Aller au contenu principal

Articles de la catégorie ‘Stratégies’

Stratégies – Infrastructure as a Service, Big Data, Objets connectés. Un bouleversement du modèle économique ?

9 août 2014

Arnaud Alcabez

Satya Nadella a donné la trajectoire du futur de Microsoft, au travers d’une série d’annonces et d’interviews savamment distillées dans la presse. La transformation vers le Cloud Computing est le premier cheval de bataille, s’appuyant sur les quatre accélérateurs hérités de son prédécesseur : Office 365 pour la collaboration, Azure pour les services d’infrastructure, OneDrive pour le partage de fichiers et Dynamics pour les applications de gestion d’entreprise.

En Avril, le nouveau patron de Microsoft a complété sa vision et présenté les nouveautés de sa société : SQL Server 2014, le Big Data et l’Internet des objets, avec une préoccupation centrale en tête : imposer une « culture des data pour tout le monde ».

L’édition nord-américaine du Microsoft TechEd, qui s’est déroulée la semaine du 12 mai 2014 a été l’occasion de dévoiler une liste impressionnante de nouveaux services et d’améliorations sur la plateforme Azure pour qu’elle soit alignée sur la double stratégie du groupe : cloud + mobilité.

Cette stratégie est certainement gagnante, au regard des derniers résultats que Microsoft a communiqué à propos de sa division Entreprises qui progresse de 7% à 12,2 milliards de dollars de revenus sur l’avant-dernier trimestre avant sa clôture fiscale à fin juin. En quelques chiffres :

  • En ce qui concerne Office 365, avec 300.000 utilisateurs d’Office 365 attendus en France d’ici fin juin sur le marché PME au lieu des 200.000 initialement prévus, Microsoft est en avance sur ses objectifs. Les ventes progressent actuellement au rythme de 150% à 200% mois par rapport à la même période de l’année précédente. Microsoft explique cette accélération par l’ouverture d’Office 365 en licence Open mi-2013 et par les nombreuses remises partenaires et offres de remboursement clients proposées par Microsoft depuis quelques mois. Office 365 compte désormais au niveau mondial d’une base de 4,4 millions de clients, dont 1 million de nouveaux durant le trimestre.
  • En ce qui concerne Azure, Microsoft annonce une augmentation de ses ventes de 150% par rapport au trimestre précédent.

eco1

Mais Microsoft saura-t-il convaincre son réseau de partenaires ?

Pour rappel, Microsoft a constitué à l’origine son réseau sur un modèle de ventes indirectes, et l’a structuré dès 1992 dans le cadre du programme Microsoft Certified Solution Provider Program. Depuis, les investissements n’ont cessé de croître ; 500 millions de dollars en 2001, 1,7 milliards de dollars en 2004, 5,2 milliards de dollars en 2010.

Ce réseau a pu être constitué grâce à un modèle avantageux de la répartition des revenus des licences générées. Au départ, seules les très grandes entreprises (187 en France) étaient en mesure de contracter directement avec Microsoft, puis d’année en année, Microsoft a progressivement réduit le périmètre, que ce soit par les contrats appelés «Entreprise Agreement » qui aujourd’hui peuvent être signés entre Microsoft et une entreprise utilisatrice à partir de 250 postes, ou plus récemment avec le modèle de vente contrôlé des tablettes Surface ou des Windows Phone.

Résultat, l’éditeur, qui s’attribuait encore 650.000 partenaires dans le monde lors de sa dernière conférence partenaires en juillet 2013, n’en revendique plus que 430.000 actuellement selon le chiffre officiel relevé sur son site « Microsoft by the numbers » (Source : http://bit.ly/1ge7gU4), soit un repli d’un tiers.

Certes, Microsoft a communiqué que cette baisse était liée à une sélection plus rigoureuse des partenaires de son réseau, ce qui revient à dire qu’une partie d’entre eux n’a pas su anticiper les changements du modèle économique de l’éditeur de Redmond.

Nombreuses sont les sociétés partenaires de Microsoft dont le chiffre d’affaires et les marges dépendent encore du négoce (matériel, licences, prestation d’intégration) et la feuille de route de Satya risque malheureusement de leur poser de grandes difficultés financières.

Est-ce que les partenaires trouveront le bon modèle économique avec le nouveau Microsoft ?

eco2Dans le modèle traditionnel du négoce, le processus de la vente est simple. Le client émet une demande, la société de services y répond par une proposition commerciale ou un simple devis, donnant suite à une négociation, puis une signature quand elle réussit. Conclusion : La société de services gagne le contrat, le commercial est rémunéré sur une partie variable calculée sur ses objectifs ou sur le montant du contrat engagé. Cette méthode est utilisée par de nombreuses sociétés, et répond parfaitement aux besoins du modèle on premises ou SaaS.

Mais pas pour le reste….

En effet, l’un des principes des services IaaS est le paiement à l’usage. Ainsi, dans ce modèle, il n’est pas rare qu’au moment de la signature, le client démarre avec une facture à… zéro euro. De ce point de vue, il risque d’être compliqué d’aller convaincre une équipe commerciale engagée sur des objectifs traditionnels du bien fondé d’engager des clients sur une plateforme d’infrastructure dont vos revenus dépendent de ce qu’en fera le client dans le futur.

Pire…

Dans le monde de l’Infrastructure as a Service, il n’est pas rare de faire profiter un client d’une remise dès que possible en surveillant la consommation de ses ressources. Ce qui revient à spontanément appeler ce client pour lui expliquer qu’en jouant avec tel ou tel paramètre, il peut réduire des coûts de 10% ou plus pour le même service délivré. Alors, là, c’est encore plus dingue à imaginer : un commercial négoce appelant son contact pour lui avouer qu’il gagne trop et lui proposant les techniques pour réduire sa facture…

Du jamais vu me direz-vous ? En fait, non. C’est ce que pratiquent votre banquier, votre opérateur de téléphonie mobile et fixe, votre supermarché, et vos autres détaillants en vous permettant de bénéficier de réductions immédiates, moyennant une amélioration de votre engagement. On parle alors de valorisation de la fidélisation et de panier moyen. Une révolution pour une équipe commerciale négoce.

Et Le Big Data ? Là, c’est encore plus disruptif. Imaginez : Démarrer une architecture Big Data peut être un lourd investissement continu pour un client, qui n’a certainement pas les moyens de mettre cet argent sur la table dans l’immédiat, même s’il sait que c’est crucial pour le devenir de son entreprise.

De plus, dans le Big Data, la monétisation n’est absolument pas liée à l’infrastructure, ni à l’intégration, mais dans deux éléments : les formules de calcul et les données. A moins que vous ne soyez propriétaire d’une modélisation de calcul permettant à l’entreprise de gagner des heures ou des mois de travail – n’oubliez pas dans ce cas de déposer vos brevets, oubliez la première source de profits. Comme on le dit, les données, c’est l’or numérique de demain. Or, à moins qu’une entreprise ait des fonds IT abyssaux, comment voulez-vous que la plupart des sociétés puissent financer des volumes de données massifs lorsque la rentabilité de ces données ne sera peut-être atteinte que dans plusieurs années ? Certes, vous pouvez toujours contacter vos partenaires financiers ou la Banque publique d’investissement pour qu’elle aide l’entreprise à financer son infrastructure, mais sans garantie que les montants souhaités soient débloqués.

