Guide 2011 de planification du Cloud Computing : la transition vers une architecture hybride

Le Cloud Computing est un marché en plein essor, volatile et encore immature, qui fourmille de fournisseurs proposant divers types de services de qualité variable. La sécurité, les questions de responsabilité, les conditions de licence et la dépendance envers le fournisseur, qui demeurent les principales problématiques du Cloud public, freinent aujourd'hui l'expansion, jusque-là phénoménale, de ce marché. Pour pallier ces défauts, la profession s'est fixé pour objectif en 2011 de créer des Clouds dits « d'entreprise », conformes aux normes de sécurité du Cloud et offrant une plus grande transparence, ainsi que des accords de niveau de service négociables. D'ici là, les organisations informatiques devront bâtir des architectures hybrides, qui leur permettront de tirer parti des avantages du Cloud public tout en hébergeant leurs applications et données stratégiques en interne. Dans le présent guide de planification, Drue Reeves, vice-président de Gartner et analyste de renom, donne son point du vue sur le marché du Cloud Computing et les étapes que les organisations informatiques devront suivre pour bâtir une architecture hybride.

Constat : Le Cloud Computing est un marché en plein essor, volatile et encore immature, qui fourmille de fournisseurs proposant divers types de services de qualité variable. La sécurité, les questions de responsabilité, les conditions de licence et la dépendance envers le fournisseur, qui demeurent les principales problématiques du Cloud public, freinent aujourd'hui l'expansion, jusque-là phénoménale, de ce marché. Pour pallier ces défauts, les fournisseurs se sont fixé pour objectif en 2011 de créer des Clouds dits « d'entreprise », conformes aux normes de sécurité du Cloud, avec une plus grande transparence et des accords de niveau de service négociables. Toutefois, ces mesures ne se concrétiseront pas du jour au lendemain. Les organisations informatiques visionnaires ont donc tout intérêt à élaborer une stratégie hybride avec une architecture associant Clouds internes et externes, des modèles de coûts détaillés, le respect des décisions applicatives et des modèles d'évaluation des risques. Ces modèles les aideront à trouver le juste équilibre entre ressources informatiques internes et externes, de manière à bénéficier des avantages du Cloud public tout en conservant leurs applications et données stratégiques en interne.

Contexte : Peu de marchés connaissent une croissance aussi fulgurante que le Cloud Computing. Si les organisations informatiques ont vite été convaincues par le mode de consommation introduit par le Cloud Computing, dont les services sont distribués rapidement et facturés à l'utilisation (PAYG), ce nouveau modèle commence à montrer ses limites. Un système multilocataires, facturé à l'utilisation, pose en effet des questions de sécurité, de responsabilités, de modalités de concession des licences et d'indépendance vis-à-vis du fournisseur. Le modèle du Cloud Computing est ainsi remis en question pour la première fois. Il va devoir évoluer et apporter des réponses aux principales problématiques qui freinent aujourd'hui son adoption, les organisations informatiques hésitant à héberger leurs applications stratégiques sur des Clouds publics. Celles-ci ont d'ailleurs pris conscience qu'en l'état, le Cloud Computing ne peut pas satisfaire tous leurs besoins informatiques. Les applications et données stratégiques exigent en effet davantage de sécurité que ce que les Clouds publics peuvent offrir pour l'heure. Toutefois, de nombreuses organisations informatiques subissent des pressions en faveur de l'adoption du Cloud Computing : quantité de dirigeants les pressent d'externaliser leurs tâches informatiques via des Clouds publics pour réduire leurs dépenses, tandis que les clients internes voudraient pouvoir consommer les services informatiques internes en mode Cloud, mais sans courir les risques de l'externalisation.

Solutions :

Voici les facteurs que les organisations informatiques devraient prendre en compte pour leur stratégie 2011 :

• Le Cloud Computing demeure un marché volatile, à l'expansion rapide :
  • Les fournisseurs de services Cloud (CSP) se multiplient, tout comme leurs offres, à la qualité variable.
  • Les logiciels sous forme de services (SaaS) restent un moteur d'adoption du Cloud Computing. Le marché des infrastructures sous forme de services (IaaS) devrait connaître une forte croissance entre 2011 et 2014. Celui des plateformes sous forme de services (PaaS) restera marginal, même s'il affichera la plus forte croissance en termes de revenus. Les offres SaaS et IaaS séduisent plus rapidement les organisations informatiques du fait de leur maturité et de leur simplicité d'adoption.
  • Les problèmes de sécurité, de responsabilités et de dépendance vis-à-vis des fournisseurs des solutions Cloud, ainsi que les conditions de licence et modalités type qui y sont associées freinent, aujourd'hui encore, la croissance de ce marché.
  • Si les techniciens informatiques sont désormais plus familiarisés avec le Cloud, des formations complémentaires s'imposent pour qu'ils puissent développer des applications en mode Cloud et mieux les utiliser.
• Les acteurs du marché du Cloud Computing misent sur les Clouds « d'entreprise » pour pallier ces défauts :
  • Les équipementiers et éditeurs de logiciels indépendants inventent des solutions prêtes pour le Cloud afin d'aider les fournisseurs de services Cloud à accélérer la distribution de leurs offres.
  • Certains fournisseurs sont prêts à négocier leurs conditions générales de service, leurs accords de niveau de service (SLA) et leurs tarifs à condition que les clients s'engagent sur un montant minimum de dépenses.
  • Pour offrir davantage de sécurité à leurs clients, les fournisseurs font certifier la conformité de leurs services aux normes ISO (International Organization for Standardization) 27001 et SAS (Statement on Auditing Standards) 70 Type II. Des consortiums de l'industrie élaborent des normes de sécurité en vue de normaliser les critères de sécurité applicables au Cloud Computing.
  • Les courtiers de services Cloud et les Clouds hybrides pourraient solutionner les problèmes de migration et d'intégration entre Clouds internes et Clouds externes, mais ils resteront à l'état de niches en 2011.
• En dépit des efforts des acteurs du marché pour apporter des réponses aux problématiques du Cloud Computing, les organisations informatiques ont raison de se méfier de la volatilité du marché et devraient privilégier une approche mixte :
  • Bâtir une architecture informatique hybride : les organisations informatiques ont intérêt à bâtir des Clouds internes pour héberger les applications stratégiques qu'elles ne peuvent pas héberger sur un Cloud externe pour l'heure, ce afin de concurrencer les fournisseurs de services de Clouds externes, et celles qui sont incompatibles avec le Cloud public. Elles devraient également élaborer une stratégie décisionnelle pour le Cloud couvrant la grille de tarification, le respect des décisions applicatives et les modèles d'évaluation des risques.
  • Négocier fermement avec les fournisseurs : Les organisations informatiques ne devraient pas accepter d'accords de niveau de service ou de conditions générales type des fournisseurs de services Cloud, en particulier pour leurs applications stratégiques ou semi-stratégiques. Les plus grandes devraient jouer de leur poids pour négocier les conditions appropriées à l'hébergement d'applications et de données stratégiques. Parmi ces conditions, citons le tarif, les responsabilités, les ajustements de services, la résiliation, le support et les niveaux de service.
  • évaluer méticuleusement les fournisseurs de services Cloud : Pour faire part de leurs exigences applicatives et de sécurité aux fournisseurs de services Cloud, les organisations informatiques devraient utiliser un processus de demande d'information (RFI).
  • Vérifier la fiabilité des fournisseurs de services Cloud : Il est crucial que les organisations informatiques exigent des fournisseurs de services Cloud qu'ils justifient de leur viabilité et/ou rentabilité. Elles doivent également étudier leurs feuilles de route pour s'assurer de l'évolutivité et de la durabilité de leurs services.
  • Former le personnel informatique au Cloud Computing : Les développeurs devraient être formés à maîtriser les modèles de distribution de services Cloud et à développer des applications prêtes pour le Cloud pour garantir efficacité et évolutivité. Les administrateurs informatiques devraient également être formés pour gouverner efficacement l'utilisation du Cloud et gérer les contrats de prestation. Enfin, les organisations informatiques devraient recruter du personnel expérimenté en Cloud Computing pour accélérer la transition vers une architecture hybride.

Conclusion : En 2011, l'expansion et la volatilité du marché du Cloud Computing engendreront une mutation des fournisseurs de services Cloud et organisations informatiques. Les fournisseurs tenteront de créer des Clouds « d'entreprise » conformes aux normes de sécurité de l'industrie, transparents et auditables, régis par des accords de niveau de service négociables, tandis que les courtiers de services Cloud s'efforceront de résoudre les principaux problèmes de sécurité, de responsabilités, de modalités de concession de licences et de dépendance vis-à-vis des fournisseurs du Cloud Computing. En attendant que le marché du Cloud Computing gagne en maturité, les organisations informatiques devront adopter une architecture hybride, basée à la fois sur un Cloud interne, qui hébergera les services informatiques stratégiques et concurrencera les fournisseurs de services Cloud publics, et sur un Cloud externe, qui hébergera les services informatiques moins critiques, pour libérer de la capacité en interne et gagner en flexibilité. C'est cette architecture informatique hybride, gage du juste équilibre entre internalisation et externalisation, qui donnera un nouvel élan au marché du Cloud Computing en 2011.

