Coûts et bénéfices du Cloud

Le coût, l’agilité et la facilité d’approvisionnement sont les principales causes du développement du cloud computing (aussi appelé “informatique dématérialisée” en terminologie française).

Le coût, l’agilité et la facilité d’approvisionnement sont les principales causes du développement du cloud computing (aussi appelé “informatique dématérialisée” en terminologie française). Solution alléchante si elle n’était pas accompagnée d’un ensemble de risques que le commanditaire (ou l’utilisateur final) devra gérer de manière encore plus méticuleuse que dans le passé.

Dans un environnement traditionnel, les entreprises opéraient leurs infrastructures propres. Le responsable de la sécurité contrôlait en connaissance de cause l’architecture, leurs risques et leurs vulnérabilités. Il connaissait, de manière adéquate ou suffisante, les technologies employées, les personnes impliquées, les processus de gestion, ainsi que la stratégie et le modèle opératoire de l’organisation.

Avec l’utilisation du cloud computing, plusieurs notions entrant en jeu restent relativement méconnues. Opter pour ces nouvelles technologies, et bénéficier de leurs multiples avantages, ne pourront hélas pas se faire à la légère. Il faudra dorénavant inventorier ses exigences en sécurité de l’information et contrôler la capacité de ses fournisseurs à atteindre les niveaux de sécurité exigés. La gouvernance de la sécurité de l’information, l’établissement d’objectifs de continuité, de confidentialité et d’intégrité, le contrôle du fournisseur externe, la certification des environnements techniques et fonctionnels, la mise en place de mesures de performance, d’objectifs de coûts, d’utilisation et d’incidents deviennent des pratiques courantes ne pouvant plus être négligées et ces activités ne peuvent plus subir des budgets aléatoires, incertains ou inadéquats.

Les entreprises doivent atteindre des objectifs stratégiques de sécurité, tels la protection des données privées des clients et des données stratégiques ou concurrentielles, la continuité des opérations et des systèmes, la fiabilité des traitements et de l’information véhiculée, le non-transfert des données à d’autres pays ou à des environnements incertains, le respect des règlementations légales ou spécifiques au secteur d’activité ainsi que les besoins d’audit et de certification des opérations.

Auparavant, les activités des directeurs informatiques, des gestionnaires des risques opérationnels et des directeurs de la sécurité de l’information étaient peu visibles aux responsables généraux. Aujourd’hui, ces acteurs deviennent indispensables à cause de l’avènement du cloud computing. Les entreprises ne peuvent plus accepter de confier aveuglement leurs ressources critiques et sensibles à des tiers.

Plusieurs formes de nuages sont disponibles et apportent chacune ses méthodes de gestion et de déploiement spécifiques. La mise à disposition des capacités tels ceux de traitement, de stockage ou de communications en réseaux s’appelle “Infrastructure as a service” ou IAAS. Avec le PAAS, ou “Platform as a service”, le fournisseur offre aussi des langages de programmation et des outils de gestion permettant à l’utilisateur de déployer ses propres applications, développées en interne ou acquises. Dans le cas du “Software as a service” ou SAAS, le client accède à des applications fonctionnant à partir d’un environnement en cloud à travers de simple interfaces utilisateurs et des clients légers.

Au-delà des formules mises à disposition par des fournisseurs de plus en plus nombreux et de l’assurance de sécurité y associés, il devient important de contrôler les coûts. Il faut s’assurer que l’accroissement des coûts et des risques nouveaux s’accompagne bel et bien des bénéfices attendus. Plusieurs voix se sont récemment levées contre les croyances établies: non, le cloud computing n’est pas aussi bon marché qu’on le pense, proclame McKinsey dans un récent rapport publié en avril dernier. Il annonce qu’Amazon est 144 pourcent plus cher, par coût de serveur qu’une solution interne classique. Il propose de se concentrer sur la virtualisation des ressources en interne et annonce que les entreprises peuvent être aussi efficientes que les fournisseurs de solution en nuages.

Sans vouloir comparer l’incomparable, je pense que le coût marginal d’un serveur en interne n’est pas similaire à celui d’un serveur disponible à la demande et fourni avec un ensemble de services intégrés. Si Google augmente de 40% son taux d’utilisation des serveurs, c’est grâce à une consolidation des serveurs et de bonnes méthodes de gestion. Les expériences des uns et des autres sont trop récentes pour pouvoir tirer de conclusions tangibles, qui prendront en considération l’amortissement du capital employé, les aspects fiscaux, les économies d’échelle et l’impact des bonnes méthodes de gestion de la sécurité, de l’architecture et de la gestion des services.

Georges Ataya est professeur à Solvay Brussels School of Economics and Management où il dirige l’IT management Education. Il est aussi partenaire gérant du cabinet de conseil en gouvernance informatique, ICT Control NV SA. Georges a agit en tant que vice-président mondial de l’association professionnelle et de recherche ISACA (email : DN@ataya.net)