’en-treprise, le niveau de confidentia-lité des données manipulées et le niveau de spécificité du système ;

•Rechercher des services SaaS pour les applications ou services dont l’usage peut être standardisé et dont la criticité (business ou sécu-rité) n’est pas bloquante pour envi-sager une évolution vers le Cloud ;

•Envisager le passage au PaaS ou au IaaS lorsqu’aucun service SaaS n’existe sur le marché ;

•Renforcer le niveau de standardi-sation des socles logiciels et tech-niques des applications aujourd’hui trop spécifiques à l’entreprise pour pouvoir trouver leur équivalent dans le Cloud.

Le marché étant dans une dyna-mique d’évolution rapide et perpé-

8 questions pour définir sa cible Cloud

1

S’appuie-t-elle sur unsocle standardisé

(progiciel, socle logiciel,socle serveur) ?

L’application est-ellefortement intégrée

au SI ?

Les interfaces avec lesautres applications sont-

elles standardisées ?PaaS / IaaS

SI traditionnel

SI traditionnel

PaaS / IaaS privéLes données manipulées par

l’application sont-elles soumises à uncadre de confidentialité strict que lesfournisseurs ne peuvent respecter ?

L’application estelle spécifique à

l’entreprise ?



SaaS

PaaS / IaaS

Existe-t-il un serviceéquivalent en mode SaaS ?

Oui Oui

Non

NonNon

Oui

Non

Oui

Non

Oui

Non

Non

Non

Oui

Oui

Oui

Arbre de décision v3




tuelle, cette approche est à réitérer régulièrement et à enrichir d’une veille permanente sur les acteurs et les offres Cloud.

Au-delà de la maturité des offres du marché, des critères plus spéci-fiques à l’entreprise peuvent influer sur son rythme d’adoption du Cloud. Ainsi, un niveau élevé d’industriali-sation et d’externalisation facilitera et accélérera la transition vers des offres Cloud. De même, l’arrivée à échéance de contrats existants ou l’obsolescence de certaines solutions ou applications seront des opportu-nités d’évolution vers le Cloud, sans oublier bien sûr des ruptures plus

fortes dans la stratégie de l’entreprise (forte réduction des coûts, fusion ou désimbrication de pans entiers du SI...).

Autant de facteurs qui, bien pris en compte, permettront d’aboutir à une stratégie Cloud spécifique et efficace !

Une cible hybride à anticiperDe même qu’il n’existe pas de straté-gie Cloud unique applicable à toute entreprise, il est impossible d’identi-fier l’intégralité des services qui s’ap-puieront sur des offres Cloud à moyen terme, tant le marché est dynamique aujourd’hui. En revanche, une chose est sûre : le SI cible sera hybride et les services Cloud devront être par-faitement intégrés au SI traditionnel.

Alors préparez-vous ! En parallèle du déploiement des premiers ser-vices Cloud, plusieurs chantiers techniques et organisationnels trans-verses sont à lancer dès maintenant. Ces chantiers doivent permettre de maîtriser la prolifération des ser-vices Cloud et de faire face à un SI de plus en plus éclaté, tant géogra-phiquement qu’en termes de res-ponsabilité. Il s’agit en premier lieu de définir un cadre d’adoption des services Cloud (règles d’éligibilité, politique de sécurité, clauses juri-diques et contractuelles) et de bâtir un socle d’intégration et de pilotage

de ces services (architecture d’in-terconnexion, portail(s) self-service, Cloud Management Platform…). Ces évolutions majoritairement techno-logiques doivent s’accompagner d’une redéfinition des modalités de pilotage économique des services IT et de la définition d’un plan d’évo-lution des compétences, pour que la transition vers des services IT à l’usage s’opère en douceur au sein de l’entreprise, tant pour la DSI que pour les Directions Métiers.

Ainsi, la DSI se positionnera peu à peu comme un Cloud broker, propo-sant à ses utilisateurs (clients finaux, collaborateurs de l’entreprise ou équipes projet IT) des services acces-sibles au travers d’un ou plusieurs portails et offrant les moyens tech-niques (intégration, sécurité, pilo-tage) et humains (conseil, support, accompagnement au changement) nécessaires pour garantir l’usage de ces services dans de bonnes conditions.

Ces chantiers transverses doivent faire partie intégrante de la straté-gie Cloud, au risque de ne pouvoir garantir la cohérence du SI à moyen terme…

Cloud interne ou externalisé ? En cible, la DSI n’a pas vocation à se positionner comme opérateur de services informatiques communs, i.e. pour lesquels des fournisseurs spécialisés existent. La notion de Cloud interne n’a alors de sens qu’en trajectoire, pour tenir compte du contexte RH et des pratiques de sourcing existantes au sein de l’entreprise. Ainsi, ceux ayant déjà franchi le pas de l’externalisation pour infogérer leurs infrastructures évolueront presque naturellement vers le Cloud externalisé, seule cible possible à moyen terme pour obtenir les bénéfices promis par le Cloud.