L’idéal serait alors que le partenaire puisse proposer de prendre à sa charge le montage de l’architecture, moyennant après analyse une participation aux bénéfices tirés par les revenus du champ de données de par son exploitation. Bref, un partenaire devenu beaucoup plus proche de la gestion de capital risque, que tels que nous les connaissons aujourd’hui, et qui serait capable d’apporter à la fois sa compétence technologique, sa connaissance du métier et ses moyens financiers.

Il nous resterait à parler du marché des objets connectés à destination des entreprises, mais il est encore sans doute trop tôt pour mesurer les sources et le potentiel de revenus pour une entreprise de services. Toutefois, il y a fort à penser que le modèle économique sera encore différent de ceux concernant le négoce, l’Infrastructure as a Service et le Big Data.

eco3En conclusion

Bien entendu, il y aura toujours besoin des partenaires négoce et intégration, mais au regard des évolutions informatiques qui attendent les entreprises, leur nombre devrait logiquement se tasser au fil des années. Certes, vous aurez toujours besoin de déployer des logiciels, formater des espaces de données, intégrer un annuaire d’entreprise et déployer un site distant (y compris avec des services IaaS, Big Data ou des plateformes destinées à recevoir des objets connectés), mais le rapport entre l’offre et la demande devrait entraîner une forte pression sur les coûts journaliers pour ces opérations basiques.

Pour celles qui sont innovantes, elles sauront y trouver les relais de croissance pour évoluer et s’impliquer plus fortement dans le développement d’activités chez leurs clients. Mais si vous voulez un avis, le marché des start-ups est LE vrai potentiel de croissance pour un grand nombre de partenaires , car à bien y penser, des entreprises comme WhatsApp, Oculus VR, Waze, Pinterest et les nouvelles entreprises qui exploseront sur le marché d’ici 4 à 5 ans sont sans doute vos meilleurs clients de demain, si vous avez participé à leur développement technologique.

Pour IT Pro Magazine, 2014

Publicités

Stratégies – Les contrats élastiques

9 août 2014

Arnaud Alcabez

Stratégies – Les contrats élastiques

elastique1Au moment où Microsoft annonce par la voie de son PDG1 l’alignement de ses centres de données afin de connecter massivement des objets intelligents en présentant en beta limitée « Azure Intelligent Systems Service » pour s’ouvrir au marché prometteur de l’intelligence ambiante dont nous aurons l’occasion de reparler, il convient de comprendre de la grande difficulté qu’auront les entreprises à s’abonner à ce type d’environnement.

Le problème que les entreprises rencontreront n’est pas tant lié à la technologie, mais aux formalités nécessaires pour modéliser un service basé sur les propositions de consommation « as a service » par les éditeurs du Cloud Computing. Nous allons ensemble essayer de comprendre pourquoi dans cet article.

Le monde de demain dessiné par Satya Nadella, CEO de Microsoft

elastique2

Comprendre les types de location d’instances

Dans le Cloud Computing, au niveau des services d’infrastructure à la demande, les fournisseurs proposent plusieurs modèles de facturation :

  • L’utilisation ponctuelle de ressources (appelée généralement « on demand ») couverte par un niveau de service (ou « Service Level Agreement » en anglais), mais sans engagement contractuel, ce qui veut dire que vous êtes libre de mettre fin à l’utilisation des ressources sans accord de réciprocité,
  • L’utilisation prévisionnelle de ressources, généralement sur un engagement contractuel d’une année ou de trois années,
  • L’utilisation en appel d’offres (ou « BID » en anglais). Ce modèle est proposé par de très rares fournisseurs, mais peut s’avérer fort pratique à l’usage. Pour ceux qui ne sont pas familier avec ce terme, le prix bid (ou BID) est le prix le plus élevé qu’un acheteur (ou le soumissionnaire, autrement dit vous) est prêt à payer pour un bien (http://en.wikipedia.org/wiki/Bid_price). Ainsi, basé sur un système proche des échanges boursiers, le BID est le prix maximum que vous souhaitez payer pour des ressources. Le fournisseur quant à lui calcule dynamiquement un prix de vente « déstocké » des ressources physiques non utilisées sur son centre de données. Si le prix de vente descend en dessous de votre BID, les instances vous seront automatiquement allouées. Si le prix de vente remonte au-dessus de votre BID, les instances vous seront automatiquement reprises dans les secondes qui suivent.

Par exemple, partons du principe que vous avez besoin d’une instance pendant un an pour faire un traitement :

  • Première option : Vous initialisez une instance « ponctuelle ». Bénéfices : pas de contrat, pas d’engagement, si votre traitement se termine plus tôt, stoppez l’instance pour arrêter toute facturation. Le problème : Ce genre de consommation étant imprédictible pour votre fournisseur, l’instance vous sera facturée au tarif horaire le plus fort. Dans notre cas, imaginons que ce soit de 100€ HT de l’heure,
  • Deuxième option : Vous savez estimer à l’avance la puissance de la machine qu’il vous faut. Dans ce cas, réservez-là pour une période maximale donnée. Ainsi, en ayant la maîtrise de la capacité de charge planifiée (ou « Capacity Planning » en anglais), vous aurez alors la possibilité de bénéficier de tarifs négociés. Ceux-ci peuvent s’avérer très avantageux sur le coût de votre traitement selon le scénario, vous permettant d’obtenir des remises pouvant atteindre ou dépasser 40%. Ainsi, pour le même traitement, notre instance à 100€ HT ne nous coûtera plus que 60€ HT de l’heure,
  • L’appel d’offre permet encore d’aller plus loin : Introduisez une option d’achat pour la même ressource que vous désirez à un montant de 10€ HT de l’heure. Dès que le fournisseur atteint cette valeur, vos instances vous seront allouées à ce coût. Bien sûr, vous devez partir du principe de faire une offre réaliste, faute de quoi, les instances ne vous seront jamais allouées, et votre traitement ne sera jamais lancé. Ainsi, la demande d’instances en appel d’offre doit être réalisée en renfort d’un traitement instancié sur des instances ponctuelles ou des instances réservées.

Vous me direz, à quoi cela peut servir ? Si vous n’êtes pas familier avec le Cloud Computing, il est nécessaire de comprendre un autre concept : celui qui fait que vous ne payez que ce que vous consommez : Par exemple, si un traitement dure 4 heures et qu’il est possible de le paralléliser, que vous exécutiez la même instance pendant 4 heures ou que vous exécutiez 4 instances pendant 1 heure, cela vous sera facturé au même prix. Imaginons que pour ce même traitement, vous puissiez l’accélérer en rapidité d’exécution grâce au renfort de petites instances très économiques et facturées que 10% de votre instance par défaut : Non seulement votre traitement sera fini beaucoup plus tôt que prévu, mais en considérant que vous pourrez utiliser ces instances négociées pendant une heure, votre traitement vous sera facturé 100€ HT + 3 x 10€ HT, soit 130€ HT, au lieu de 400€ HT (le coût de 4 instances ponctuelles d’une heure).

