Avis d’expert : évitez les risques lors de votre transition vers le cloud

Cet avis d’expert, proposé par Vincent Berny, directeur des offres infrastructure services chez Gfi Informatique, explique comment gérer le risque lors de la transition dans le cloud.

Le cloud computing a continué à prendre de l’ampleur tout au long de l’année 2011 et les enjeux ne vont pas se démentir en 2012. On peut cependant comprendre la réticence de certaines entreprises à déporter hors de leurs propres centres de traitements leurs données, sensibles ou non. Les risques perçus sont largement évoqués sur les forums du web : intrusions malveillantes, virus, failles logicielles, défaillances matérielles, pertes de données…

Cependant ces menaces, bien que réelles, sont largement prises en charge par les politiques de sécurité des opérateurs cloud. Lors des négociations contractuelles, le client potentiel peut obtenir une description de la politique de sécurité appliquée. Il peut parfois négocier une politique spécifique et renforcée, et même auditer régulièrement son exécution. Mais au-delà du choix du « meilleur » prestataire, inhérent à tout projet informatique, les risques liés à la transition dans le cloud sont à chercher ailleurs. On les retrouve en particulier en amont, pendant et après la bascule du SI vers la plateforme cloud.

Transformer l’architecture de son SI

Pour les contrats de type IaaS et PaaS, en préambule de tout projet de migration dans le nuage, il faut garder à l’esprit que l’architecture informatique du prestataire peut ne pas correspondre (et ne correspond généralement pas) à l’architecture initiale de son SI.

Une phase préparatoire nécessaire pour réussir sa migration va donc consister à transformer l’architecture de son SI pour qu’elle puisse fonctionner correctement dans le cloud. En effet peu de SI sont adaptés de façon initiale et dans cette perspective, la virtualisation et la standardisation des composants du SI sont des facteurs clés.

Les architectures proposées par les opérateurs sont basées sur la virtualisation et un catalogue limité de composants disponibles. Ces derniers permettent au client de constituer chacun des éléments de la plateforme cible (systèmes d’exploitation, middleware, base de données…). Ils sont souvent proposés pour un nombre restreint de versions courantes et supportées par les éditeurs partenaires.

Or, l’actualisation des composants des SI n’est fréquemment pas une tâche prioritaire au sein des entreprises. Bien souvent, une grande partie des applications en production intègrent des composants spécifiques qui ne sont pas maintenus dans les dernières versions des éditeurs. Il n’est pas rare même que des SI reposent sur des composants dont les versions ne sont plus supportées.

Passer au cloud, c’est se contraindre avant la bascule, à migrer ses applications vers la virtualisation, intégrer des composants standards et à jour, puis à gérer rigoureusement l’actualisation des composants intégrés dans le SI. Il faut apprendre à gérer ses configurations dans le temps : l’architecture du SI va devoir évoluer au rythme des mises à jour du provider.

Lorsque l’on souscrit à une offre SaaS, il faut savoir que c’est souvent le prestataire opérateur qui va décider de la date de mise à jour d’une nouvelle version, comme cela doit être précisé dans le contrat. Cette mise à jour sera alors disponible simultanément pour tous ses clients. Cet aspect doit être anticipé par l’entreprise : la gestion des changements et de la synchronisation, de la formation des utilisateurs… sont des aspects très importants et gérés différemment de ce qui est fait dans une DSI interne.