L'externalisation des services informatiques n'est pas un phénomène nouveau. La croissance exponentielle des besoins en ressources informatiques a conduit de nombreuses organisations informatiques à faire appel à des sous-traitants et hébergeurs pour compenser leur pénurie de capacité en interne. Mais les fournisseurs traditionnels de services externalisés ont rapidement été dépassés par la demande des entreprises. Leurs contrats à long terme, peu flexibles et évolutifs, impliquaient de longs délais de distribution des ressources informatiques et des investissements initiaux conséquents. C'est ainsi qu'est né le Cloud Computing. Avec ses services accessibles à la demande et facturés à l'utilisation, le Cloud Computing confère toute la souplesse dont les organisations informatiques ont besoin pour s'adapter rapidement à l'évolution du marché et revoir leurs ressources informatiques à la hausse ou à la baisse, selon les besoins dictés par le marché.

La grande récession de 2008-2009 n'a fait que renforcer et accélérer le succès des Clouds publics. Incapables de bâtir de nouveaux centres de données, d'embaucher davantage de développeurs ou de renouveler leurs parcs logiciel et matériel, faute de capital et de budget opérationnel suffisant, les organisations informatiques ont vu dans les Clouds publics une opportunité séduisante de gagner en compétitivité alors que leur budget et leurs ressources humaines s'amenuisaient.

Mais la croissance débridée de ce marché a fini par révéler une réalité moins réjouissante. Le marché des Clouds publics n'en est encore qu'à ses balbutiements avec, souvent, des problèmes non négligeables de sécurité, de manque de transparence, des soucis juridiques et de conformité, des conditions générales peu avantageuses, des doutes sur la viabilité des fournisseurs, des difficultés de concession de licences et même un problème de dépendance vis-à-vis des fournisseurs. Les organisations informatiques ont donc tout naturellement hésité à héberger d'autres ressources que leurs applications et données non stratégiques sur un Cloud public. Et ce défaut de confiance pourrait bien enrayer la croissance du marché du Cloud Computing. Les fournisseurs de services Cloud ont pris conscience que, s'ils ne résolvaient pas ces problèmes, le Cloud Computing ne serait bientôt plus une option d'hébergement externe aussi attractive.

Ils tentent donc désormais d'agrémenter leurs services de nouvelles fonctionnalités pour les entreprises et mettent plus volontiers l'accent sur la sécurité et la disponibilité. Ils sont également nombreux à faire certifier la conformité de leurs services aux normes publiques, à améliorer la transparence de leurs procédures de sécurité et à négocier des conditions de prestation pour gagner la confiance des consommateurs. Quant aux équipementiers (IHV) et éditeurs de logiciels indépendants (ISV), ils s'efforcent de faire tomber les barrières à l'adoption du Cloud Computing en créant des produits qui aideront les fournisseurs (et organisations informatiques) à concevoir rapidement des services Cloud. Les ISV développent également des logiciels Cloud hybrides dans l'espoir d'établir une passerelle entre les Clouds internes et les Clouds externes, ce qui permettrait aux organisations informatiques d'augmenter leur capacité d'hébergement interne et de migrer aisément leurs applications et données vers un Cloud externe (ou vice versa) au gré des besoins de leur entreprise.

Mais ces changements ne se concrétiseront pas en un jour. En attendant, les organisations informatiques sont prises entre deux feux : d'un côté les clients internes qui souhaitent consommer les ressources informatiques sous la forme de services, et de l'autre les fournisseurs de services Cloud dont les offres ne sont pas suffisamment matures pour répondre à tous leurs besoins de services professionnels.

Face aux coupes budgétaires imposées par les dirigeants, aux exigences de services des clients internes et à l'exubérance des techniciens informatiques, les organisations informatiques ont usé de méthodes ad hoc pour adopter les services Cloud, qui les exposent à des risques inutiles et engendrent des dépenses inattendues, de nouvelles responsabilités et la transformation forcée des procédures opérationnelles, pour au final ne pas répondre aux besoins des clients internes.

En 2011, les organisations informatiques devront miser sur des architectures hybrides, qui tireront parti des avantages du Cloud public tout en exploitant des services informatiques internes pour héberger les applications et données stratégiques. Ces architectures hybrides, basées sur des services Cloud internes et externes, leur permettront de concurrencer les fournisseurs de services de Cloud externe en proposant des services informatiques internes sans pour autant se passer de la rapidité d'approvisionnement du Cloud public. Ce modèle de consommation, avec facturation à l'utilisation, augmentera leur capacité interne et leur souplesse. Elles pourront également se positionner en tant que courtiers en charge de tous les services Cloud, internes comme externes. Elles seront ainsi en mesure de veiller à ce que les ressources soient délivrées aux bonnes personnes, au bon endroit, conformément aux exigences de sécurité, de performance, d'efficacité, de productivité et de disponibilité de leur entreprise, en tenant compte de la tolérance aux risques de cette dernière.

Mais la conception d'une architecture hybride n'est pas un art maîtrisé de tous. Il n'existe aucun manuel ni schéma de référence en la matière. Les organisations informatiques peinent à définir les paramètres nécessaires à l'équilibre entre Cloud interne et Cloud externe. Elles ne parviennent pas toujours à déterminer :

• quelles applications héberger en interne et lesquelles héberger en externe ;
• comment concevoir et optimiser des applications pour le Cloud ;
• comment créer un Cloud interne ;
• comment évaluer les fournisseurs ;
• quels risques elles encourent en hébergeant des applications en mode Cloud.

C'est justement pour répondre à ces questions et trouver l'équilibre entre Cloud interne et Cloud externe que Gartner a lancé son étude IT1 sur le Cloud Computing en 2011 et publie aujourd'hui ce guide de planification.

Pour offrir aux lecteurs un point de vue global sur les tendances du secteur, nous avons choisi d'articuler ce guide autour de deux grands axes :

• Les grandes tendances : à savoir les tendances générales du secteur informatique qu'il est important de comprendre puisqu'elles reflètent les tendances commerciales et informatiques du marché du Cloud Computing.
• Les tendances du marché du Cloud Computing : entendez les tendances du secteur du Cloud Computing qui impactent le marché, notamment le niveau de la demande, les méthodes des fournisseurs de services Cloud et les priorités des organisations informatiques.

D'après l'étude IT1 de Gartner, les trois grandes tendances de l'informatique d'entreprise sont : l'externalisation, la consumérisation et la démocratisation. Ces grandes tendances peuvent être analysées en différents volets, notamment leurs effets spécifiques et les actions qui en résultent, dont les professionnels de l'informatique doivent avoir connaissance pour prendre les bonnes décisions.

Les entreprises cherchent sans cesse à réduire leurs investissements informatiques sans que cela nuise à leurs activités clés, à savoir celles qui leur permettent de se distinguer de la concurrence, en opposition aux activités secondaires, qui ne produisent aucune valeur et que l'on appelle également commodités. L'intérêt des dirigeants pour l'externalisation des ressources informatiques (Cloud, SaaS, sous-traitance, onshoring et offshoring) reflète un désir de réduire les coûts et la complexité des opérations de maintenance internes. Parmi les avantages de l'externalisation, citons les économies réalisables, la possibilité de se recentrer sur le cœur de métier et la création d'un partenariat stratégique avec l'entreprise. Cette méthode comporte toutefois des risques, liés notamment à l'immaturité de certaines solutions externes, pas suffisamment évolutives pour répondre durablement aux besoins de l'entreprise, et une myriade de problèmes de sécurité et de confidentialité qu'il reste encore à résoudre. Sans compter que les options d'externalisation les plus sophistiquées exigeront pour la plupart la refonte complète des environnements informatiques des entreprises clientes. Cette refonte aura pour bénéfice à long terme de séparer définitivement les fonctions clés des fonctions moins stratégiques de sorte qu'elles soient mieux redistribuées. Les entreprises doivent identifier les risques auxquels les exposerait l'externalisation. Celles qui tablent sur une forte croissance en période économique instable courront des risques plus élevés, tandis que celles qui se remettent de la crise chercheront toujours à externaliser, mais de manière plus modérée et principalement pour réaliser des économies ou mieux se préparer à la reprise. Quant à celles qui évoluent sur un marché toujours en crise, elles n'auront d'autre choix que d'externaliser leurs activités non stratégiques pour réduire au maximum leurs coûts.

Il serait préférable que les entreprises consacrent moins d'efforts à leurs activités informatiques secondaires au profit de leurs fonctions stratégiques, leurs atouts différenciateurs. Les options d'externalisation, y compris le Cloud Computing, promettent des opérations rationalisées, une charge de travail moindre et/ou une redynamisation de l'entreprise. Le danger, en particulier sur le marché du Cloud Computing, où les normes se multiplient, est la dépendance vis-à-vis des fournisseurs. Avec le Cloud, le modèle de tarification des services informatiques internes et l'allocation des dépenses se muent en modèle de tarification basé sur la valeur du marché (et non sur le prix de revient majoré), qui peut ne pas refléter le coût de revient réel.

