Beaucoup d’entreprises oublient de repenser leurs plans de réduction des risques alors qu’elles implémentent de nouvelles technologies et de nouveaux processus régulièrement. L’utilisation des services cloud pour le stockage des données, les applications et la reprise après sinistre n’échappe pas à la règle. La question est : « les DSI tiennent-ils compte des risques associés au cloud dans leur plan global de réduction des risques ? »

Tout DSI qui a déjà participé par le passé à la gestion des risques pour sa société, sera rompu aux questions, problèmes et plans qu’elle implique. Pour la gestion des risques et le cloud il en va de même mais il y a toutefois quelques subtilités qu’il est important d’énumérer :

Les avantages de la reprise après sinistre par rapport à ses coûts

Comme dans le travail de réduction des risques « standard », le coût de la réduction des risques du cloud, particulièrement en matière de reprise après sinistre, ne doit pas dépasser les pertes que ce travail est destiné à empêcher. Si c’est le cas, le DSI s’est trompé quelque part.

Gérez des mises en œuvre incrémentales du cloud par département

Un moyen assuré de décupler le coût et les risques du cloud est de procéder à des mises en œuvre du cloud au niveau des départements, sans contrôle. En la matière, les équipes des ressources humaines, juridiques et marketing sont les trois maillons faibles les plus fréquents. Par exemple, le marketing non seulement possède beaucoup de ses propres mises en œuvre basées sur le cloud et sur site dans sa pile technologique marketing, mais en plus ce service a tendance à avoir des budgets et des développeurs dédiés, dont une grande partie transfère librement du budget du service informatique vers celui du marketing.

Qu’il s’agisse d’une mise en œuvre de Salesforce ou de #Slack, les directeurs du marketing et leur équipe numérique déploient souvent des technologies et des sites Internet sans que le service informatique le sache. Ceci étant dit, nous ne pensons pas qu’il soit prudent de contrarier l’agilité en essayant d’empêcher ces départements de déployer leurs systèmes cloud à leur échelle, mais il est important d’éduquer les équipes sur les risques et de leur montrer comment exploiter le plan de reprise après sinistre/gestion des risques du service informatique déjà en place au service de la protection des données, de la prévention des défaillances des applications ou de toute autre circonstance qui pourrait mettre ces systèmes en danger.

Gérez les taux d’exécution

Nous avons parlé de l’augmentation des coûts associée aux mises en œuvre du cloud par département, mais c’est également vrai pour les mises en œuvre du cloud pilotées par le service informatique. Parfois une entreprise se contente d’examiner le modèle de tarification d’un fournisseur de cloud, de l’approuver, puis elle oublie de le gérer en fonction d’un objectif budgétaire établi. En plaçant leur consommation cloud sur autopilote et en pensant que ces coûts vont se gérer tout seuls, de nombreuses organisations se retrouvent avec des coûts de consommation cloud gonflés et hors de contrôle. Les DSI doivent définir un objectif budgétaire en matière de mise en œuvre du cloud et gouverner l’utilisation en fonction de ces coûts, tout comme n’importe quel autre projet informatique.

Diversifiez votre stratégie cloud

Certains DSI essaient en vain d’obtenir des fournisseurs de cloud public qu’ils s’engagent dans un contrat à long terme, mais il y a une bonne raison à cela : les fournisseurs de cloud veulent conserver leur souplesse commerciale et technologique face à un marché et une technologie cloud en évolution rapide. Ces fournisseurs modifient considérablement leur plateforme en continu. Selon IDC, en 2015, 75 % des offres des fournisseurs d’IaaS ont été repensées, revendues sous une autre marque ou progressivement supprimées.

Mais cela reste frustrant pour un DSI qui apprécie la stabilité de la plateforme et la planification budgétaire à long terme, et qui ne veut pas forcément faire affaire avec un fournisseur qui s’arroge le droit de mettre fin à un contrat selon son bon vouloir. Ce non-engagement empêche beaucoup de DSI de se lancer dans l’aventure du cloud. Mais plutôt que de se laisser décourager, ils devraient en tirer parti. Les prix n’ont fait que baisser depuis les débuts de l’infrastructure cloud, car chaque vendeur rivalise pour obtenir des parts de marché. Tant que les DSI ont tenu compte de la portabilité des charges de travail dans leurs choix de technologies, l’absence de verrouillage dans des contrats à long terme leur offre de la souplesse.

Optimisez les charges de travail

Tous les cloud n’ont pas été créés égaux. Les départements informatiques doivent exploiter cette diversification pour optimiser les charges de travail. Lorsque la sous-traitance informatique faisait fureur à ses débuts, les DSI ont commencé par utiliser un seul et même sous-traitant pour tous leurs besoins d’externalisation. Mais ils sont finalement passés à une approche d’optimisation, en faisant appel à divers sous-traitants pour leurs différents objectifs.

Les DSI peuvent faire de même avec les fournisseurs de cloud. Il est important d’utiliser le fournisseur de cloud qui garantira le meilleur résultat spécifique pour l’entreprise, qu’il s’agisse de placer un jeu de données auprès d’un certain fournisseur, d’en utiliser un autre pour le processus de reprise après sinistre et encore un autre pour les initiatives concernant les applications. Certes, en toute franchise, plus il y a de fournisseurs, plus la gestion des relations et des charges de travail se complexifie. Il faut donc une structure, des outils et un processus de gouvernance, quels qu’ils soient, pour optimiser ces relations.

La réduction des risques du cloud doit être un élément essentiel du plan de réduction des risques de l’organisation du DSI à l’échelle de l’entreprise. Il est important de réviser ces plans lorsqu’il y a déploiement des mises en œuvre de cloud public et privé, particulièrement parce qu’ils fournissent des niveaux de service et des durées d’engagement contractuel différents.

 

____________
Patrick Rohrbasser est Country Manager France et Afrique du Nord, CommVault