Pour les instances réservées, comprendre le temps d’usage moyen sur la période

Ne concernant que la réservation d’instances, un deuxième élément est à prendre en considération : le temps d’utilisation pendant la période contractée (soit d’un an, soit de trois ans). Ainsi, ce paramètre est un élément important de gains sur la facturation. Généralement, le fournisseur vous proposera un modèle adapté en fonction du temps moyen d’utilisation sur l’année :

  • Si vous pensez que vous utiliserez votre instance entre 0 et 30% (le reste du temps, l’instance est arrêtée), le fournisseur vous orientera vers une instance ponctuelle ou une instance BID,
  • Si vous pensez que vous utiliserez votre instance entre 30% et 50% (le reste du temps, l’instance est arrêtée), le fournisseur vous orientera vers une instance réservée, avec un usage léger,
  • Si vous pensez que vous utiliserez votre instance entre 50% et 85% du temps, le fournisseur vous orientera vers une instance réservée, avec un usage moyen,
  • Enfin, si vous pensez que vous utiliserez votre instance entre 85% et 100% du temps (en fait, l’instance est active toute l’année, 24/7/365), le fournisseur vous orientera vers une instance réservée, avec un usage élevé.

Cette compréhension de l’usage moyen (qui n’a rien n’à voir avec la notion de performances ou de puissance de l’instance), est cruciale pour la maîtrise de votre facturation :

  • En cas de surcapacité, les heures supplémentaires vous seront systématiquement facturées au tarif horaire des instances ponctuelles,
  • En cas de sous-capacité, vous payerez votre loyer selon le temps moyen négocié, et les heures non consommées ne pourront être reportées au crédit lors du renouvellement de contrat,
  • Si une baisse tarifaire était appliquée au coût horaire de l’instance, vous ne pourriez en bénéficier sur la base du contrat que vous avez engagé,
  • Vous ne pouvez changer de puissance pendant la durée du contrat. Comprenez que si vous avez besoin de plus de puissance, vous devrez rajouter à votre traitement des instances supplémentaires pour absorber la charge (soit avec une nouvelle réservation, soit sans contrat avec des instances ponctuelles).

elastique3Ainsi, le bon équilibre économique entre ce que vous consommez, ce sur quoi vous vous engagez, et ce qui vous sera facturé est parfois subtil, et demande d’y réfléchir à deux fois avant de s’engager : c’est-à-dire de passer dans un mode contractuel de réservation. Pour éclairer mes propos, voici un petit exemple des bénéfices ou des inconvénients sur un engagement contractuel :

Le tableau « Reserved instance cost savings over on-demand » montre clairement la différence entre chaque modèle (ponctuel, réservation légère, moyenne et élevée). Selon le scénario, le choix que vous ferez peut s’avérer très économique (en vert) ou très cher (en rouge) à la facturation.

D’ailleurs, généralement, un bon fournisseur de Cloud Computing vous suggéra systématiquement de commencer votre architecture sans engagement, avec des instances ponctuelles, pour vous laisser le temps de réfléchir à l’optimisation financière de votre ligne de service.

Internet des objets et contrats élastiques du Cloud Computing : Soyez le patient médiateur entre votre DAF et votre service juridique

Si vous avez tenu bon jusque-là, et que vous n’avez pas eu, à un moment de votre lecture, une envie pressante de passer à l’excellent article de mon confrère de la page suivante, nous allons pouvoir passer à un exemple concret.

Commençons pour changer par présenter le graphique d’une journée type reproductible sur une année entière, en bref, une application que je qualifierai de non complexe :

elastique4Comme vous le savez, de nouveaux objets connectés sont créés tous les jours : Par exemple, depuis le 1er Avril 2014, les tickets restaurant utilisés dans certaines entreprises seront progressivement remplacés par des cartes à puce numérique (http://lentreprise.lexpress.fr/remuneration/ticket-restaurant-numerique-ce-qui-va-changer_42251.html). En bref, en avril 2019, les tickets « papier » ne seront plus valables sur notre territoire et auront disparu.

Voici donc le pic représentatif d’une journée : l’activité maximale étant réalisée dans une fenêtre de temps très réduite, et principalement entre 11h et 15 heures, soit l’heure du déjeuner pour la majorité des salariés.

L’architecture utilise un concept important du Cloud Computing : l’adaptation à la charge : De manière simplifiée, plus on a de charge, plus on ajoute des instances pour l’absorber. Quand la charge diminue, on supprime des instances pour réduire les coûts.

  • Pour des questions de continuité du service et de redondance, j’ai considéré que je devrais laisser au moins deux instances fonctionner en 24/7. Ces deux instances feront partie d’un contrat d’engagement sur la période sur la base d’une réservation à usage élevé (elles fonctionnent entre 85% et 100% du temps maximum du contrat) – en gris dans le schéma,
  • L’activité devient plus importante au cours de la journée. A partir de 6 heures du matin, et jusqu’à 19 heures le soir, je démarre deux autres instances de renfort. Considérant qu’elles ne fonctionnent qu’une partie de la journée, je regarde le temps de non utilisation : au moins 25%. J’en conclus donc que ces deux instances feront partie d’un autre contrat d’engagement sur la même période sur la base d’une réservation à usage moyen – en orange dans le schéma,
  • L’activité devient beaucoup plus intense plus la journée défile. Je démarre encore une autre tranche de deux instances entre 9 heures et 17 heures. Considérant le temps où elles ne sont pas actives, j’en conclus que ces deux nouvelles instances me reviendront au meilleur tarif si je les intègre à un troisième contrat : réservation à usage léger – en rouge dans le schéma
  • Enfin, comme on dit en cuisine, voici venue l’heure du coup de feu. Je vais appel à des instances ponctuelles pour absorber le surplus d’activité. Pourquoi ponctuelles ? Parce que leur usage sur la journée sera inférieur à 6 heures, et me reviendront moins chères que de les prendre en réservation.

Au final, par rapport aux 13 instances que j’aurais dû engager pour absorber la totalité de ma charge, je ne paierai en fin de mois que pour les heures où j’ai besoin de ressources. Si vous regardez maintenant l’espace libre de mon graphe où je ne paierai rien, car je ne consomme pas, j’aurais allégé ma facture globale de presque…. 80%.

Allez, avec des chiffres c’est mieux : En ne jouant pas avec les contrats d’engagement, imaginez que mon architecture me revienne à 25.000€/an. En jouant avec les contrats, et en optimisant financièrement la consommation de mon environnement, la même solution ne me coûtera plus que 5.000€/an. Une sacrée différence, non ?