Le consommateur moyen est aujourd'hui un acheteur averti de technologies. Résultat : il dispose d'un choix de terminaux et d'options de personnalisation plus large que jamais et fait plus volontiers fi des normes informatiques.1 Les fournisseurs informatiques externes ont donc de plus en plus tendance à démarcher directement les parties prenantes des entreprises, contournant ainsi le marché informatique traditionnel. Il en sera de même pour les ordinateurs portables et smartphones grand public, moins chers et aux cycles de vie plus courts. Dans une génération, le nombre de salariés dotés d'équipements informatiques grand public de pointe sera tel que les entreprises n'auront probablement même plus à investir dans ces produits. Cette évolution, entre autres tendances, explique la démocratisation du télétravail et des solutions de mobilité. Le consumérisme informatique n'est pas sans répercussions sur les entreprises : il est difficile de sécuriser des équipements qui ne leur appartiennent pas, tout comme de gérer et d'entretenir un parc matériel et logiciel aussi disparate. Par ailleurs, l'identité occupe une place de plus en plus centrale dans l'expérience de consommation, si bien que les entreprises recherchent le moyen d'en tirer profit pour moderniser leur stratégie de gestion des identités et des accès. Apparaissent ainsi des produits orientés-consommateur, destinés aux clients, partenaires et employés. Cette tendance devrait s'accélérer encore avec l'émergence de la virtualisation et des services Cloud de gestion des identités.

Du fait, en partie, du succès de l'informatique sociale et de l'atténuation consécutive des hiérarchies traditionnelles, les décisions complexes et celles affectant la productivité sont souvent prises de manière collaborative, par des groupes et individus, et non par la seule direction. Un groupe autogéré assurera également plus volontiers que chacun a connaissance des activités de l'autre. Les salariés peuvent ainsi peser sur les décisions et contribuer à la poursuite des objectifs, obtenir le consensus du groupe et instaurer divers degrés de confiance. à bien des égards, les groupes sont un moyen de gommer les hiérarchies, d'éviter l'attentisme et de démocratiser l'environnement de travail en privilégiant la collaboration. Ce n'est pas pour autant que les hiérarchies traditionnelles disparaîtront. Elles sont essentielles pour structurer les communications au sein des grandes entreprises. La difficulté est donc de faire cohabiter ces deux modèles de communication et de prise de décisions : le hiérarchique et le démocratique. En plus d'une évolution sociale, il s'agit également d'une révolution informatique. Si le 20ème siècle est celui de la socialisation du travail par le taylorisme, le 21ème siècle sera marqué par l'opposition brutale de deux forces : les entreprises traditionnelles vs. collaboratives.

Plusieurs tendances se dégageront en 2011 :

• Un marché volatile à l'évolution fulgurante
• L'informatique hybride
• Produits prêts pour le Cloud
• Sécurité du Cloud, conditions générales et Clouds d'entreprise
• Les courtiers de services Cloud et les Clouds hybrides
• Personnel informatique formé au Cloud

Les études menées par Gartner révèlent une croissance phénoménale de chaque segment du marché du Cloud Computing (SaaS, PaaS, IaaS). Le marché du Cloud Computing devrait ainsi générer au total 14,5 milliards de dollars en 2011 contre 10,4 milliards aujourd'hui selon les prévisions de Gartner, soit une croissance de 38,5 %!¹⁰

Toutefois, tous les segments de ce marché ne se développeront pas au même rythme. Gartner annonce en effet une croissance de 10 à plus de 20 milliards de dollars pour le segment des offres SaaS¹⁰ entre 2011 et 2014, contre 4,4 à 12,4 milliards pour celui des solutions IaaS¹⁰ et 306 à 998 milliards pour celui des PaaS.¹⁰ Plusieurs facteurs expliquent cette disparité. D'abord, le segment SaaS est plus ancien et donc plus mature que les autres segments, d'où son essor plus marqué. Les premières offres SaaS pour la vente au détail et les finances sont en effet apparues il y a plus d'une décennie. Quantité d'applications sous forme de services sont désormais disponibles. Les plus populaires restent les solutions horizontales, de type gestion de la relation client (CRM), messagerie électronique et conférences Web. Ces solutions ciblent un large public et conviennent idéalement au modèle SaaS de solutions clé-en-main, facturées au nombre d'utilisateurs (cf. Figure 1).

Ensuite, les offres IaaS confèrent une grande simplicité d'adoption et de migration des applications non horizontales, en particulier celles encapsulées dans le cadre d'une virtualisation de serveurs. La virtualisation de serveurs est l'essence même des solutions IaaS. L'objectif est de simplifier la migration d'une machine virtuelle (VM) d'une infrastructure vers une autre. Ces solutions sont par ailleurs souvent accompagnées de services informatiques complémentaires, de type stockage et réseau, similaires à ceux disponibles via des centres de données. Là encore, la migration des services réseau d'un commutateur vers un autre ou des services de stockage d'un système à un autre est aujourd'hui relativement maîtrisée, bien qu'encore complexe.

Enfin, les offres PaaS occupent le plus petit segment de ce marché pour deux raisons. La première est qu'il s'agit du plus jeune segment, qui compte, pour l'heure, le moins grand nombre de fournisseurs, en particulier de gros fournisseurs. La seconde, et la plus importante, est que de nombreuses solutions PaaS imposent aux développeurs de changer leur modèle de programmation. Pour migrer vers une offre PaaS, les organisations informatiques doivent généralement accorder beaucoup de temps et de ressources à la révision ou à la refonte de leurs applications afin de les adapter aux environnements, API et architectures du fournisseur de services Cloud. Dans ce contexte, les organisations informatiques trouvent souvent les offres SaaS et IaaS bien plus simples et économiques à adopter que les solutions PaaS.

La Figure 2 illustre les procédures de migration d'applications vers le Cloud Computing.

Sur un marché aussi volatile que celui du Cloud Computing, un nouveau fournisseur en remplace un autre chaque jour, les négociations contractuelles prennent du temps et les tarifs ont tendance à évoluer rapidement. à titre d'exemple, en 2010, Microsoft a lancé sa solution Azure le 1er janvier,² EMC a mis fin à Atmos Online le 29 juin,³ Amazon a revu à la baisse par deux fois le prix de ses services EC2 (en février⁴ puis en septembre⁵), avant d'annoncer une « offre gratuite » en novembre,⁶ Bungee Labs a fermé ses portes en septembre et salesforce.com et VMware ont lancé VMforce en avril.⁷ Il résulte de ce bouillonnement un écosystème de fournisseurs disparate, au sein duquel la maturité des services, le type d'offres et de fonctions, les prix, les services de support et la qualité sont extrêmement variables, ce qui complique la sélection des offres.

Concernant leurs investissements de Cloud Computing en 2011, les organisations informatiques devraient :

• Négocier des contrats d'entreprise : Les grandes organisations informatiques, qui disposent d'un budget conséquent, ne devraient pas accepter les accords de niveau de service standard des fournisseurs de services Cloud. Ces accords ne leur sont pas favorables, ni adaptés aux applications stratégiques. En contrepartie d'un volume de ventes suffisant, les fournisseurs sont prêts à négocier leurs tarifs, la transparence, les responsabilités, les modalités de résiliation, les conditions de migration, le support et les mises à niveau. Les organisations informatiques doivent toutefois se préparer à devoir négocier pendant plusieurs semaines, voire des mois.

• Exiger des garanties de la part des fournisseurs : Sur un marché aussi volatile que celui du Cloud Computing, un nouveau fournisseur en remplace un autre chaque jour. Les organisations informatiques ont donc intérêt à s'enquérir de la viabilité des fournisseurs auxquels elles envisagent de faire appel. Elles devraient donc s'inquiéter de la rentabilité des services (ou du potentiel d'évolution vers la rentabilité), des feuilles de routes sur plusieurs années, ainsi que des investissements d'innovation actuels et à venir. Il est important de rappeler que l'envergure du fournisseur de services Cloud ne garantit pas sa viabilité. Des géants informatiques comme HP et EMC se sont d'ailleurs retirés du marché du Cloud quasiment sans prévenir.
• Privilégier les solutions SaaS et IaaS, sauf en cas de refonte des applications : Les solutions SaaS et IaaS sont des options séduisantes pour les organisations informatiques qui souhaitent s'essayer au Cloud Computing. Bon nombre d'entre elles adoptent des applications SaaS en guise d'alternatives simples à mettre en œuvre aux applications développées en interne. Elles peuvent également migrer plus facilement vers des offres IaaS si leurs applications sont déjà encapsulées par la virtualisation des serveurs. Par contre, selon l'offre de services Cloud du fournisseur et la complexité des applications, les organisations informatiques manquent parfois du temps, des ressources et de l'expertise nécessaires pour porter efficacement leurs applications sur une solution PaaS. Toutefois, s'il faut repenser en profondeur les applications, les organisations informatiques doivent envisager toutes les couches du Cloud, y compris les solutions PaaS.

