L’ÂGE DE RAISON
L’adoption des hébergements et des services accessibles en ligne a fortement augmenté. Paradoxalement, les entreprises prennent aussi conscience des contraintes et risques d’une migration mal contrôlée vers le cloud. Par Philippe Richard.
En une décennie, le cloud a profondément modifié l'architecture réseau des organisations. Très peu d'entreprises n'utilisent aucun service en ligne, ne serait-ce que le stockage et la messagerie en ligne. Aujourd'hui, les entreprises s'appuient sur le cloud pour faciliter les échanges entre leurs services, simplifier la gestion de leurs licences, disposer d'importantes puissances de calcul ou profiter de capacités de stockage plus flexibles. Selon une récente étude du cabinet d'analystes Canalys, les organisations du monde entier ont dépensé un montant record de 107 milliards de dollars pour les services d'infrastructure informatique dans le cloud en 2019, soit une hausse de 37 % par rapport à l'année précédente.
DES COÛTS INUTILES ?
Canalys prévoit que les entreprises chercheront à tirer parti d'un accès illimité à des services plus avancés, tels que l'Intelligence artificielle (IA) pour l'analyse des données, l'automatisation de certaines tâches chronophages et l'infrastructure en tant que service ou IaaS ("Infrastructure-as-a-Service"). Être propriétaire de toute son infrastructure informatique ou louer de l'espace serveur fixe dans un datacenter ne correspond plus au monde actuel. Des serveurs ou des centres de calcul peuvent être utilisés comme un service, au même titre qu'un logiciel. Le IaaS est une offre standardisée et hautement automatisée. Les ressources informatiques, complétées par des capacités de stockage et de mise en réseau, sont détenues et hébergées par un fournisseur et proposées sous forme de forfaits. Pour les entreprises, cela permet de disposer d'une plus grande évolutivité, d'un large choix d'options technologiques et d'un niveau de sécurité plus élevé que celui auquel elles peuvent prétendre. Une réduction des coûts est également évoquée comme l'un des atouts du IaaS. Mais comme toute migration dans le cloud, il est indispensable de s'appuyer sur un tableau de bord précis et actualisé en temps réel pour mesurer réellement le ROI.
Car c'est le paradoxe du cloud. Séduites par le discours marketing des providers de cloud mettant en avant la réduction des coûts et une gestion plus flexible, les entreprises ont migré une partie de
leurs ressources informatiques. En maîtrisant un peu mieux les enjeux et les rouages du cloud, elles s'aperçoivent finalement qu'elles ne disposent pas d'une visibilité précise de leurs dépenses. Le réveil est douloureux! En multipliant les services et les fournisseurs de cloud, les entreprises ne mettent pas tous leurs oeufs dans le même panier. C'est une sage décision. Revers de la médaille : comment savoir précisément quels services facturés sont réellement utilisés ?
Très peu d'entreprises maîtrisent leur budget cloud. C'est pourtant primordial. Elles doivent notamment veiller à ce que le coût des ressources fluctuantes n'explose pas d'un mois à l'autre. Elles doivent dévaluer continuellement les usages afin de les adapter si le volume ou les utilisations viennent à varier. Deux casse-têtes pour les DSI et la direction. Pour s'en sortir, des organisations commencent à faire appel à un “FinOps” ou financier des opérations. Les résultats d'une mise en oeuvre réussie d'une politique FinOps peuvent être mesurés : réduction des coûts, meilleur contrôle des coûts et meilleure utilisation des ressources de cloud en adéquation avec une veille économique pertinente. La perception du cloud est également ambivalente. D'un côté, les entreprises l'utilisent pour accélérer leur transformation numérique. 89 % des entreprises ont migré des applications et la moitié (55 %) stockent une partie de leurs données dans des clouds publics. Mais d'un autre côté, le cloud inquiète toujours. C'est ce que constate le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) dans son dernier baromètre publié en février. Menée auprès des membres de cette association (Responsables Sécurité des Systèmes d'Information des grands groupes français), cette enquête confirme que le recours massif au cloud est noté parmi les risques les plus élevés. En tête la non-maîtrise de la chaîne de sous-traitance de l'hébergeur (50 %), la difficulté de mener des audits (46 %), et la nonmaîtrise de l'utilisation du cloud par les salariés (46 %). Et la situation a de quoi inquiéter. Selon “Global Advanced Threat Landscape Report 2019: Focus on Cloud” de CyberArk, la moitié (48 %) des Français interrogés migrent des applications critiques (par exemple, ERP, CRM ou gestion financière) vers le cloud public ! Imaginons une personne malveillante accéder au compte d'un collaborateur. Ce n'est pas utopique, car les entreprises sont encore trop rares à avoir mis en place une réelle politique de gestion des accès avec des mots de passe “forts” et un contrôle précis et actualisé des utilisateurs.
En usurpant l'identité de ce collaborateur, cette personne malveillante peut ensuite récupérer des données sensibles ou les crypter avec un virus et exiger ensuite une rançon. La facilité avec laquelle on peut accéder à des données dans le cloud confirme l'erreur d'interprétation des entreprises. En souscrivant à un abonnement pour un service dans le cloud, les entreprises ne délèguent PAS la confidentialité et la sécurité de leurs données. Avec le cloud, il y a toujours un partage des responsabilités : d'un côté, le fournisseur gère la sécurité de son infrastructure, d'un autre côté, l'entreprise doit mettre en place toutes les mesures nécessaires pour assurer la protection de ses données.
Le cloud apparaît comme un accélérateur de croissance. Encore faut-il le maîtriser pour éviter les sorties de route… ■