Au Cigref, les « grandes questions » de la stratégie de migration d'un SI dans le cloud

Au Cigref, les « grandes questions » de la stratégie de migration d’un SI dans le cloud

42 !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

03/12/2021 9 minutes
7

Au Cigref, les « grandes questions » de la stratégie de migration d'un SI dans le cloud

Adapter son système d’information (SI) aux services cloud est une « aventure stratégique pour l’entreprise » selon le Cigref qui apporte sa pierre à l’édifice en synthétisant les retours d’expériences de plusieurs sociétés avec un guide sous la forme de questions/réponses et quelques pièges à éviter.

Le Cigref (Club Informatique des Grandes Entreprises Françaises) est une association de loi 1901 créée en 1970. Elle se présente comme « représentative des plus grandes entreprises et administrations publiques françaises, exclusivement utilisatrices de solutions et services numériques ».

Le cloud « commande tous les autres » domaines

Elle vient de publier un rapport résumant les travaux de son groupe de travail sur le thème « Stratégies de migration dans le Cloud ». Il s’adresse donc principalement aux DSI, mais pourra également intéresser « toute personne souhaitant connaître l’état des lieux global de cette problématique dans les grands groupes français ».

Selon le Club, « le cloud n’est plus un simple sous-domaine parmi d’autres du secteur numérique. Il est désormais celui qui commande tous les autres et va devenir le socle incontournable pour les systèmes d’information des entreprises et des administrations publiques ».

Les enjeux sont évidemment différents pour chacun : il y a de « nombreuses lignes de départ et d’arrivée », pour résumer. Afin d’y voir un peu plus clair, un groupe de travail du Cigref « propose de revoir les grandes questions que se posent actuellement les organisations membres du Cigref sur la migration du SI existant vers le cloud ».

Pourquoi passer au cloud ? Business is business…

« Nous avons cherché à comprendre les enjeux et risques que présente le chemin à parcourir entre la situation actuelle - avec des infrastructures on-premise - et la situation souhaitée par l’entreprise dans le cloud ». Aussi bien les plateformes de développement que le parc applicatif sont concernés par ces changements.

Néanmoins, le Cigref a décidé de plus ou moins laisser de côté plusieurs problématiques, notamment « les enjeux autour des données, de l’outil industriel, et peu ceux engendrés par le SaaS [Software as a Service, ndlr]. En effet, le choix du SaaS est d’abord piloté par les directions métiers ».

Tout d’abord, pourquoi passer au Cloud ? Selon le Club, les avantages sont multiples : « rapidité de l’innovation, cybersécurité, globalisation, obsolescence technique, passage à l’échelle, exigence environnementale ». Mais pour la plupart des entreprises interrogées, cette mutation est « d’abord envisagée pour des enjeux business ».

Plusieurs freins et obstacles sont aussi mis en avant comme « la compréhension des dirigeants des enjeux du cloud ; exigences réglementaires (OIV) ; exposition aux lois extraterritoriales lors du choix d’un fournisseur international ; confidentialité des données de l’entreprise ; […] Cloudification des systèmes critiques (ex : SI industriel)… ».

Une fois la décision prise, les entreprises peuvent faire face à « une réelle difficulté à estimer, évaluer et assurer le suivi financier du programme de transformation vers le cloud puis ensuite, le suivi de la consommation des services cloud ». En effet, le modèle financier est « radicalement différent de l’investissement traditionnel du datacenter ».

Un retour en arrière serait possible, mais jugé « très complexe » à mettre en place. 

Multicloud et cloud hybride au programme

Dans l’ensemble, les sociétés et organisations membres du Cigref « abordent la migration en utilisant plusieurs ressources de cloud, interne et externe, privé et public (appelé cloud hybride) et en utilisant plusieurs fournisseurs de cloud public, de façon coordonnée, selon les besoins et usages (dit multicloud) ».

Une approche qui permet de limiter les risques en cas de défaillance d’un des prestataires.

Cigref Cloud

Chaque entreprise décide évidemment de ses choix en fonction de ses besoins et de ses services existants. Il faut distinguer les nouvelles applications qui seront « cloud natives », celles qui existent déjà dans le cloud mais qui nécessitent des adaptations, celles qui resteront on-premise (c’est-à-dire sur site) et enfin celles à supprimer.