Pour en savoir plus sur les marchés PaaS et IaaS/HIaaS, reportez-vous aux profils de Gartner intitulés « Market Profile: Platform as a Service 2011 » et « Market Profile: Hardware Infrastructure as a Service (HIaaS), 2010 ».

Le modèle économique attractif du Cloud Computing (facturation à l'utilisation - PAYG), d'une part, et les risques liés à la volatilité de ce marché et à la sécurité des services, d'autre part, amènent les organisations informatiques à envisager une architecture informatique hybride.

Le modèle économique du Cloud Computing, qui permet l'accès rapide aux services informatiques sans gros investissements initiaux, séduit les dirigeants soucieux de leur budget. Les DG et DSI poussent sans cesse les organisations informatiques à réduire les dépenses en confiant certains services à des fournisseurs de services Cloud. Mais en étudiant de plus près les services Cloud disponibles, les organisations informatiques prennent conscience de la volatilité du marché et du fait que tous les services Cloud ne se valent pas. Certains fournisseurs proposent de simples services clé-en-main pour remplacer les logiciels utilisés en interne. D'autres présentent un large panel de services aux niveaux variables de sécurité, disponibilité, prix et évolutivité, pas toujours conformes aux exigences techniques des applications, aux directives de conformité informatique ou à la politique de gestion des risques de l'entreprise. De manière peu surprenante, les organisations informatiques adoptent volontiers ces solutions pour satisfaire les attentes de consumérisme et de démocratisation des clients internes. Elles sont ainsi nombreuses à confier leurs services informatiques non stratégiques à des Clouds publics, comme les fonctions de développement et de test d'applications, ou à utiliser des applications SaaS clé-en-main, notamment d'analyse Web et de CRM, pour remplacer leurs applications internes et offrir un accès à leurs salariés itinérants.

Mais leur méfiance refait surface dès qu'il s'agit d'applications et de données plus stratégiques. Les Clouds publics sont en effet incapables, pour l'heure, de satisfaire leurs exigences de sécurité ou d'offrir les garanties de disponibilité nécessaires pour héberger de telles ressources. Les services informatiques concernant les applications et données stratégiques sont donc conservés en interne. Mais les Clouds publics ont influencé le mode de pensée des clients internes. Ce marché étant en plein essor, de nombreux départements d'entreprise et clients internes se sont habitués à l'informatique sous la forme de services, si bien que leurs processus et plans budgétaires tiennent compte du Cloud Computing. à présent, ils exigent des organisations informatiques qu'elles bâtissent des Clouds privés internes qui hébergeront les applications stratégiques, mais aussi qui permettront la consommation de services informatiques à la demande, payables à l'utilisation. Les organisations informatiques qui n'honorent pas ces demandes courent le risque que les clients internes aient directement recours aux services de Clouds externes, exposant davantage encore toute l'entreprise. Il leur faut donc concurrencer le modèle de consommation proposé par les Clouds publics tout en servant d'intermédiaire entre leurs clients internes et tous les services informatiques (qu'ils soient internes ou externes). Elles font alors office de courtiers de services informatiques hébergés en partie en interne et en partie en externe, constituant une architecture hybride (cf. Figure 3). En se posant en intermédiaires, elles peuvent rivaliser avec les tarifs, la capacité et la rapidité de distribution d'un Cloud externe, tout en respectant les exigences de sécurité et de gouvernance de l'entreprise et en réduisant les dépenses informatiques.

Une architecture informatique hybride offre les avantages suivants :

• Elle permet aux départements d'entreprise et clients internes de bénéficier de ressources informatiques sous forme de services, d'où qu'ils proviennent.
• Elle place les organisations informatiques dans la position de courtiers ou d'intermédiaires entre les clients internes et les services Cloud, leur permettant ainsi d'héberger leurs applications et données sur les plateformes les plus adaptées.
• Elle satisfait les exigences de services Cloud de la direction tout en réduisant les coûts et en conférant davantage de flexibilité.

La conception d'une architecture hybride n'est pas un art maîtrisé de tous. Aucune norme ni bonne pratique n'existe à ce jour. Gartner recommande toutefois aux organisations informatiques de commencer par :

• bâtir un Cloud privé interne ;
• élaborer une stratégie d'adoption du Cloud.

Une architecture hybride doit avant tout reposer sur un Cloud interne. La mise en place d'un tel Cloud vise deux objectifs. Le premier est de satisfaire les clients internes souhaitant utiliser les ressources informatiques sous la forme de services. Ce faisant, ils pourront rapidement se procurer des ressources informatiques et mieux prédire les coûts informatiques liés à la création d'un produit, à la prestation d'un service ou d'autres aspects de leur métier. Le second est de faire de l'organisation informatique une passerelle d'accès aux services des Clouds externes. Si le Cloud interne fait office d'interface entre les clients internes et les services informatiques, l'organisation informatique pourra réallouer ou accroître la capacité interne du Cloud externe. Elle sera alors à même de limiter les utilisations non autorisées des services des Clouds externes et de gérer les fournisseurs de services Cloud sélectionnés.

Malheureusement, il n'existe aucune solution de Cloud privé prête à l'emploi. Pour concevoir un Cloud privé interne, les organisations informatiques doivent assembler différentes pièces matérielles et logicielles de fournisseurs distincts. Par exemple, pour bâtir un Cloud IaaS privé interne, une organisation informatique peut avoir à acquérir du matériel auprès d'un équipementier indépendant (par ex. HP, IBM, Dell, Cisco), un hyperviseur auprès d'un spécialiste (par ex. VMware, Citrix, Microsoft), des systèmes d'exploitation auprès d'un OSV (par ex. auprès de Microsoft, Red Hat, Novell), ainsi qu'un logiciel d'orchestration de services Cloud auprès d'un éditeur de solutions de gestion ou de virtualisation (par ex. CA, Quest, cloud.com, Platform Computing, VMware, Citrix). Si l'organisation souhaite équiper ses développeurs d'une solution PaaS, il lui faudra également se tourner vers un ISV (par ex. IBM, Oracle, VMware) ou concevoir sa propre plateforme applicative compatible Cloud (CEAP). Après avoir réuni tous les éléments requis, elle devra procéder à leur intégration. Il sera peut-être également nécessaire de programmer de nouveaux logiciels pour combler les failles de la solution Cloud. Il peut en effet s'avérer indispensable de développer un portail de libre-service ou un mécanisme de refacturation pour compléter la solution Cloud interne. Pour en savoir plus sur ce qui distingue les offres PaaS des solutions CEAP, reportez-vous au document Gartner intitulé « Market Profile: Platform as a Service 2011 ».

Ces obstacles ne devraient toutefois pas freiner les organisations informatiques, qui doivent bâtir un Cloud privé interne pour concurrencer les fournisseurs externes, démontrer leur ouverture au Cloud Computing et gagner en efficacité et flexibilité, sans quoi elles deviendront obsolètes dès que les Clouds externes seront jugés matures. Gartner leur recommande de procéder par étapes, en ne migrant qu'une partie de leur environnement vers un Cloud privé interne, pour commencer.

Pour en savoir plus sur la conception de Clouds internes, reportez-vous au guide Gartner intitulé « Stuck Between Stations: From Traditional Data Center to Internal Cloud ».

L'élaboration d'une stratégie informatique hybride doit remettre en question les anciennes certitudes, méthodes, procédures et habitudes de gestion informatique. Les organisations informatiques doivent repenser leurs techniques de développement d'applications, de calcul du coût réel des applications, d'évaluation de la tolérance aux risques, d'analyse des schémas de protection, d'architecture des processus métier et de localisation des services informatiques. Elles doivent se poser les bonnes questions, notamment :

• Quelles applications héberger en interne et lesquelles héberger en externe ?
• Comment concevoir et optimiser des applications pour le Cloud ?
• Comment choisir la solution Cloud (SaaS, PaaS ou IaaS) qui convient ?
• Quels sont les besoins de sécurité, de disponibilité et de performance des applications ? Et comment s'assurer qu'un fournisseur de services Cloud satisfera ces exigences ?
• L'externalisation des applications sera-t-elle réellement moins coûteuse que l'internalisation ?
• Quelle est l'importance de chaque application pour l'entreprise ? Combien en coûterait-il à l'entreprise si telle application tombait en panne ou telles données étaient perdues ?
• Que gagnerait l'entreprise à héberger telle application sur un Cloud ?