Le contrat élastique (les contrats) – Un passage obligé vers le monde de l’Internet des objets et du Big Data

Le modèle informatique (non transactionnel) duquel nous venons ne nous a pas préparé à considérer le contrat comme un élément fondamental pouvant influer sur l’architecture et le design de l’application. Toutefois, celui de demain, composé d’applications tirant parti de l’analyse massive de données ou de l’échange numérique d’objets de formes et de fonction diverses, risque de bouleverser vos fondamentaux, et faire de vous un architecte devant prendre en compte des nouveaux facteurs structurants, tels que la dimension économique et contractuelle de votre application.

Vous vous ferez alors un nouvel ami : votre directeur administratif et financier. En espérant qu’il vous aidera lorsque vous devrez aller expliquer votre modèle contractuel à la direction juridique de votre entreprise, qui certainement, sera beaucoup moins élastique que vous.

1 Annonce de Microsoft sur le support des objets intelligents dans Windows Azure : http://blogs.technet.com/b/microsoft_blog/archive/2014/04/15/a-data-culture-for-everyone.aspx

Pour IT Pro Magazine, 2014

Stratégies – Savoir proposer et défendre le modèle hybride dans votre organisation

9 août 2014

Arnaud Alcabez

Frankenstein- Boris Karloff, Universal, Wikimedia commons, domaine public

Frankenstein- Boris Karloff, Universal, Wikimedia commons, domaine public

On parle souvent du Cloud Computing comme une technologie disruptive au sens où elle change complètement notre façon de concevoir une architecture pour la restitution d’un service, et cela est vrai tant qu’on se concentre sur des concepts tels que la disponibilité, le paiement à l’usage, la réservation de ressources ou la montée ou descente en charge pour s’adapter à la demande.

 

Ce point de vue concerne les architectes, mais pas les autres corps de métiers des équipes IT. En effet, les équipes de support et d’administration ont souvent des outils de gestion du système d’information qu’ils maîtrisent parfaitement, et en ce qui les concernent, s’ils ne sont pas contre le Cloud Computing, leur imposer un changement d’outils, ou pire, un système de double commande peut s’avérer à la fois très difficile, mais aussi contre-productif : Là où des économies de coûts sont recherchées en basculant des processus et des ressources sur le Cloud Computing, le coût des opérations pourrait subir une inflation conséquente (nouveaux outils, nouvelles procédures, demandes de formation, difficulté à interfacer les opérations on premises et on line).

De cette raison, s’il existe aujourd’hui de nombreux fournisseurs de « solutions Cloud », où techniquement le mot Cloud se comprend uniquement comme un synonyme commercial et vendeur du mot « Internet », souvent l’adjectif n’est utilisé que pour être dans la tendance de l’informatique dans les nuages, et tenter de vous vendre leur service. Bien sûr, chacun de ces éditeurs vous parlera de sa capacité individuelle à s’intégrer à votre système d’information, telle qu’ils l’imaginent, mais sans véritablement comprendre qu’il n’est qu’une des nombreuses composantes d’un écosystème complexe : votre système d’information. En les écoutant, et en adoptant leurs produits, vous arriverez certainement à un résultat prévisible : un système d’information qui ressemble à un plat de spaghettis.

Les caractéristiques d’une architecture d’infrastructure hybride

Prenons une organisation standard qui a basé son système d’information sur les technologies Microsoft. Qu’utilise-t-elle pour le gérer ?

  • Un annuaire Active Directory unifié pour l’authentification, l’identité et les accès de ses utilisateurs, et qui lorsqu’il a besoin d’être exploitable depuis l’extérieur est exposé sous la forme d’un service ADFS (Active Directory Federation Services)
  • Une console d’administration unifiée permettant d’exécuter des commandes ou des groupes de commandes sans avoir à utiliser les interfaces dédiées : PowerShell
  • Un outil de supervision des services et des applications unifié: Microsoft System Center Operations Manager

Ceci est vrai pour tous les composants « As-a-service », qu’ils soient de type plateforme, infrastructure, software ou tout ce que le marketing peut nous inventer comme nouvelle déclinaison : DaaS, MaaS, CaaS, XaaS… Bref, ne manque plus que le LOL-as-a-Service pour être complet.

Pour les services d’infrastructure, il faut rajouter trois autres éléments nécessaires à une bonne intégration :

  • La capacité de pouvoir connecter un réseau privé, tel un VPN ou une liaison fibre avec le fournisseur, et ce, quel que soit votre environnement, y compris le plus simple avec juste un Windows Server monté en VPN
  • La capacité de pouvoir déplacer vos machines virtuelles à froid ou à chaud (live migration) vers le fournisseur
  • La capacité de pouvoir déplacer vos licences vers des environnements du fournisseur. Pour ce faire, ce dernier doit avoir souscrit avec Microsoft à un programme de licences particulier appelé SPLA – Service Provider License Agreement (http://bit.ly/1dmw776)

L’une des meilleures stratégies consiste à rester avec un fournisseur qui comprend le mieux vos contraintes d’exploitation dans les environnements Microsoft : Microsoft. Ainsi, Windows Azure remplit toutes les conditions que j’ai pu évoquer plus haut (à l’exception de live migration qui, au moment où j’écris ces lignes n’est pas possible entre Hyper-V et Azure).

Microsoft est-il le seul à défendre les infrastructures hybrides ?

Mais peut-être lors de votre recherche de fournisseurs, voudrez-vous évaluer d’autres solutions avant de faire votre choix ? Vous pourrez déjà malheureusement rayer Google Cloud Engine de la liste des prétendants. En effet, ce dernier n’a pas souhaité pour le moment ouvrir une passerelle avec le monde Microsoft et acquérir une licence SPLA. Donc, avec eux, impossible de déployer un serveur Windows Server, et encore moins de s’intégrer à votre environnement.

Toutefois, de nombreux fournisseurs ont fait des efforts dans l’hybridation des services qu’ils offrent avec l’intégration des environnements Microsoft. Prenons par exemple le cas d’Amazon Web Services : on trouve l’ensemble des composants :

  • Le support d’ADFS, permettant à vos administrateurs de gérer les environnements en utilisant leur identité Active Directory (http://bit.ly/18zRJEW)
  • Le support de PowerShell (voir figure 2), de manière à manipuler vos environnements directement depuis une ligne de commande ou un script (http://amzn.to/1gejEll)
  • L’intégration avec System Center Operations Manager (voir figure 1), au travers de la fourniture du management pack, vous permettant de surveiller vos VM chez le fournisseur de la même manière que vos instances on premises (http://amzn.to/1m0qb3e)
  • La capacité de tirer un lien fibre entre votre environnement et le fournisseur (http://amzn.to/1m0qfQJ) ou d’utiliser un VPN tiers ou voir même à partir d’un simple serveur Windows (http://amzn.to/1nPGBjH)
  • La possibilité d’importer ou d’exporter vos machines virtuelles vers ou depuis l’environnement du fournisseur à froid (http://amzn.to/1eAuuRg), à chaud pour un environnement VMware (http://bit.ly/1hT80K4) ou en live migration ou plan de recouvrement avec un outil tiers comme CA ArcServe r16 High Availability Failover to Cloud (http://bit.ly/1ddKtX6)
  • La possibilité d’utiliser vos licences (ou BYOL – Bring Your Own License) sur l’environnement (http://amzn.to/1rgpeYF) au travers de l’accord Microsoft License Mobility (éligible si vous êtes sur des contrats de licences en volume – Microsoft Volume Licence – et avec la Software Assurance) ou d’utiliser des licences payées à la consommation (à l’heure entamée) avec le programme Service Provider License Agreement.

