Avec des cyberattaques plus fréquentes mais aussi plus sophistiquées, l’enjeu de sécurité se retrouve au cœur de la stratégie cloud. La multitude des fournisseurs et d’offres cloud complexifient la quête du juste équilibre entre vitesse, sécurité et finance.
L’usage du cloud continue de s’accélérer d’année en année. Gartner confirme que d’ici 2025, plus de la moitié des dépenses IT se feront dans le cloud. Le nombre d’entreprises n’ayant pas encore franchi le pas ne cesse de réduire, les crises successives ayant clairement joué un rôle dans l’accélération de ce mouvement.
Les entreprises doivent adopter des stratégies leur permettant de fournir leurs services, livrer des logiciels, le plus rapidement possible et avec un maximum d’agilité, tout en garantissant une sécurité optimale et un contrôle les coûts.
Avec des cyberattaques plus fréquentes mais aussi plus sophistiquées, l’enjeu de sécurité se retrouve au cœur de la stratégie cloud. La multitude des fournisseurs et d’offres cloud complexifient la quête du juste équilibre entre vitesse, sécurité et finance.
Le cloud en 2022
D’après le 2022 State of DevOps Report, en 2022, seules 10% des entreprises n’utilisent pas le Cloud (-50% par rapport à 2021). Plus de 76% utilisent un ou plusieurs fournisseurs de cloud public (+36% par rapport à 2021), 33% ont déployé uniquement un cloud privé (+12% par rapport à 2021) et enfin plus de 42% des entreprises sont hybrides (+25% par rapport à 2021).
Pourquoi tant d’entreprises ont adopté plusieurs fournisseurs de cloud public ?
En tête des motivations à l’adoption de multiples fournisseurs à plus de 63% : la disponibilité. Elle assure une continuité d’activité, même en cas d’incident technique majeur d’un fournisseur. Vient ensuite à 52% la capacité à tirer profit de la spécificité de chaque fournisseur.
Enfin, à 44%, la confiance est répartie entre plusieurs acteur. Un critère qui se rapproche du premier, mais avec une nuance plus politique : la répartition des risques et des données sur plusieurs acteurs.
L’utilisation du cloud a résolument un impact positif sur la performance globale de l’organisation. Les entreprises qui utilisent le cloud étaient 14 % plus susceptibles de dépasser les objectifs de performance organisationnelle que leurs homologues ne l’utilisant pas.
Les cinq caractéristiques du cloud
Le National Institute of Standards and Technology (NIST) a déterminé les cinq caractéristiques du cloud qui servent de point de départ d’une longue chaîne qui mène à la performance organisationnelle.
> Le libre-service à la demande : le consommateur peut provisionner des ressources cloud, selon ses besoins, automatiquement et sans interventions humaines sur la partie fournisseur.
> Le large accès au réseau : les capacités sont largement disponibles et les utilisateurs peuvent y accéder via plusieurs canaux tels que les téléphones mobiles, les tablettes, les ordinateurs portables ou les postes de travail.
> La mise en commun des ressources : les ressources du fournisseur sont mises en commun dans un modèle multi-tenant, avec des ressources physiques et virtuelles affectées dynamiquement et réaffectées à la demande. Le client n’a généralement aucun contrôle direct sur l’emplacement exact des ressources fournies, mais peut spécifier un emplacement à un niveau d’abstraction plus élevé, tel qu’un pays, un état ou un centre de données.
> La flexibilité rapide : les capacités peuvent être provisionnées et libérées de manière élastique pour évoluer rapidement avec la demande. Les capacités disponibles pour l’approvisionnement semblent être illimitées et peuvent être appropriées en n’importe quelle quantité à tout moment.
> Le service mesuré : les systèmes cloud contrôlent et optimisent automatiquement l’utilisation des ressources en exploitant une capacité de mesure à un niveau d’abstraction approprié au type de service, tel que le stockage, le traitement, la bande passante et les comptes d’utilisateurs actifs. L’utilisation des ressources peut être surveillée, contrôlée et signalée pour plus de transparence.
Les métriques de livraison et de performance opérationnelle
On peut imaginer 5 grandes métriques à appliquer au DevOps :
> Le délai du changement : c’est-à-dire le temps entre la modification du code et sa mise en production. Quel est votre délai pour les modifications ? Autrement dit : combien de temps faut-il pour passer du code validé au code exécuté avec succès en production ?
> La fréquence de déploiement : à quelle fréquence votre organisation déploie-t-elle du code en production ou le livre-t-il aux utilisateurs finaux ?
> Le temps pour restaurer un service : après un incident par exemple. Combien de temps faut-il généralement pour rétablir le service lorsqu’un incident de service ou un défaut affectant les utilisateurs se produit (par exemple, une panne imprévue ou une défaillance du service) ?
> Le taux d’échec du changement : quel pourcentage de modifications apportées à la production ou diffusées aux utilisateurs entraînent une dégradation du service (voire une interruption du service) et nécessitent ensuite une correction (que ce soit un correctif, une restauration, un patch…) ?
> La fiabilité : c’est-à-dire dans quelle mesure vos services répondent aux attentes des utilisateurs, telles que la disponibilité et les performances.
Il n’y a pas de bonne ou mauvaise réponse à chacune de ces questions, mais une réponse acceptable pour les équipes ou les utilisateurs. Une bonne pratique serait de déterminer ces métriques par application ou par criticité de service et de créer des clusters avec des outils dédiés et adaptés au pilotage de chaque objectif.
Devops 2.0 ? Ou DevSecOps ?
Face à ces accélérations et nouveaux enjeux, les équipes DevOps cherchent maintenant à mettre en place des outils offrant la capacité de gérer les 2 grandes phases du développement :
> La boucle intérieure : il s’agit des tâches liées au développeur (coder, tester, construire).
> La boucle extérieure : elle concerne les activités d’intégration, de déploiement et de mise en production.
Cette première phase correspond aux outils et moyens utilisés par le développeur. Les risques y sont limités, car, à ce stade, les actions n’affectent que l’environnement du développeur (sous-entendu que les jeux de tests soient anonymisés pour garantir une complète sécurité et que les postes des développeurs soient correctement identifiés et protégés).
Le premier enjeu réside en réalité au moment du transfert d’une « modification du code » vers la boucle extérieure : le développeur va intégrer du nouveau code dans l’espace commun. Ce qui aura pour résultat de lancer toute la chaine d’intégration, de tests et de déploiement. Cela aura un impact sécurité, financier ou de disponibilité, jusqu’au consommateur final.
Les équipes qui combinent le contrôle de version et la livraison continue sont 2,5 fois plus susceptibles d’accroître leurs performances de livraison de logiciels que les équipes qui ne se concentrent que sur un seul. (source : 2022 State of DevOps Report – Google)
Après une phase de découverte, puis d’hyper croissance, nous arrivons à une phase où les risques sont accrus et peuvent devenir explosifs (fuite de données, incidents techniques majeurs…).
Plus que jamais, ce qui fait l’essence du cloud doit être mesuré pour être maitrisé et assurer ses performances. L’ensemble des acteurs du Cloud peuvent s’assurer du respect des politiques de sécurité, financière et de la bonne gouvernance du cloud à travers la mise en place et l’analyse des bons indicateurs,
