Généraliser le mode cloud. La tentation est grande. Y compris d’y inclure les Managed Services. A priori, c’est tout bénéfice: choix, accès immédiat, paiement à l’usage… Mais les engagements ne sont pas les mêmes. Et quand on est habitué au support d’un prestataire de services -qui s’occupe de tout- la déconvenue peut être grande: devoir gérer un environnement devenu hybride, donc plus complexe, associant à des services fournis de l’extérieur ses propres systèmes, ainsi que d’anciennes applications.
Et là reviennent les questions de sécurité, d’intégrité des données et de disponibilité des services. Ce qui nous renvoie au rôle -majeur- d’intégration joué par les prestataires d’externalisation… Une chose est sûre: l’aptitude à conseiller une entreprise sur la conception judicieuse d’un modèle d’exploitation qui fait intervenir de multiples fournisseurs de services devrait inaugurer une ère nouvelle dans le domaine de l’externalisation !
Inutile de nier le caractère révolutionnaire, à plus d’un titre, des services métiers et technologiques fournis en mode cloud. Pour commencer, ce modèle réduit considérablement le prix du «ticket d’entrée». S’agissant du coût de l’infrastructure, l’architecture sur laquelle reposent les produits de tout prestataire digne de ce nom bat en brèche les idées reçues sur le coût du stockage des données, imposant comme une évidence de recourir à un prestataire en ligne plutôt que de gérer son propre centre de données privé. Mais le prix n’est pas tout.
Certains arguments en faveur du cloud reposent sur des hypothèses erronées. Ainsi, le fait de voir à travers ce modèle une sorte de libre-service informatique donne à penser que les offres en la matière n’exigent ni modification ni personnalisation. Pour une petite organisation, ce sera sans doute le cas. Pour une grande entreprise, non, excepté pour des processus élémentaires spécifiques ne requérant qu’un faible degré de coordination.
Si l’on aborde les services de cloud computing comme on le ferait pour tout autre modèle d’externalisation, le verdict tombera vite: la gestion de services fournis n’est pas simple. D’autres expériences d’externalisation ont appris à certains que des cadres de gouvernance, de règles et de conformité doivent être mis en place pour assurer le succès des projets. Que leurs services soient fournis par des prestataires de services de cloud computing ou de services gérés, des départements informatiques internes ou une combinaison de tout ou partie de ceux-ci, les consommateurs ont besoin d’outils efficaces pour acheter des services, les modifier et évaluer leur qualité, leurs performances, leur disponibilité, leur utilisation et leur coût. Il leur faut une solution de gestion des services.
L’idée que le cloud simplifie automatiquement les services est elle aussi trompeuse, même lorsqu’il s’agit de se procurer une puissance informatique brute. Certes, une entreprise a la possibilité d’acquérir de l’espace de stockage et d’exploiter des applications en louant de la capacité sur des serveurs. Mais il faut alors être capable de gérer de multiples prestataires externes. Et le vouloir. Est-ce votre cas ?
Enfin et surtout se pose la question non négligeable de l’intégration des services, appelée à gagner en complexité à mesure que les prestataires se multiplieront. Une intégration pour l’heure absente du modèle d’exploitation de la plupart des prestataires…
Ici, pas de négociation… Ou très peu !
Si, conceptuellement, le cloud computing est une forme d’externalisation, il en diffère par trois caractéristiques: c’est un nouveau modèle technique, un nouveau modèle économique et, enfin, un nouveau modèle juridique.
Ce nouveau modèle juridique se traduit par un renversement de paradigme qu’il est essentiel de bien intégrer pour aborder le mode cloud avec une vision juridique saine. Dans la contractualisation informatique classique, il y a négociation entre l’entreprise cliente et son fournisseur de clauses bien connues. S’agissant des contrats de cloud computing, il n’y a pas de négociation -ou très peu. Ce n’est pas une question de rapport de force, c’est une question de logique. Ce n’est pas par miracle que les prix sont considérablement moins élevés sur les hébergements cloud que dans les modèles externalisés classiques. C’est parce que les services sont conçus pour répondre à des niveaux standards et uniforme -sur une gamme donnée- en termes de sécurité, disponibilité, localisation des data center, réversibilité, etc.
Il faut donc raisonner à l’envers. Pour une application donnée -par exemple la messagerie, un logiciel métier, voire une infrastructure- commençons par dresser la liste des besoins critiques en termes de ce qui est, dans le raisonnement classique, considéré comme un «risque»: sécurité, disponibilité, localisation des données, etc. Ensuite, établir une matrice de conformité entre ces besoins critiques et les offres proposées par le marché.
Si, pour le prix qu’on est prêt à y mettre, il existe un gap entre le besoin et l’offre, ce n’est pas sur le contrat qu’il faut jouer pour corriger ce gap, mais sur l’analyse du risque que l’entreprise est prête -ou non- à assumer. Le rôle du juriste, ici, est loin d’être négligeable: il consiste à assister les opérationnels dans la détermination des enjeux critiques et dans l’élaboration de la matrice de conformité avec les offres du marché.