En résumé

Le cloud hybride est un mode de fourniture des services cloud qui s’appuie sur des ressources mixtes : celles d’un cloud public, celles d’un cloud privé managé, celles d’un cloud privé interne, voire celles d’une partie de l’IT interne. Le mode de sourcing des services publiés dans le catalogue de services se fait en fonction du meilleur rapport prix/valeur/délai. Le débordement de charge (ou cloud bursting) d’un cloud privé vers un cloud public est un exemple de mise en œuvre d’un cloud hybride. Le succès d’un cloud hybride repose sur les outils de gouvernance et de pilotage des ressources hybrides, de façon à apporter à l’utilisateur un service cloud transparent qui respecte les engagements attendus.

Pour les directions financières, le modèle hybride est difficile à défendre : D’un côté, vous leur expliquez que le Cloud Computing peut être une source d’économie substantielle sur le coût de fonctionnement du système d’information, et de l’autre, vous tentez de leur faire comprendre que vous devez continuer à exploiter les infrastructures avec vos outils traditionnels afin d’éviter de voir vos coûts opérationnels monter en flèche et que le modèle de l’informatique en nuage ne soit trop disruptif par rapport à vos équipes de production et de support.

Ainsi, quand on parle d’hybridation, ce n’est pas tant les services physiques qui sont concernés, mais plutôt la préservation de l’outillage et de votre modèle de gouvernance, afin que si votre infrastructure se transforme au fil du temps vers une infrastructure dite « as a service », votre transformation n’ait pas d’impact sur le service rendu à l’utilisateur.

Votre entreprise n’est toujours pas favorable au Cloud Computing ? Ne vous inquiétez pas, ce n’est pas grave, du moins, tant que votre souhait n’est pas d’aller travailler pour des organisations un peu plus innovantes avec lesquelles vous pourrez acquérir ces nouvelles compétences qui vous serviront demain. Toutefois, en tant qu’acteur du système d’information, et surtout si vos outils internes sont en fin de vie, faites lui faire les bons choix technologiques tels qu’ADFS, SCOM et PowerShell qui lui permettront dans le futur de pouvoir accueillir et d’intégrer des technologies as a service sans trop de difficultés.

Pour IT Pro Magazine, 2014

Interview TechDays 2014

9 août 2014

Arnaud Alcabez

1/ Quelle évolution de la perception du Cloud dans les entreprises ? Toi qui es au contact des clients au quotidien, quel est ton avis ? Evolution au niveau des enjeux & risques ?

La question n’est pas « si » mais plutôt « quand », du moins si vous n’avez pas encore commencé. Le processus d’intégration du Cloud Computing dans leur système d’information leur parait inéluctable. Ils sont persuadés que les fournisseurs vont proposer sur le marché de plus en plus d’objets connectés et qu’à un moment, les DSI se devront de les intégrer dans leur environnement informatique.

Certains de nos clients ont déjà commencé leur migration. D’autres, plus réservés, ne se sentent pas prêts, considérant qu’ils n’ont pas encore été totalement rassurés par leurs fournisseurs et les autres acteurs du marché.

En ce qui concerne la législation, les clients pensent que celle-ci s’adaptera aux nouvelles conditions économiques, car ces conditions dépassent de loin le marché français, et que le gouvernement ne souhaitera pas que notre pays devienne pour nos générations futures une sorte de Corée du Nord du numérique. Bien sûr, le législateur sera se montrer prudent afin de protéger les consommateurs, notamment dans le respect de la vie privée de nos concitoyens et l’accessibilité à leurs données.

En tout état de cause, le monde industriel du numérique distribue des nouveaux produits et services sur un cycle relativement court (environ 3 ans) alors que le cycle législatif fonctionne quant à lui sur un cycle beaucoup plus long. Ce n’est donc pas en termes de régulation qu’il faut penser, à moins de vouloir bloquer totalement sa stratégie du numérique.

Je prends un exemple. Dès 2011, plusieurs articles ont mis en lumière des conducteurs qui selon leurs dires n’arrivaient plus à désactiver leurs régulateurs de vitesse. Considérant ces dispositifs comme des ancêtres lointains des voitures intelligentes de demain, le législateur aurait pu ouvrir un débat quant à la place de plus en plus grandes des objets remplaçant les êtres humains et commencer à travailler sur un projet de loi. 2 ans après, rien de concret, alors que les objets intelligents arrivent dans nos foyers.

Pourquoi considèrent-ils le Cloud Computing comme inéluctable ? Parce que ce concept est la suite logique des travaux qu’ils ont largement déjà entamé (entreprises privées comme service public) : La dématérialisation et la mutualisation, pour de multiples raisons telles la rationalisation des investissements, le gain de temps pour les traitements ou les besoins de conservation des documents.

La mondialisation des marchés et les besoins de compétitivité industrielle demandent aux entreprises qu’elles soient réactives et qu’elles puissent se réorganiser rapidement dans un espace client sans limite : Un outil de production dans un pays où la main d’œuvre est peu chère, une gestion financière de leurs actifs dans un pays offrant des conditions attractives, et des clients potentiels dans des pays en forte croissance.

Ainsi le Cloud Computing passionne aujourd’hui toutes les strates de l’entreprise : La direction générale, la production, les ventes.
2/ Quelle architecture Cloud pour quels besoins ? Questions à se poser ? Choix ? Etapes ?

Les besoins que nous traitons par le Cloud Computing le plus souvent tournent sur cinq domaines : les serveurs de fichiers à capacité infinie, les applications mobiles le web social dont les pics de charge sont difficilement prédictibles, les plans de reprise et de disponibilité et d’archivage, les sociétés visant un développement à l’international, et enfin le big data.

Pour les risques, ils viennent la plupart du temps du management de l’entreprise :

  • Certaines DSI ne sont pas prêtes pour gérer des projets de Cloud Computing
  • L’approche Cloud Computing diffère d’un projet classique au sens où il n’est pas simple de passer d’une infrastructure d’investissement et d’exploitation à une infrastructure payée à l’usage
  • Enfin, souvent les périmètres sont flous, les projets trop ambitieux ou mal présentés aux métiers ou aux autres directions opérationnelles ou générales

Généralement, on commence par avoir une vision claire de son parc informatique côté serveurs, puis de regrouper ces environnements en ligne de services (ou blocs). Cela permet mettre en lumière les adhérences entre les blocs, de définir des trajectoires cohérences avec les objectifs (SaaS, IaaS, hybride, interne), puis de clarifier le chemin de migration en identifiant les projets porteurs : C’est-à-dire, ceux qui présentent aux utilisateurs de la simplification dans leurs tâches quotidiennes.