Une migration vers le Cloud ne peut se faire sans réponses à ces questions, qui permettront aux organisations informatiques de choisir le meilleur environnement d'hébergement pour leurs applications et données. Pour y répondre, il leur faut envisager d'autres sous-modèles, environnements, facteurs de réduction des risques, plans de migration et processus informatiques. En voici quelques exemples :

• Environnement d'évaluation d'applications : Un environnement d'évaluation d'applications est crucial pour une transition vers l'informatique hybride car il permet de déterminer la faisabilité de la migration des applications vers un Cloud externe. En tenant compte de facteurs comme les objectifs de migration des applications, les caractéristiques initiales des applications, les besoins de modernisation, les dépendances entre applications et plateformes, les compétences de développement disponibles et les coûts de migration, les organisations informatiques pourront prendre des décisions avisées pour migrer efficacement leurs applications vers le Cloud (ex. réhébergement, redimensionnement, adaptation, refonte ou remplacement) et choisir la solution Cloud la mieux adaptée (ex. SaaS, PaaS ou IaaS). Un environnement d'évaluation d'applications aide par exemple à savoir quels éléments d'une application modifier pour pouvoir la migrer vers un Cloud public, s'il est nécessaire de reprogrammer une application dans un langage différent ou si une simple révision suffira, ou encore si l'organisation dispose des compétences de développement nécessaires pour concevoir une application destinée au Cloud. Les organisations informatiques pourront alors évaluer les ressources et les efforts requis pour héberger leurs applications sur un Cloud public.

Pour en savoir plus sur la migration d'applications vers le Cloud, reportez-vous au document Gartner intitulé « Migrating Applications to the Cloud: Rehost, Refactor, Revise, Rebuild, or Replace? ».

• Modèle de coût interne : la conception d'un modèle de coût interne est une étape importante dans une stratégie d'adoption du Cloud en vue de comparer les coûts d'un Cloud interne et d'un Cloud externe. Il permettra également aux organisations informatiques de déterminer si la migration de telle ou telle application vers un Cloud public sera moins coûteuse (que l'hébergement en interne), d'évaluer leur retour sur investissement (le cas échéant) et de savoir si le jeu en vaut la chandelle. Malheureusement, de nombreuses organisations informatiques sont dépourvues d'un modèle de coût interne. L'évaluation des coûts applicatifs réels peut s'avérer difficile du fait de la complexité des dépendances applicatives et de l'infrastructure centralisée et partagée. Des logiciels de cartographie des dépendances applicatives existent (par ex. Tivoli Application Dependency Discovery Manager (TADDM) d'IBM), qui peuvent faciliter la tâche des organisations informatiques. Il leur incombera toutefois de traduire ces dépendances détectées en un modèle de coût permettant une comparaison juste des coûts d'un Cloud interne et d'un Cloud externe.

Notons que les fournisseurs de services Cloud sont transparents sur leurs tarifs. Non seulement ils publient, pour la plupart, les redevances de leurs service sur leur site Web, mais certains proposent également des calculateurs de coûts pour aider leurs clients à anticiper leurs dépenses. Il n'est donc pas bien difficile de trouver le prix d'un Cloud externe. Il ne faut toutefois pas espérer d'un fournisseur de services Cloud qu'il donne une estimation réaliste des coûts réels puisqu'il n'a aucun moyen de savoir quels seront les besoins de l'application. D'où l'intérêt d'un modèle d'évaluation d'applications. En connaissant les besoins de qualité de service (QoS) d'une application et les conditions d'utilisation (par ex. le nombre d'utilisateurs devant accéder au service), les organisations pourront évaluer les coûts du Cloud en se référant à la grille tarifaire du fournisseur.

Pour en savoir plus sur la conception d'un modèle de coût interne, reportez-vous à la présentation Gartner intitulée « Counting the Cost of the Elephant in the Data Center ».

Pour savoir comment évaluer les coûts de maintenance d'une application, référez-vous au document Gartner intitulé « Application Rationalization: Burning Fat and Building Muscle ».

• Modèle d'évaluation et plan d'atténuation des risques : Là encore, il s'agit d'éléments essentiels à un projet de migration vers le Cloud. Pour en savoir plus sur les problèmes de sécurité du Cloud, les modèles d'évaluation des risques et les plans d'atténuation des risques, reportez-vous au paragraphe Sécurité du Cloud, conditions générales et Clouds d'entreprise de ce guide de planification.
• Processus d'évaluation des fournisseurs : les organisations informatiques doivent envisager tous les fournisseurs potentiels, examiner dans le détail leurs offres de services et jauger leur capacité à satisfaire leurs attentes applicatives et stratégiques. Ces informations leur permettront de sélectionner judicieusement le fournisseur de services Cloud qui hébergera leurs applications stratégiques. Prenons l'exemple d'une application devant accéder à une base de données relationnelle. Si le fournisseur ne propose pas de services de base de données relationnelle, l'organisation informatique aura deux solutions : concevoir elle-même ce service dans le Cloud ou chercher un autre fournisseur. De manière générale, il est recommandé d'utiliser un processus de demande d'information pour obtenir les informations nécessaires à la sélection. Pour apporter la preuve de la viabilité du fournisseur et de sa capacité à répondre aux besoins applicatifs, cette demande d'information doit comporter des questions exhaustives et détaillées sur les finances du fournisseur, ses services de plateforme applicative, son infrastructure informatique (par ex. systèmes, disponibilité, options de reprise après sinistre et centres de données), ses moyens de sécurité et de support, ses tarifs, ses accords de niveau de service, ses modalités contractuelles, sa présence à l'international et sa chaîne d'approvisionnement.
• Plan de migration et garanties de stabilité : Il est important que les organisations informatiques tiennent compte des modifications procédurales, des efforts de migration et des besoins de formation du personnel qu'implique leur décision finale. Certaines applications peuvent être des candidates idéales au Cloud mais engendrer des coûts de migration trop élevés. C'est par exemple le cas des applications qui génèrent un pétaoctet de données. La migration de ces données vers un Cloud externe mobiliserait trop de temps et d'argent. Par ailleurs, si l'organisation informatique n'est pas formée à gérer un Cloud ou ne dispose pas de plan de gouvernance pour ce faire, l'usage du Cloud Computing peut s'avérer trop onéreux. Il suffit, par exemple, que plusieurs membres du personnel informatique n'emploient pas les procédures de gestion des données appropriées pour que l'organisation informatique paie des frais pour le stockage de données superflues sur le Cloud public. Dans ces cas de figure, il peut s'avérer préférable de maintenir les applications sur un Cloud interne en attendant que l'organisation soit fin prête à utiliser les services d'un Cloud public.

La Figure 4, extraite du guide « Building a Solid Cloud Adoption Strategy: Success by Design » et du document « Migrating Applications to the Cloud: Rehost, Refactor, Revise, Rebuild, or Replace? », illustre une méthode d'adoption du Cloud. Pour en savoir plus sur les modèles et emplacements d'hébergement, reportez-vous au document « Data Center Sourcing: Cloud, Host, Co-Lo, or Do It Yourself ».

Ces sous-modèles et cadres, assortis des principes et de la stratégie de gestion des risques des organisations, forment la base d'un modèle global d'adoption du Cloud Computing. Si la décision de migrer vers le Cloud exige du temps et de nombreuses ressources, les organisations informatiques ont pris conscience de l'intérêt de concevoir des modèles qui leur offriront des réponses à leurs questions, à savoir ne pas exposer l'entreprise à des risques inutiles ou à des dépenses inconsidérées, ce qui pourrait mettre en péril toute leur stratégie de transition vers une architecture informatique hybride.

Alors que la demande des clients alimente la croissance du marché du Cloud Computing, les équipementiers indépendants et ISV développent actuellement des produits pour les futurs services Cloud. Ces produits « prêts pour le Cloud » participent à démocratiser l'accès au Cloud Computing et à stimuler la croissance du marché. Cisco, par exemple, propose UCS, une solution matérielle et logicielle qui permet aux organisations informatiques de bâtir des infrastructures ultra virtualisées, composants essentiels à la conception d'IaaS. Quant à VMware, il a lancé vFabric, solution basée sur l'environnement Spring (racheté à SpringSource) et des logiciels de gestion, qui aide les fournisseurs de services Cloud à commercialiser des offres PaaS. Microsoft a également créé l'appliance Azure pour permettre aux fournisseurs de vendre des offres PaaS .NET. Mais ces solutions ne se destinent pas uniquement aux fournisseurs de services de Clouds publics. La plupart ont été conçues pour répondre aux besoins des Clouds internes privés et publics. Aussi, quelle que soit l'évolution du marché du Cloud Computing, les équipementiers indépendants et ISV ne manqueront pas de clients. Ils savent également que migrer des applications d'un Cloud vers un autre est bien plus simple si toute l'infrastructure est rationalisée. En servant les utilisateurs des Clouds privés et publics, ils ont donc toutes les chances de fidéliser une clientèle et de gagner des parts de marché. Les clients migrant d'un Cloud vers un autre se tourneront par ailleurs plus volontiers vers les fournisseurs qui proposent une infrastructure similaire à la leur pour simplifier leur migration.

Les produits dédiés au Cloud ont également un effet domino sur le marché du Cloud Computing. Ils facilitent l'accès au marché, en particulier pour les fournisseurs de solutions PaaS et IaaS. Et l'expansion de ces derniers stimule la croissance du segment des offres SaaS. à l'aide de solutions IaaS et PaaS, les ISV peuvent rapidement développer des solutions SaaS sans avoir à bâtir une infrastructure informatique coûteuse ni à se charger de son administration.