Le Club rappelle un point important, à ne pas sous-estimer : « Il y a un écart très important entre les promesses de la "facilité d’exécution" et la réalité ». Il recommande donc aux sociétés ne disposant pas d’un SI « cloud ready » de ne pas se lancer dans une migration seulement pour des raisons économiques.

Elle donne l'exemple d'un « système d’encaissement des supermarchés, un système distribué installé en magasin, presque en mode edge computing avant l’heure, qui va perdurer pour un certain nombre d’années encore ».

Les données représentent un enjeu important et peuvent devenir un frein. Si celles considérées comme sensibles et critiques sont peu nombreuses, « l’entreprise peut alors choisir de migrer dans le cloud beaucoup de ses actifs informatiques et ne pas transférer le restant de données sensibles ». Dans le cas contraire, elle « aura alors moins tendance à vouloir migrer dans le cloud ».

Le Cigref met en avant le « cloud de confiance » et des initiatives européennes comme Gaia-X, ce qui n'exclut pas de se préoccuper des questions de souveraineté. Dans le premier cas il s’agit parfois de commercialiser des solutions étrangères (généralement américaines) sous licence, tandis que dans le second cas de nombreux acteurs hors d'Europe se joignent à l’aventure, poussant Scaleway (un des 22 membres fondateurs) à quitter le navire. 

Cloud privé vs cloud public

Le rapport explique que « plusieurs arguments penchent pour une diminution du besoin d’un cloud privé interne, donc géré par l’entreprise, qu’il soit hébergé dans ses datacenters ou ceux d’un prestataire ».

Ils sont autant d’atouts en faveur du cloud public :

  • « La rapide évolution technologique proposée par le cloud public exige d’utiliser des solutions les plus standard possibles et d’être en capacité de tenir le rythme de toutes les feuilles de route techniques […]
  • La pénurie actuelle de compétences pointues va se renforcer et la rétention des équipes devient très difficile du fait des exigences salariales mais aussi des défis stimulants.
  • L’obsolescence de l’infrastructure impose des investissements considérables pour rester au niveau de disponibilité attendu.
  • Les enjeux de sécurité numérique et physique à garantir sont grandissants face à l’évolution permanente des menaces.
  • Les exigences environnementales pourraient devenir très contraignantes sur tous les équipements. »

Autre avantage de la migration vers le cloud : faire le ménage

Le Cigref indique que durant les discussions sur la migration du SI, des « similarités avec un déménagement d’un logement à l’autre sont apparues ». Dans les deux cas, on fait généralement un inventaire des choses à garder, de celles qui sont trop vieilles et qu’il faut remplacer, ainsi que de celles à jeter.

« Cependant, il y a une importante différence entre un déménagement et une migration : la migration ne se fait généralement pas d’un point A à un point B, il y a de multiples points A et, selon la stratégie adoptée, aussi de points B (cloud hybride et multicloud) […] C’est un peu comme si on ne quittait jamais vraiment ses précédents logements, et qu’il faut en permanence aller chercher les informations et données dans les multiples localisations ».

Cette multiplicité des localisations implique généralement de mettre en place des liaisons Internet (certainement en haut débit) entre les différents points. « C’est ainsi qu’elles sont de plus en plus nombreuses à opter pour le réseau SD-Wan [Software-Defined Wide Area Network, ndlr], qui permet de créer et de gérer son réseau étendu de manière logicielle, en remplacement du MPLS [MultiProtocol Label Switching, NDLR] ».

Cigref Cloud

Trois points à surveiller : finance, réorganisation et employés

Durant les discussions, un des « plus importants challenges rencontrés par les entreprises concerne les justificatifs financiers de la migration dans le cloud puis le suivi de la consommation », explique le Club.

Avant la migration il faut valider « un retour sur investissement (ROI) un minimum intéressant » pour obtenir le feu vert des responsables. Puis, vérifier la réalisation des objectifs financiers et maîtriser la consommation des services cloud. Bien évidemment, une migration dans le cloud nécessite le plus souvent une réorganisation de la DSI (direction des systèmes d'information), avec une transformation des métiers et l’apparition de nouveaux profils :

« C’est un changement de paradigme qu’il faut intégrer : le passage d’une gestion des stocks (datacenter) à une gestion des flux dans le cloud. Cela rend possibles le pilotage des activités en temps réel et l’automatisation des tâches répétitives. »

Il faut se « questionner collectivement et de façon proactive »

En guise de conclusion, le Cigref constate que « la plupart des entreprises sont encore au début de leur utilisation du cloud […] Si les DSI ne choisissent pas de s’y intéresser, il y a de fortes chances pour que les directions métiers poussent ce choix. C’est pourquoi le Cigref recommande de se questionner collectivement et de façon proactive sur le sujet et sa mise en œuvre ».