Il ne faut pas hésiter à revoir les fondamentaux afin de mieux profiter des richesses qu’offre cette nouvelle forme informatique : rationaliser les socles techniques (ou systèmes), concevoir des packages applicatifs, automatiser les déploiements et les intégrations de serveurs. Penser également au massivement parallèle et au rapport entre traitement et coûts : Ainsi, utiliser une machine pendant 1 jour pour un traitement revient au même prix que d’utiliser 4 machines pendant 6 heures. Dans le premier cas, vous obtenez votre résultat dans 24 heures, dans l’autre dans 6 heures… pour le même coût.

Pour démarrer, pensez d’abord aux projets concrets : archivage et nouvelles applications peuvent vous permettre de mettre un pied dans le Cloud Computing de manière assez sereine.

Ne sous-estimez pas certains éléments qui seront forcément à revoir avec le projet :

  • La sécurité et plus particulièrement l’authentification multi facteurs
  • Le support technique
  • Le delivery en self-service
  • Les aspects économiques et juridiques du service

Enfin, un projet Cloud se traite en plusieurs fois : L’initialisation et l’intégration vous permettra de faire un gain économique substantiel sur le coût de production, mais pensez à viser dès le départ la deuxième réduction d’échelle. Elle se traite généralement en deux tâches parallèles :

  • L’optimisation de la consommation Telco, via une société spécialisée dans la négociation des coûts
  • L’optimisation de la consommation IT, via des possibilités de provisionning de charges et d’allocation de machines lorsque le coût de l’offre de la VM par l’opérateur descend en dessous du prix que vous aviez fixé par enchère (on appelle ce mécanisme le « spooting » par exemple chez Amazon Web Services)

Un projet Cloud réussi mettra votre entreprise dans de bonnes conditions pour démarrer son processus de transition vers cette forme informatique agile. Ce n’est pas une option, c’est une obligation de réussite.
3/ Cette année les TechDays sont orientés Transformation & Innovation numérique. Le numérique est désormais au cœur du business ? Qu’est ce qui est en train de changer au sein des entreprises ?

C’est une bonne question : C’est un fait et un point important. Le numérique est au cœur du business. Certaines entreprises prennent le bon chemin, d’autres sont malheureusement mal éclairées par certains de leurs collaborateurs proches qui souhaitent réguler l’information, la contrôler. Ils sont dans le faux et entraînent l’entreprise sur un chemin dangereux.

En effet, laisser des informations à l’insu de notre plein gré, qu’un tiers y ait accès, fait partie de notre quotidien. Je veux dire que c’est un débat qui se fait depuis que l’état civil existe. Ce qui a changé, c’est le volume de données que nous laissons comme des traces de notre passé. Ces individus qui souhaitent contrôler et réguler l’information sont des paranoïaques. Plus ils contrôlent, plus ils ont l’impression que quelque chose leur échappe. Nous sommes peut-être espionnés. Et alors ? Construire des barrières, on connaît : Le mur de Berlin, la DMZ entre la Corée du nord et du sud de 4km. Or, le réel problème n’est pas de savoir si quelqu’un lit ou ne lit pas nos informations, mais le risque est qu’on puisse les déformer, c’est-à-dire pratiquer de la désinformation en réinsérant sur le réseau de l’information erronée ou falsifiée. C’est de ce dernier point que l’entreprise devrait se méfier.

Souvenez-vous de l’affaire ClearStream.

En conclusion, l’entreprise adapte des technologies numériques en en faisant, elle laisse de plus en plus de traces numériques. Elle doit encore apprendre à protéger son système, non pas dans l’exfiltration de données, mais dans le fait de s’assurer que ses données ne puissent être modifiées ou réinsérées frauduleusement dans son système informatique, dans la perspective de lui nuire.

C’est en ce sens que l’entreprise doit changer.

Pour IT Pro Magazine, 2014

Stratégies – La ruée vers l’or…numérique

21 avril 2014

Arnaud Alcabez

Ça bouge côté IaaS. Google, la société bien connue pour garder des produits en béta le plus longtemps possible vient d’annoncer que son offre d’infrastructure en tant que service (IaaS) quittait la phase beta. Lancée en version Limited Preview en juin 2012, Google Compute Engine (GCE) est entré en phase de disponibilité générale (GA). Pour le moment, cette offre, disponible en Europe sur deux centres de donnés, propose le support de Debian, CentOS, SuSe, Red Hat Enterprise Linux et FreeBSD. Ainsi, Google Compute Engine, dont les concurrents sont Windows Azure Virtual Machine chez Microsoft et Elastic Compute Cloud ou EC2 chez Amazon, complète l’offre Google Cloud Platform dont les services sont détaillés ici : https://cloud.google.com/products/. Google met en avant certaines entreprises qui utilisent déjà GCE, comme l’éditeur Red Hat, l’application de partage de photos Snapchat ou le service d’agenda Evite.

Si les offres IaaS sont moins populaires que celles concernant le SaaS (Software as a Service) à partir du moment où elles ne s’adressent pas aux utilisateurs finaux, elles sont néanmoins stratégiques quant au développement des nouveaux services logiciels à venir. Jusqu’à l’annonce faite par la société Google, le Gartner avait publié en Août 2013 un quadrant magique (http://gtnr.it/1hdGKqz) sur le positionnement des acteurs de ce segment :

or1

Il faut toutefois modérer l’arrivée de Google dans la fourniture de service de type « Compute » par rapport aux deux leaders Microsoft et Amazon. En effet, n’ayant pas d’accord de licences avec Microsoft, le support des systèmes d’exploitation et des logiciels de l’éditeur de Redmond sur la plateforme GCE n’est pas disponible, et au regard de leur relation tendues, il y a peu de chances que cela puisse se faire dans un avenir proche. D’un autre côté, je pense que ce n’est à priori qu’une question de temps, car il parait compliqué que le support des systèmes d’exploitation et des applications de Microsoft au travers des accords de Software Assurance et de licences sur des environnements virtuels (http://www.microsoft.com/licensing/about-licensing/virtualization.aspx) ne puissent  pas être possibles sur GCE sans que ce soit considéré comme une pratique anti-concurrentielle de la part de l’éditeur de Redmond.