Notons que tous les produits développés par les ISV sont désormais conçus pour supporter le Cloud Computing. De nombreux fournisseurs ne proposent pas de conditions de licence favorables pour les Clouds publics. à titre d'exemple, bien que Microsoft propose Office 365 sous forme de service, l'éditeur ne permet pas aux entreprises de transférer leurs licences vers le Cloud public. Les clients doivent donc acquérir deux licences pour un même produit ou n'utiliser le logiciel qu'en interne jusqu'à expiration de la licence. Certains fournisseurs ont négocié des accords de licence pour fournisseurs de services (SPLA) avec des ISV, mais ces licences facturées à l'utilisation se révèlent souvent plus coûteuses que les contrats d'entreprise. En attendant la résolution de ces problèmes, de nombreux clients choisissent de conserver leurs logiciels en interne, ce qui freine le développement du marché des Clouds publics.

Voici quelques recommandations que les organisations informatiques devraient suivre en 2011 concernant les produits prêts pour le Cloud :

Rechercher des fournisseurs de services Cloud dotés d'une infrastructure similaire à la leur : De nombreux fournisseurs de services Clouds conçoivent leurs services à partir de modules développés par des ISV et équipementiers indépendants. Pour simplifier la migration et l'intégration entre le Cloud interne et le Cloud externe, les organisations informatiques devraient se tourner vers des fournisseurs d'offres IaaS et PaaS dotés d'une infrastructure similaire à la leur. Si, par exemple, l'organisation informatique utilise un environnement Spring, opter pour un fournisseur dont les solutions PaaS supportent Spring simplifiera la migration, sans résoudre pour autant tous les problèmes.

Se servir des produits d'ISV et d'équipementiers indépendants pour concevoir un Cloud interne : Les organisations informatiques devraient tirer parti des solutions prêtes pour le Cloud pour créer leur Cloud interne. Pourquoi faire compliqué quand on peut faire simple ? Ces solutions peuvent faciliter la concrétisation de leur projet de Cloud interne. Méfiance toutefois quant au risque de dépendance vis-à-vis du fournisseur. En effet, quantité d'ISV et d'équipementiers indépendants utilisent des plateformes prêtes pour le Cloud pour ne s'engager qu'envers un seul fournisseur.

Faire pression sur les ISV pour renégocier les conditions de licence : Les organisations informatiques doivent obtenir des ISV un engagement de mobilité des licences pour que leur contrat de licence d'entreprise en cours couvre leur utilisation du Cloud public et leur utilisation en interne.

L'évolution rapide du marché du Cloud Computing a engendré de sérieux problèmes. En misant tout sur la rapidité de distribution et la facturation à l'utilisation, de nombreux fournisseurs de services Cloud ont négligé des considérations aux conséquences potentiellement graves, de sécurité, de conformité des données, de conditions de licence, d'indépendance vis-à-vis des fournisseurs et de conditions de service. Les organisations informatiques ont immédiatement été convaincues par les avantages du Cloud Computing, gage d'un accès rapide aux services et d'une facturation à l'utilisation. Ces solutions sont apparues comme l'option d'hébergement idéale des services informatiques et applications non stratégiques. Mais avec le temps, clients et fournisseurs ont réalisé que les applications non stratégiques pouvant être aisément migrées vers un Cloud public étaient finalement rares et que les applications stratégiques nécessitent des niveaux de disponibilité, d'évolutivité et de performance, ainsi que des garanties de service supérieurs à ce que peuvent offrir les fournisseurs de services Cloud.

Ces derniers proposent des accords de niveau de service et des contrats type peu flexibles et inadaptés aux applications stratégiques. Voici ce que stipule l'accord de niveau de service type de Rackspace pour la migration :

Si une dégradation du service d'hébergement Cloud exige la migration du serveur Cloud, nous vous en informerons au moins 24 heures avant le début de la migration, à moins que nous estimions de manière raisonnable qu'il est préférable d'amorcer la migration au plus tôt pour protéger les données stockées sur les serveurs Cloud. Dans tous les cas, nous garantissons que la migration sera achevée sous trois (3) heures.⁸

S'il est louable de la part de Rackspace de mentionner le sujet de la migration dans son accord de niveau de service, 24 heures ne suffisent généralement pas aux organisations informatiques pour se préparer à la migration d'une application stratégique.

Parmi les autres problèmes fréquents dans les accords de niveau de service et conditions contractuelles type, citons la définition des pannes de service, des modalités (moment et méthode) de résiliation d'un service, des ajustements possibles et des responsabilités. La plupart des fournisseurs ne veulent en effet pas endosser la responsabilité d'une faute, quelle qu'elle soit. Certains s'engagent à rembourser leurs clients ou à leur accorder une remise, mais aucun ne propose de compenser le manque à gagner ou les dommages engendrés par une interruption de service ou une erreur lui incombant. Pire encore : d'autres, comme salesforce.com, ne proposent aucun accord de niveau de service, n'offrant ainsi aucun recours à leurs clients en cas de panne ou autre défaillance.

Mais la problématique peut-être la plus épineuse du Cloud Computing reste son manque de cohérence et de transparence en matière de sécurité. En un sens, tous les fournisseurs proposent des mesures de sécurité. Les offres Cloud multilocataires les forcent en effet à garantir un certain niveau de sécurité par le biais de systèmes d'authentification, d'autorisation et de protection de la confidentialité. Le problème est qu'aucune norme de sécurité pour le Cloud Computing ne définit les moyens de mesure, les niveaux et les procédures que les fournisseurs de services Cloud devraient garantir pour sécuriser leurs services Cloud. Les organisations informatiques doivent donc interroger ces fournisseurs et enquêter sur leurs options de sécurité pour déterminer si leurs services pourront répondre aux besoins de protection de leurs applications.

Car cette opacité ne permet pas aux organisations informatiques de s'informer correctement sur les fonctions et procédures de sécurité des fournisseurs de services Cloud, notamment sur les méthodes de chiffrement, les procédures de contrôle des accès et d'audit, ou encore les méthodes de contrôle des antécédents des employés. Si certains fournisseurs de services Cloud dévoilent des aspects de leurs procédures de sécurité, il en faudrait plus pour convaincre les organisations informatiques qu'ils pourront héberger leurs applications stratégiques sur leurs Clouds en toute sécurité. Amazon, par exemple, a publié un document de synthèse sur les procédures de protection de ses services Web (AWS) intitulé « Amazon Web Services: Overview of Security Procedures ». Celui-ci n'aborde toutefois pas les problèmes de type shredding (déchiquetage) des données après la suppression de numéros d'unité logique (LUN) du service Elastic Block Service (EBS) d'AWS, fiabilité du centre de données et fonctionnalités de reprise après sinistre ou encore vitesse de réplication de S3.

La structure multicouches du Cloud renforce encore ce manque de transparence. Plus la couche du Cloud est distante, moins le client a de pouvoir de décision sur l'implémentation. Par exemple, les applications SaaS comme salesforce.com n'offrent aucun choix dans la solution de protection des données ou de la confidentialité, ce pour simplifier au maximum le service. Les clients d'une offre IaaS ont quant à eux souvent le choix de la solution de protection de la confidentialité. Mais cette liberté de choix a un prix. Si les utilisateurs de solutions SaaS n'ont pas à payer ni à gérer le système de protection de leurs données, les clients des offres IaaS doivent quant à eux acheter la solution de sécurité, la mettre en œuvre et la gérer.

En privant les organisations informatiques des garanties de sécurité et de confidentialité qu'elles sont en droit d'attendre pour leurs applications stratégiques, ces contraintes de sécurité et conditions de service sont rapidement devenues des freins à la croissance du marché du Cloud Computing.

Néanmoins, depuis peu, le marché a amorcé un tournant. Les fournisseurs de services Cloud ont réalisé que si leurs offres de services demeuraient inadaptées à l'hébergement d'applications critiques, le marché exploitable se limiterait aux applications non stratégiques et aux PME. Ils ont donc commencé à concevoir des Clouds dits d'« entreprise ».

En contrepartie d'un engagement à plus long terme, de nombreux fournisseurs sont désormais prêts à négocier la disponibilité, les conditions d'ajustement, leurs tarifs, leurs responsabilités, les modalités de résiliation, les conditions de migration et les fenêtres de maintenance.

Les fournisseurs s'efforcent également de renforcer leur offre de sécurité. Pour communiquer à ce sujet et rassurer les clients, beaucoup ont obtenu ou sont sur le point d'obtenir les certifications aux normes ISO (International Organization for Standardization) 27001 et SAS (Statement on Auditing Standards) 70 Type II. Or, s'ils se servent de ces certifications pour convaincre que leurs offres Cloud sont plus sécurisées, les clients y voient surtout des arguments marketing et ne sont pas plus convaincus que ça. Pour y remédier, plusieurs consortiums, comme la European Network Industry Security Association (ENISA) et la Cloud Security Alliance (CSA), ont publié des directives de sécurité des offres Cloud pour donner aux organisations informatiques les moyens de mieux juger les arguments de sécurité et de disponibilité des fournisseurs.

