Aller vers le cloud apporte de nombreux bénéfices mais cela n’exclut pas de se préoccuper de certaines questions comme la continuité de fonctionnement et la sécurité. Ce que ne font pas toujours les DSI et les RSSI.

Les entreprises françaises migrent vers les cloud sans toujours évaluer l’impact d’une éventuelle panne ni les risques liés à la sécurité. C’est ce que montrent deux enquêtes, la première réalisée par Veritas et la seconde par Palo Alto Networks.

Dans leur projet d’évolution vers le cloud, deux entreprises sur trois n’ont pas complétement évalué le coût d’une interruption du cloud et près d’un DSI sur cinq estime à moins de 15 minutes par mois la durée totale des interruptions, un seuil souvent très en-deçà de la réalité.

Bien que les fournisseurs de services cloud établissent des objectifs de qualité de service basés sur l’infrastructure, l’étude Truth in Cloud de Veritas montre que de nombreuses entreprises françaises n’ont pas conscience qu’elles sont tout autant, voire davantage, responsables que les fournisseurs de services cloud, en matière de protection de leurs applications critiques en cas de panne.

Qui est responsable en cas de panne ?

Six DSI sur dix pensent que les fournisseurs de services cloud en France sont les principaux responsables en cas d’interruption de service et 82% d’entre eux considèrent aussi que le fournisseur de services cloud de leur entreprise est tenue d’assurer que leurs charges de travail et leurs données dans le cloud sont protégées des pannes.

Le problème est si les fournisseurs de services cloud s’engagent sur des niveaux de services, ceux-ci ne concernent généralement que la couche infrastructure. Ils portent ainsi la responsabilité de restaurer l’infrastructure en cas de panne. Or la panne liée à l’infrastructure n’est pas le seul problème à gérer. Elles doivent notamment assurer la remise en ligne de leurs applications une fois que l’infrastructure est remise en service.

Selon la complexité des interdépendances de l’application durant le redémarrage et la quantité de données perdues durant la panne, la durée de restauration de l’application peut être supérieure à celle du rétablissement de l’infrastructure. Une entreprise pourrait décider de manière alternative de faire basculer les applications sur son data center ou sur un autre cloud. La responsabilité reposerait alors uniquement sur les épaules de l’entreprise et non sur celles du fournisseur du cloud.

« Les entreprises ont clairement du mal à comprendre l’anatomie d’une panne cloud et que la restauration est une responsabilité commune au fournisseur de services cloud et à l’entreprise » indique Jean-Pierre Boushira, Directeur des ventes Europe du Sud de Veritas. « La récupération immédiate suite à un incident est sous le contrôle et la responsabilité immédiate de l’entreprise si elle adopte une position proactive sur la disponibilité des applications dans le cloud. Choisir la meilleure approche signifie moins de temps d’arrêt, de conséquences financières, moins d’impact sur la confiance des clients et réduit les risques de détériorer la réputation de la marque ».

Ne pas connaître l’ampleur réelle que peut avoir une panne sur le business est un risque que très peu d’entreprises ont les moyens de prendre. Mais les risques peuvent être significativement réduits avec la mise en place de bonnes stratégies de résilience, permettant ainsi de pleinement tirer parti des environnements multi-cloud.

La sécurité aussi

Ce manque de précaution prises par les DSI concerne également les questions de cybersécurité. La majorité (70 %) des RSSI des grandes organisations en EMEA déclarent que leur évolution le cloud ne tient pas assez compte des risques liés à la sécurité. Ils sont 80% en France selon l’étude menée pour Palo Alto Networks.

L’étude révèle que les RSSI admettent devoir faire beaucoup plus pour tenir le rythme sur le cloud, mais que la sécurité est trop souvent considérée comme un frein à l’adoption de nouvelles applications et de nouveaux services, allant un peu à l’encontre de l’idée selon lequel la maturité du cloud avait permis de dépasser ces questions de cybersécurité.

Plus de la moitié d’entre eux signalent un écart d’alignement avec le reste de l’activité sur les questions de cloud et de cybersécurité, y compris sur son intégration pour une adoption réussie du cloud alors qu’ils considèrent que la sécurité représente une priorité absolue pour leur adoption du cloud (68% en France).

Un RSSI sur dix seulement déclare être en mesure de préserver une cybersécurité homogène et à hauteur des enjeux professionnels sur leur(s) cloud(s), leurs réseaux et leurs terminaux. Et ne se sentent pas assez consultés dans le choix de solutions cloud et souhaitent bénéficier d’un plus grand contrôle.

 « L’adoption du cloud est mue par un désir pour des opérations digitales innovantes plus agiles, que la cybersécurité doit calquer, commente Greg Day, vice-président et directeur régional de la sécurité EMEA pour Palo Alto Networks. C’est une dimension essentielle car les RSSI peuvent trouver difficile de tenir le rythme et craindre que le reste de l’organisation pense à tort que la cybersécurité constitue un obstacle, quand elle peut en réalité contribuer à concrétiser les ambitions en matière de cloud. Pour que la cybersécurité soit aussi agile que ce que requiert l’activité, il est impératif doit préserver un contrôle rigoureux et cohérent de la cybersécurité sur tous les environnements, y compris le cloud et le multi-cloud. »