Les autres fournisseurs de plateformes IaaS auront bien du mal à exister, sauf de s’orienter vers des services à valeur ajoutée, vu les investissements que les sociétés Amazon, Google et Microsoft consentent sur leurs infrastructures. En effet, selon le Gartner, et depuis 2005, Google aurait investi 20,9 milliards de dollars dans son infrastructure, Microsoft 18 milliards, et Amazon 12 milliards, comme le montre le schéma ci-dessous :

or2

Pour autant, est-il raisonnable de comparer les infrastructures des trois sociétés ? En effet, si le cœur de métier de Microsoft est lié à son activité de licences de logiciels informatiques, Google tire principalement ses revenus de la vente de mots-clés sur son moteur de recherche, pendant qu’Amazon profite de son activité de portail de commerce électronique et de logistique.

Comme le montre le graphique ci-joint, la stratégie d’Amazon, dont l’un des mantras est « It’s still Day 1 at Amazon* »  peut paraitre déroutante au premier abord : +220% en trois ans, sans bénéfice.

* C’est toujours le premier jour chez Amazon

or3

Mais en fait, elle est sans pitié : Amazon investit massivement depuis plusieurs années à la fois pour assumer ses ventes en augmentation – entrepôts, main-d’œuvre, expansion en Asie – et pour se diversifier – liseuses, production audiovisuelle, Cloud Computing », moyen de paiement. Partout où il s’installe, le géant de la vente en ligne veut briser les reins de la concurrence en vendant quasiment à prix coûtant, puis à racheter ce qu’il en reste.

Comment Amazon compte-t-il un jour rentabiliser ses investissements ? La réponse est peut-être à chercher dans cette interview du New York Times (http://nyti.ms/1djru8D) : « Une fois qu’Amazon aura avalé toute la concurrence et se sera attaché les faveurs des clients grâce à sa générosité apparente, Je ne pourrai plus me rendre compte que les prix augmentent car je n’aurai plus aucun élément de comparaison ».

En septembre 2013, Microsoft a mis en ligne un document intitulé « Microsoft IT Showcase – Business Case Study – Implementing Hybrid Cloud at Microsoft ». On y apprend que Microsoft utilise aujourd’hui plus de 1.100 applications, et que si 90 à 95% des applications pourraient être migrées vers un cloud IaaS privé ou public, environ 5% à 10% des applications nécessitent d’être restructurées afin d’être migrées vers un environnement PaaS.

Toutefois, la figure 5 du document donne un éclairage sur la stratégie de Microsoft et dans son adoption de la plateforme Windows Azure comme environnement de destination, ce qui aura pour effet soit de vous rassurer, soit de vous inquiéter.

or4

L’élément peut être le plus intéressant de ce graphique est la courbe représentée par ce que l’éditeur qualifie de « Cloud privé », avec une régression soutenue à partir de 2016 (je vous rappelle que les fiscales chez Microsoft commencent et se terminent en Juillet).

L’éditeur s’en explique dans le document : « Microsoft IT est convaincu que grâce à un effort concentré de toute l’organisation qui embrasse pleinement la technologie du Cloud Computing, cette dernière peut accélérer le modèle d’adoption de telle sorte que le point d’inflexion entre cloud privé et public se fera en 2016 plutôt que 2020, qui est la trajectoire actuelle. En accélérant le modèle d’adoption, celui-ci permettra de réduire le besoin de matériel supplémentaire comme prévu pour le moment. Microsoft IT continuera à examiner les impacts financiers dès que les technologies du Cloud Computing émergeront progressivement, afin d’avoir l’opportunité d’accroître le périmètre de notre migration ».

Vous pouvez retrouver ce document ainsi que d’autres références sur le portail http://technet.microsoft.com/en-us/library/gg521165.aspx

Ainsi, Google, Amazon et Microsoft convergent vers une même stratégie autour du Cloud public, même si chacun introduit les services en fonction de ses propres besoins internes. C’est le cas d’un service comme WAAD (Windows Azure Active Directory) http://www.windowsazure.com/fr-fr/services/active-directory/ qui diffère fondamentalement des services équivalents sur les autres plateformes IaaS, comme Amazon IAM (Identity and Access Management) http://aws.amazon.com/fr/iam/ ou Google, qui préfère s’appuyer sur son écosystème http://bit.ly/1fAKDFq.

Il est difficile dès à présent d’imaginer dans quel tiercé gagnant les trois éditeurs termineront cette décennie de déploiement et de montée en charge de leurs plateformes IaaS, même si on peut tout à fait présager que les écarts se réduiront avec le temps et qu’Amazon ne sera plus longtemps seul dans sa position sur le quadrant du Gartner.

Pourquoi cette course effrénée vers le IaaS ? A vrai dire, ce n’est certainement pas pour les quelques millions d’unités que représentent vos infrastructures actuelles que les éditeurs brûlent leur argent à coup de milliards de dollars et mettent en place ces infrastructures coûteuses, mais pour le fantastique eldorado des objets qui composeront l’économie et la société connectées de demain.

A l’heure actuelle, le moteur de recherche Shodan (http://www.shodanhq.com/), spécialisé dans la recherche d’objets connectés à travers le monde, en répertorie près d’1,5 milliards. Alors que pour l’Idate, 15 milliards 7 de « choses » sont connectées à Internet actuellement, contre 4 milliards en 2010 ; le cabinet d’études français estime que 80 milliards le seront en 2020, contre 212 milliards pour l’entreprise américaine IDC, alors que le Berg Insight d’un côté, l’IMS Research et le cabinet Gartner de l’autre, tablent, respectivement, sur 50 et 30 milliards d’objets connectés à cette date.

Une étude de Cisco de 2013 prévoit qu’en 2020 les objets connectés constitueront un marché potentiel de 14 400 Md$, ou 6 460 milliards pour l’IDC, alors que le cabinet de recherche Gartner la même année prévoit 1 900 Md$ au même horizon. Pour le cabinet ABI Research, le marché mondial des objets connectés mobiles va exploser auprès du grand public et connaître une croissance de 41 % par an en moyenne. Le seul marché des objets M2M devrait, selon ce que prévoit le cabinet Machina Research, peser 714 Md€ en 2020 (+ 685% par rapport à 2010). Selon l’étude prospective de l’Idate, c’est le marché du M2M qui devrait connaître le plus fort développement dans la prochaine décennie, avec une croissance annuelle de 15 %.

Derrière ces batailles de chiffres qui varient du simple au triple, et des terminologies telles que Web 3.0, Internet des objets (ITo – Internet of Things), SmartCities, ou Industrie 4.0 en Allemagne, les marchés sont à la dimension des investissements consentis par les poids lourds du secteur.

A ceux qui penseraient que le Cloud Computing n’est qu’une offre d’hébergement comme les autres, ils font juste une petite erreur d’échelle.

Publié dans IT Pro Magazine, Janvier 2014

Stratégies – Savoir mesurer les enjeux et les risques du Cloud Computing pour votre direction générale

21 avril 2014

Arnaud Alcabez

Depuis quelques années, je m’occupe d’accompagner les entreprises à mettre en œuvre les services issus du Cloud Computing, et force est de constater que ce domaine ne cesse de me surprendre. Par exemple, dans le dernier numéro, sur un ton humoristique, j’ai évoqué avec vous les problèmes des entreprises à tenter de contrôler la production par les utilisateurs de fichiers de plus en plus nombreux.