Les fournisseurs d'offres Cloud font également preuve d'une plus grande transparence. Beaucoup fournissent volontiers des informations détaillées sur les conditions d'implémentation de leurs services, notamment les emplacements de leurs centres de données, les procédures de réplication des données, les plans de sauvegarde et de reprise, les topologies d'infrastructure, etc. En fait, la transparence est vue comme un avantage concurrentiel sur le marché du Cloud. Plus un fournisseur est prêt à dévoiler des informations sur l'implémentation de son service, plus les organisations informatiques lui feront confiance pour l'hébergement de leurs applications stratégiques : un critère clé de fidélisation.

Mais la route est encore longue avant que le marché du Cloud Computing puisse proposer de véritables offres Cloud d'entreprise. Les fournisseurs sont encore lents à négocier les conditions générales applicables aux applications stratégiques. Négocier des conditions contractuelles et des accords de niveau de service individualisés avec un fournisseur de services Cloud peut prendre des mois. Et les organisations informatiques n'auront d'autre choix que de s'engager sur du long terme (sous réserve que le fournisseur accepte de négocier). Et tous les fournisseurs ne jouent pas la transparence, loin de là. Certains, comme SoftLayer, divulguent volontiers les détails d'implémentation de leur service (à condition que le client signe un contrat de confidentialité, de type NDA), alors que Google refuse de laisser filtrer une quelconque information quant à son service.

Mais le principal frein au développement des Clouds d'entreprise est peut-être le manque de définition claire et de critères établis pour juger les fournisseurs. Comment une organisation informatique peut-elle savoir si l'offre d'un fournisseur de service Cloud est ou non « de classe d'entreprise » ? Les normes de sécurité en cours d'élaboration seront utiles mais ne vont-elles pas rajouter à la confusion ? Quelle norme les fournisseurs et consommateurs devront-ils suivre pour obtenir les meilleures garanties de sécurité du Cloud ? Tant qu'il n'existera pas de liste officielle des critères à respecter par les Clouds d'entreprise, il sera difficile de juger objectivement de la capacité d'un fournisseur à héberger des applications stratégiques.

Voici quelques recommandations que les organisations informatiques devraient suivre concernant la sécurité et les conditions générales de service en 2011 :

• élaborer un modèle complet d'évaluation de la sécurité : un modèle d'évaluation des risques doit permettre d'évaluer l'importance stratégique d'une application pour l'entreprise et le risque que représente la migration de cette application vers l'environnement Cloud du fournisseur. Par exemple, un plan d'évaluation des risques permet d'établir les conséquences de la perte de l'application en termes de chiffre d'affaires, de productivité des employés, de risque pour la vie humaine ou d'impact sur l'image de la marque. Une telle évaluation des risques porte également sur l'examen des moyens et procédures de sécurité d'un fournisseur en vue de déterminer s'il est judicieux de lui confier l'hébergement de l'application ou des données. Il s'agit, par exemple, d'inspecter les contrôles des antécédents des employés, les vérifications des contrôles d'accès, la résilience des systèmes informatiques et la conformité aux modèles d'évaluation des risques de la CSA ou ENISA.

Pour plus d'informations sur l'élaboration d'une stratégie de sécurité Cloud et d'un modèle d'évaluation, référez-vous au document Gartner « Developing a Cloud Computing Security Strategy ».

• Examiner attentivement les moyens de sécurité du fournisseur : les organisations informatiques ont intérêt à mettre en œuvre un processus de demande d'information portant sur des critères de sécurité les plus détaillés possible pour vérifier que les fournisseurs respectent leurs exigences de sécurité des applications. Elles devraient exiger des fournisseurs qu'ils fassent preuve de transparence et d'anticipation dans une mesure raisonnable concernant leurs mesures de sécurité. Il y aura toujours des mesures de sécurité que les fournisseurs refuseront de divulguer, tout du moins sans contrat de confidentialité signé. Mais globalement, on peut recommander de supprimer de la liste des candidats les fournisseurs qui refusent de répondre aux questions de sécurité basiques concernant la confidentialité des données, leur conformité, les procédures d'audit, les contrôles des antécédents, les emplacements des centres de données, la résilience des systèmes informatiques et les conditions de maintenance des systèmes.

Pour plus d'informations sur les exigences de sécurité des fournisseurs, référez-vous au document qui sera prochainement publié par Gartner, « Determining Criteria for Cloud Security Assessment: It's More than a Checklist ».

• Limiter la prise de risque en concluant un contrat d'entreprise : une fois que l'organisation informatique aura vérifié les moyens de sécurité et levé autant de risques que possible, une relation fiduciaire s'impose entre les parties pour couvrir les risques de sécurité restants. Les termes de cette relation sont définis par les conditions générales du service et les accords de niveau de service. Comme indiqué dans le paragraphe « Considérations de planification » de la section « Un marché volatile, à l'évolution fulgurante », les grandes organisations informatiques ne devraient pas accepter d'accords de niveau de service ou de conditions générales type des fournisseurs de services Cloud. Elles devraient jouer de leur poids pour négocier des conditions plus favorables à la réduction de leurs risques et au partage des responsabilités en cas de perte de données, d'interruption de service, d'évolution des tarifs et de défaut de conformité résultant en une action en justice ou un manque à gagner. Tout risque non couvert par un contrat d'entreprise devra être assumé par l'organisation informatique ou atténué au moyen d'intermédiaires, de type assurances. Pour en savoir plus sur l'atténuation des risques relatifs à la performance et à la disponibilité du Cloud, reportez-vous au guide Gartner intitulé « Managing Availability and Performance Risks in the Cloud: Expect the Unexpected ».

Alors que le marché du Cloud Computing était en plein essor et que les services Cloud commençaient à séduire un nombre grandissant d'organisations informatiques, plusieurs problèmes sont apparus. Premièrement, face au grand nombre de fournisseurs et à la diversité des offres, les organisations informatiques n'ont pas eu l'opportunité d'examiner dans le détail les solutions disponibles. Elles n'ont simplement pas eu le temps ni les ressources nécessaires pour interroger chaque fournisseur et comparer leurs besoins applicatifs aux prestations proposées. Deuxièmement, à peine les organisations informatiques s'étaient-elles laissé séduire par des services Cloud externes que les coûts de gestion et d'intégration grimpaient. Les plus prudentes ont fait appel à plusieurs fournisseurs pour répartir les risques informatiques. Avec cette méthode, une seule panne ne peut pas mettre en péril tout le fonctionnement de l'organisation informatique, et par conséquent de l'entreprise. Toutefois, plus une organisation informatique multiplie les fournisseurs, plus elle doit accorder de temps et d'efforts à la gestion et à l'intégration des offres.

Deux tendances sont justement apparues sur le marché du Cloud Computing en réponse à ces problèmes : les courtiers de services Cloud (CSB) et les Clouds hybrides.

Les premiers constituent des intermédiaires entre les fournisseurs de services Cloud et les consommateurs. Le courtage de services Cloud présente l'intérêt d'associer des services complémentaires aux services Cloud des fournisseurs pour former une solution plus exhaustive, fiable et transparente pour le consommateur. Il est donc essentiel pour les courtiers de s'informer dans le détail sur les fournisseurs de services Cloud et le fonctionnement de chacun de leurs services, puis de bien sélectionner les fonctionnalités complémentaires qui s'y grefferont. Une organisation peut, par exemple, faire appel à un courtier de services Cloud comme enStratus pour s'informer sur des fournisseurs de solutions HIaaS (par ex. Amazon, Terremark et GoGrid), automatiser l'approvisionnement des charges de travail et les répartir entre plusieurs fournisseurs pour améliorer la disponibilité des services informatiques et réduire les risques liés aux pannes. Car les courtiers de services Cloud peuvent également proposer des services de type :

• évaluation de fournisseurs ;
• distribution d'applications ou de services ;
• mise en miroir de données et protection de données ;
• basculement d'applications et reprise après sinistre en urgence, à chaud, entre fournisseurs de services Cloud ;
• agrégation de factures ;
• service client complémentaire ;
• fédération de Clouds.

Les Clouds hybrides sont en réalité deux Clouds, généralement l'un privé (interne) et l'autre public (externe), interconnectés ou imbriqués. Ils sont basés sur des logiciels qui facilitent la migration des applications et données d'un Cloud à l'autre. Par exemple, de nombreuses applications dépendent des systèmes de gestion des identités pour authentifier les utilisateurs ou exploiter des téraoctets de données ou présentent des besoins déterministes en termes de temps de latence des E/S. Ce sont ces dépendances qui compliquent ou empêchent souvent leur migration vers un Cloud externe. Les solutions de Cloud hybride remédient à toutes ces dépendances. Un logiciel de Cloud hybride peut, par exemple, assurer l'accélération d'un WAN et permettre la mise en place de connexions privées virtuelles (VPN) entre des Clouds pour faciliter la migration de gros volumes de données en empruntant une liaison sécurisée.

Les segments du courtage de services Cloud et des Clouds hybrides n'en sont qu'à leurs balbutiements. Les offres des courtiers, à l'instar de celles des fournisseurs de services Cloud, varient grandement en qualité de service et genre. Certains courtiers, à l'image de RightScale, proposent des services de gestion et d'intégration. D'autres, comme CloudSwitch, se sont spécialisés dans la migration de Cloud à Cloud. D'autres encore, tels qu'Appirio, se dédient à une seule couche du Cloud (SaaS par exemple). Pour l'heure, aucun courtier de services Cloud ne présente de portefeuille de services de courtage complet et varié, couvrant toutes les couches du Cloud.