Dernière recommandation et pas des moindres sur les technologies à utiliser : « pour faire face aux risques d’enfermement, il est possible de recourir à l’utilisation de l’open source pour garder la maitrise de ses applications et de sa dépendance vis-à-vis des fournisseurs ». Rappelons que des solutions dont le code est ouvert peuvent être source d'enfermement par différents aspects de mise en pratique, cela ne suffira donc pas toujours.

Si ce rapport permet d’apporter des éléments de réponse sur certaines questions, il reconnait qu’il « en reste encore beaucoup. La poursuite du groupe de travail permettra d’approfondir certains sujets ». Dans les dernières pages, on peut lire des retours d’expériences de plusieurs sociétés, notamment Air Liquide, Sodexo et Système U.

7

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le cloud « commande tous les autres » domaines

Pourquoi passer au cloud ? Business is business…

Multicloud et cloud hybride au programme

Cloud privé vs cloud public

Autre avantage de la migration vers le cloud : faire le ménage

Trois points à surveiller : finance, réorganisation et employés

Il faut se « questionner collectivement et de façon proactive »

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (7)


avantages sont multiples : « rapidité de l’innovation, cybersécurité (?), globalisation,



Quand une entreprise se prends un rançongiciel, quand le fournisseur de cloud en est informé pour se protéger lui-même et les autres clients. Il coupe tout simplement l’accès à ses services cloud à l’entreprise concernée.


Quel Cloud Provider a cette pratique ? Je suis très curieux de ça.



Myifee a dit:


Quel Cloud Provider a cette pratique ? Je suis très curieux de ça.




Le fournisseur n’est pas cité, mais un bel exemple dans cet article :
https://www.lemagit.fr/etude/Recit-comment-Manutan-sest-sorti-de-la-cyberattaque-du-21-fevrier


Un presta cloud pour qui coupe les accès cloud d’un de ces clients infecté par un ransomware pour éviter qu’il se propage à lui et ses autres client, autant je loue l’idée de réagir vite et de protéger au maximum, autant ça me donne de très sérieux doutes sur sa fiabilité et sur l’isolations qu’il met en place entre ses clients.



Après je pense que c’est un cas un peu déformée de ce qui est une procédure normale lorsque les clé d’accès à un provider cloud son compromise qui est d’invalider ces clé d’accès, coupant net “l’accès” au services le temps que de nouvelles clés soit générées et déployées.



Cas très fréquent où quand des clé de service account d’un gros provider type GCP sont compromise, tu peut être sûr que dans les 5 minutes qui suivent tu à 400 VM entrain de miner de la crypto.


Yes j’ai vu cet article qui est plus une charge ouverte qu’autre chose du CISO essayant de défendre son bilan et de sauver son cul.



Comme l’a dit mon vdd, si un cloud provider prend ce genre de mesures pour se protéger, clairement, c’est un danger pour l’entreprise de rester chez lui. Si leur protection se base sur le fait de ne pas avoir d’attaque connue sur leur infra, je n’ose pas imaginer les catastrophes le jour où une attaque arrivera à s’évader d’un conteneur client.



xillibit a dit:


avantages sont multiples : « rapidité de l’innovation, cybersécurité (?), globalisation,



Quand une entreprise se prends un rançongiciel, quand le fournisseur de cloud en est informé pour se protéger lui-même et les autres clients. Il coupe tout simplement l’accès à ses services cloud à l’entreprise concernée.




Je pense qu’il faut comprendre ça dans le sens où l’utilisation de services de cybersécurité en mode cloud computing peut être un moyen pour les organisations de palier au manque ou à la difficulté d’avoir des compétences en interne.


On peux aussi voir les choses différemment : Couper les accès au plus tôt ca veux aussi dire préserver les données existantes en l’état, ce qui facilite le redémarrage une fois le ménage sur les postes locaux de l’entreprise visée.