Vers une DSI Cloud broker

1

Vers une DSI « broker de Clouds »

IncubationCohabitation avecle SI traditionnel

Intégrationsans couture

Promoteur /Fédérateur Intégrateur Broker

Palierd’adoptiondu Cloud

Rôle de la DSI

2014 2016+

De multiples chantiers à lancer pour se préparer à un futur hybride

Déploiement despremiers services

Cartographie desservices éligibles

2012+

Évolution des processus et des compétences (GPEC)

Veille marchépermanente

Déploiement continude nouveaux

services

Cadre d’adoption(éligibilité, sécurité…)

Socle d’intégration et de pilotagetechnique de multiples Clouds

Mise en place des modalités de pilotageéconomique de services à l’usage

Stratégied’adoption

Outillage &gouvernance




Conclusion

Le Cloud computing constitue un nouveau palier de maturité pour le domaine de l’informatique : le sur-mesure va laisser la place au prêt-à-porter, ce qui va se traduire par une banalisation des ressources IT et une automatisation accrue des chaînes de production.

La valeur ajoutée de la DSI ne sera plus de fournir et de maintenir des solutions pour répondre aux besoins des Métiers, mais bien de choisir et d’orchestrer des services IT externes pour ne garder en interne que les systèmes les plus spé-cifiques ou les plus critiques pour l’entreprise.

Ce rôle de Cloud broker consistera à trouver les solutions offrant le meilleur équilibre entre adéquation aux besoins et attractivité économique, en veillant à conserver l’agilité nécessaire pour changer de fournisseur si des offres plus performantes apparaissent sur le marché.

Si la maturité des offres doit encore progresser avant qu’un tel mode de fonctionnement ne soit atteignable, cette évolution dans la façon de consommer et de produire des systèmes informatiques implique également un changement de posture radical pour la DSI.

Des transformations profondes sont à opérer au sein de la DSI, notamment en matière de pilotage économique et de gestion des compétences. Parallèlement, des chantiers techniques sont à ouvrir pour anticiper les problématiques d’intégration et de sécurité associées à ce nouveau modèle de delivery des services IT. Pour mener à bien ces travaux, il sera nécessaire de définir la cible et la trajectoire d’adoption du Cloud pour votre entreprise.

Si ces transformations et ces réflexions ne doivent pas être achevées pour demain, elles sont suffisamment complexes pour être engagées sans attendre. Lao Tseu disait « Un voyage de 1000 km commence toujours par un pas ». Alors, pour réussir le virage vers le Cloud, engagez-vous dès maintenant sur le chemin d’un SI hybride et faites-le savoir en interne ! Ce sera un atout de plus pour renforcer l’image de la DSI et son rôle de partenaire efficace auprès des Métiers.

« Un voyage de 1000 km commence toujours par un pas » Lao Tseu


À propos de Solucom

Solucom est un cabinet indépendant de conseil en management et système d’information.

Ses clients sont dans le top 200 des grandes entrepr ises et administrations. Pour eux, le cabinet est capable de mobiliser et de conjuguer les compétences de plus de 1200 collaborateurs.

Sa mission ? Porter l’innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d’information un véritable actif au service de la stratégie de l’entreprise.

Solucom est coté sur NYSE Euronext et a obtenu la qualification entreprise innovante décernée par BPI.

Découvrez SolucomINSIGHT, le magazine en ligne de Solucom : www.solucominsight.fr

Imaginé sous forme de « club », et porté par deux directeurs associés du cabinet, l’Atelier Solucom est un rendez-vous

bimestriel auquel sont conviés sur invitation quelques clients. Certains sujets adressent les DSI, d’autres

les Directions métiers. L’objectif ? Identifier et réfléchir avec eux aux challenges de demain et s’y préparer.

Quelques mois après chaque Atelier, la Synthèse associée est mise en ligne sur notre site internet.

Quelques récents thèmes d’Ateliers :

•EtsilesDSItiraientenfinpartiedeleurcapitalhumain?

•L’entreprisefaceaurisquecybercriminalité:think global !

•OserlarupturedanslesrelationsDSI/MétierspouraccélérerlestransformationsduSI

•LeSmart - au-delà du buzzword, préparez la transformation !

• Bring Your Own Device, phénomène de mode ou mutation profonde des relations DSI / utilisateurs ?

•Lepilotageéconomique:1ère priorité du DSI !

Pour en savoir plus sur le programme, [email protected]

Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 892042 Paris La Défense Cedex

Tél. : 01 49 03 20 00 Fax. : 01 49 03 20 01www.solucom.fr

Cop

yrig

ht S

oluc

om -

ISB

N 9

78-2

-918872-1

7-7

EAN

9782918872177- R

espo

nsab

le d

e la

pub

licat

ion

: Lau

rent

Bel

lefin

DSI: préparez-vous à devenir cloud broker!

Technology

Transcript of DSI: préparez-vous à devenir cloud broker!