Le marché émergent des logiciels de Cloud hybride est dominé par les fournisseurs de solutions de virtualisation et de gestion des identités. On distingue principalement deux types de Clouds hybrides : ceux basés sur une interface d'accès à des services et ceux basés sur une infrastructure. Le premier type exploite une appliance afin de présenter, sous la forme d'une liste, les services Cloud disponibles aux utilisateurs (par ex. clients de services Cloud). Lorsqu'un utilisateur sélectionne un service, l'appliance le redirige vers un service Cloud interne ou externe selon son identité. C'est notamment le cas de Symplified Single Point Cloud Access Manager, une appliance d'accès à des services Cloud par signature unique (SSO), qui permet ainsi aux organisations informatiques de gérer efficacement les accès au Cloud.

Le second vise à accroître la capacité informatique interne en connectant l'infrastructure de back-end d'un Cloud interne à celle d'un ou de plusieurs Clouds externes. Ainsi, lorsqu'un administrateur veut migrer une application d'un Cloud privé interne vers un Cloud externe (par ex. à l'aide d'une console de Cloud hybride), le logiciel de Cloud hybride chiffre et accélère le réseau pour assurer une migration plus rapide des applications et des données. Les offres Cloud Bridge de Citrix et Hybrid Cloud de VMware sont des logiciels de Cloud hybride basés sur une infrastructure.

Pour en savoir plus sur le courtage de services Cloud et les Clouds hybrides, reportez-vous au guide Gartner intitulé « Managing Availability and Performance Risks in the Cloud: Expect the Unexpected ».

Les segments du courtage de services Cloud et des logiciels de Cloud hybride resteront à l'état de niches tout au long de 2011 ou presque. Si ces produits doivent encore mûrir, ils méritent notre attention car ils pourraient faciliter et encourager l'adoption du Cloud par les clients.

Les organisations informatiques les plus clairvoyantes testeront des logiciels de Cloud hybride pour tenter de relier leurs Clouds interne et externe. Celles qui souhaitent faire appel à plusieurs fournisseurs de services Cloud se tourneront vers les coutiers, notamment pour évaluer et comparer les offres de différents fournisseurs et intégrer des services de Clouds externes. Toutes doivent toutefois garder à l'esprit que la plupart des sociétés de courtage de services Cloud sont de petites entreprises. Le nombre de fournisseurs de service Cloud et d'offres d'intégration qu'elles sont à même d'évaluer reste donc limité.

Les rôles des membres du personnel informatique évoluent pour tenir compte du Cloud Computing. En 2011, ils s'adapteront aux défis et changements opérationnels et de développement informatique introduits par le Cloud Computing. Par exemple, les développeurs devront se former à la création d'applications Cloud à la consommation de ressources avantageuse (car le fournisseur facturera chaque ressource consommée), et dont l'architecture permet d'adapter le niveau de ressources en fonction de la demande. Voici quelques-unes des autres compétences à acquérir :

• La capacité à gérer les fournisseurs : dans un monde dominé par le Cloud, le personnel informatique devra surveiller les accords de niveau de service, négocier les conditions générales, maîtriser les dépenses et gérer les actifs de loin au moyen d'outils fragmentés et inadaptés.
• La capacité à gérer toute la pile d'applications : c'en est fini des attributions individuelles de responsabilité de l'application, du serveur ou du réseau. L'approche du « compte unique » de nombreux fournisseurs oblige le personnel informatique à gérer l'ensemble des services applicatifs et d'infrastructure.

En 2011, les organisations informatiques doivent rechercher et former des personnes qui comprennent le Cloud Computing, mais aussi qui sauront en faire profiter pleinement leur entreprise tout en cherchant à réduire les coûts. Pour préparer leur personnel, les organisations informatiques ont intérêt à :

• Former les membres du personnel informatique à utiliser judicieusement le Cloud Computing : le personnel informatique doit se former à consommer efficacement les services Cloud. Certains services Cloud imposeront peut-être l'arrêt de services devenus obsolètes. Pour d'autres services, il faudra peut-être « nettoyer » des comptes ou des données dans le Cloud pour maintenir les niveaux de dépenses au plus bas.
• Former les développeurs aux procédures Cloud : pour valoriser au mieux les capacités du Cloud, les développeurs devront adopter des procédures permettant d'optimiser l'utilisation des ressources et d'isoler les environnements multilocataires. En effet, les applications qui n'auront pas été développées spécifiquement pour le service Cloud où elles sont exécutées risquent de générer des dépenses supplémentaires ou de faire augmenter les coûts d'exploitation faute d'efficacité.
• Conférer au personnel informatique la latitude et les compétences pour gérer les fournisseurs de services Cloud : le personnel informatique qui surveille les accords de niveau de service doit pouvoir demander des comptes aux fournisseurs. Ainsi, en faisant preuve de vigilance et en exerçant des pressions, ils pourront éviter que des pannes de service informatique se produisent. Les administrateurs informatiques devraient également être formés pour gouverner la relation entre le fournisseur de service Cloud et l'organisation.
• Recruter du personnel ayant l'expérience du Cloud : par leur expertise du Cloud Computing, ils contribueront à former l'organisation et à instiguer l'évolution culturelle interne. De même, l'organisation gagnera à faire appel à des compétences en Grid Computing, en programmation parallèle, ainsi qu'en opérations et optimisation Web.

Le Cloud Computing est un marché à l'expansion incroyablement rapide. Les changements sont quotidiens. Le risque est grand que les organisations informatiques se trouvent vite submergées par cette rapidité d'évolution, le paysage changeant des fournisseurs, les offres proposées, ainsi que leurs propres initiatives Cloud et leurs ambitions en la matière. Les organisations informatiques ont donc intérêt à définir soigneusement leurs priorités en 2011 pour se concentrer sur les aspects les plus prometteurs et stratégiques, de façon à dominer la courbe du Cloud Computing. Voici quelques recommandations de priorités :

• Bâtir une architecture informatique hybride : la conception d'une architecture hybride permet d'atteindre trois objectifs : elle permet de poser les conditions en interne de la consommation des ressources informatiques sous forme de service, de positionner l'organisation informatique comme courtiers des services informatiques internes et externes (limitant les risques informatiques et organisationnels) et de satisfaire la volonté de flexibilité informatique de la direction. Pour bâtir une architecture hybride, les organisations informatiques devront :
• Bâtir un Cloud interne : utilisé pour l'hébergement par défaut des services informatiques stratégiques. Pour faciliter la concrétisation de leur projet de Cloud interne, elles ont intérêt à recourir aux solutions prêtes pour le Cloud des ISV et équipementiers indépendants.
• élaborer une stratégie d'adoption du Cloud : un modèle, qui les aidera à déterminer comment et où héberger leurs applications. Pour ce faire, elles devraient y inclure des modèles de coûts détaillés, le respect des décisions applicatives et des modèles d'évaluation des risques.
• Négocier fermement avec les fournisseurs : les organisations informatiques au budget conséquent ne devraient pas accepter les accords de niveau de service et conditions générales standard des fournisseurs de services Cloud. Elles devraient plutôt négocier les tarifs, les responsabilités, les modalités de résiliation, les conditions de migration et d'assistance, les fenêtres de maintenance, les définitions d'interruption de service et les possibilités d'ajustement. Négocier un contrat d'entreprise prend du temps, parfois des mois, mais cela en vaut la peine pour obtenir les meilleures conditions et vaut mieux que d'exposer l'organisation à des risques inutiles ou des coûts supplémentaires.
• évaluer méticuleusement les fournisseurs de services Cloud : les organisations informatiques ont intérêt à mettre en œuvre un processus strict avec des critères détaillés pour vérifier que les fournisseurs respectent leurs exigences, notamment de sécurité des applications ou de confidentialité des données. En plus des exigences de sécurité, de disponibilité et de performance des applications, elles doivent interroger les fournisseurs sur leur solvabilité, leur viabilité, la résilience de leur infrastructure, leurs plans de reprise après sinistre, les conditions d'assistance, leur chaîne d'approvisionnement, leurs prix et modèles de facturation.
• Former le personnel informatique au Cloud Computing : le Cloud computing est un marché en perpétuelle évolution, difficile à suivre pour les développeurs et les administrateurs informatiques. Il n'est jamais simple de conduire des changements organisationnels, mais les organisations informatiques peuvent perpétuer leur stratégie hybride en l'articulant autour de l'ouverture au Cloud. Pour changer les comportements, elles peuvent désigner un expert du Cloud ou en recruter un. Les organisations informatiques peuvent se préparer à la transition vers le Cloud Computing en formant les développeurs aux procédures Cloud, les techniciens et administrateurs à mieux utiliser le Cloud Computing et à gérer les fournisseurs, puis en recrutant des profils ayant une expérience du Cloud Computing.