Ce que j’oublie souvent de préciser, c’est que mes articles sont la plupart du temps inspirés par les sujets que me confient les entreprises afin d’y apporter un éclairage. C’est ainsi que l’article sur l’infobésité du mois dernier fait suite à un retour d’expérience :

Une entreprise a fait appel à mes services pour comprendre pourquoi l’activité de leurs baies de stockage semblait depuis quelques temps en baisse d’activité ?

Après analyse des journaux et des manifestes de sauvegardes, il s’est avéré que leur ressenti était tout à fait légitime : Une baisse d’activité d’environ 54% a été constatée sur l’utilisation des serveurs de fichiers traditionnels.

Quelques interviews plus tard, cette désertification a pu être reliée à l’utilisation croissante de services de stockage en ligne par les utilisateurs, comme Dropbox, Box, iCloud et autres SkyDrive. Majoritairement favorisée par l’explosion de l’usage de terminaux mobiles professionnels et privés, et ce, à tous les niveaux de l’organisation, nous avons pu mesurer par extrapolation que cela représentait un manque d’environ 1 To de données, vaporisées sur le Cloud Computing, en divers endroits. Une dimension telle qu’il n’est plus désormais plus possible de couper l’accès aux fichiers des utilisateurs.

dg1
Représentation d’une salle informatique d’entreprise en 2020

 

Autre lieu, autre exemple : Une société multinationale commercialise des services collaboratifs sous une forme de « Software as a Service ». Elle vend directement son service aux utilisateurs, mais sa direction générale accepte également de la commercialiser en marque blanche. Un client, ayant contracté le service en marque blanche, et déçu par le support technique du revendeur décide de mettre fin au contrat et de migrer son service vers celui de la société multinationale, perçu plus fiable. Toutefois, lors de la migration des données, les taux de transferts entre les deux entités s’avèrent catastrophiques sans explication…

Les équipes techniques locales des deux organisations cherchent l’origine du problème, sans arriver à mettre le doigt dessus. Après quelques escalades, la réponse tombe comme un couperet : L’accord politique international entre l’éditeur et le revendeur s’est traduit par une réduction volontaire du trafic entre la plateforme du revendeur et celle de l’éditeur afin de rendre presque physiquement impossible le transfert et la récupération d’un client signé par le revendeur, et ce, sans en informer les équipes locales.

Mea culpa de l’éditeur, qui généreux, offre un an de plus d’abonnement chez le revendeur à cause de la date désormais très proche de la répudiation de son contrat, et ce afin que le client ne supporte pas les coûts d’un double abonnement pendant sa période de transition. Donc, fin du problème « technique » me direz-vous…

Oui, mais début des problèmes de fiscalité. En effet, comme toutes ces entreprises pratiquent l’optimisation fiscale appelée communément « le sandwich hollandais », le reversement entre entités se retrouve bloqué. Conclusion, le client est obligé d’avancer les fonds promis afin de ne pas voir sa messagerie brutalement coupée chez le revendeur d’un jour à l’autre.

Certes, j’avoue que majoritairement, l’adoption du Cloud Computing se déroulera sans encombre et que la plupart des entreprises s’avèrera convaincu du rapport entre le coût du service et sa qualité. Cela dit, certaines histoires peuvent rapidement devenir diablement compliquées, voir même finalement dangereuses au point que votre nuage se transforme en celui ci-dessous.

dg2

Le Cloud quand ça ne marche pas – Prise de vue depuis la direction générale

 

En effet, une mauvaise négociation ou l’absence d’expérience dans ce domaine peuvent vous faire perdre deux ou trois ans avant que vous ne puissiez représenter à la Direction Générale un projet de ce genre, au risque d’accumuler un certain retard sur vos compétiteurs qui n’auront peut-être pas fait les mêmes erreurs et abordé ce sujet avec la même légèreté…

Après tout, on peut toujours dire que ça n’arrive qu’aux autres…

Mes premières années d’obédience technique m’ont tout d’abord convaincu que la sécurité informatique n’était qu’une affaire de technologies, comme les certificats SSL ou de ports TCP/IP à ouvrir ou à fermer, avant que je ne réalise que je courrais derrière une licorne ou à vouloir toucher l’horizon.

Puis, au travers des outils de messagerie et en abordant la chaîne de valeur collaborative dans l’entreprise, j’ai réévalué mon approche, réalisant que la sécurité, c’était avant tout la responsabilité des utilisateurs vis-à-vis de l’entreprise.

Mais ça, c’était avant le Cloud…

En travaillant de plus en plus souvent au sein des directions générales et en animant des séminaires en entreprise sur le Cloud Computing et la législation, j’ai fini par réviser une nouvelle fois mon approche, convaincu que ni les technologies, ni les chartes informatiques ne sont une réponse globale suffisante pour les dirigeants d’une entreprise pour adopter de manière sereine les prochaines technologies émergentes.

En effet, quoi qu’on fasse, le risque sécuritaire pour une société existera toujours, et avec les souhaits des utilisateurs pour une informatique dans le nuage et une totale autonomie d’usage en les équipant de tablettes et de smartphones, le caractère stratégique à la protection de son patrimoine métier et technique est au cœur des préoccupations des dirigeants.

Les atteintes que peut subir une entreprise sur son patrimoine informationnel peuvent tout aussi bien toucher ses données ou ses technologies que ses outils ou moyens scientifiques, techniques et humains, et dans cette perspective, la sécurité des systèmes d’information (SSI) s’impose comme une composante essentielle dans ses intérêts propres et dans ceux pouvant être liés à des enjeux nationaux pour certaines entreprises sensibles.

Bien que cela soit difficile à évaluer, l’insécurité a un coût qui se manifeste lors d’incidents ou de dysfonctionnements. Face aux risques encourus, et dans le contexte fonctionnel et organisationnel propre à l’organisme, il convient d’identifier ce qui doit être protégé, de quantifier l’enjeu correspondant, de formuler des objectifs de sécurité et d’identifier, arbitrer et mettre en œuvre les parades adaptées au juste niveau de sécurité retenu.

Cela passe prioritairement par la définition et la mise en place au sein de l’entreprise d’une « Politique de Sécurité des Systèmes d’Information » (PSSI).

La PSSI relève d’une vision stratégique de l’organisme et traduit un engagement fort de la direction générale. Elle s’inscrit nécessairement sur le long terme.

Elle est conforme aux dispositions législatives et réglementaires et cohérente avec les politiques et directives de niveau supérieur; elle se doit également d’être cohérente avec les politiques de sécurité des organismes partenaires.

Généralement, au niveau de direction générale de l’entreprise, la PSSI se décline en trois parties :

  • Les enjeux de la PSSI, qui consiste à récupérer l’expression des besoins et l’identification des objectifs de sécurité
  • Partie I : Le contexte et les objectifs, c’est-à-dire au niveau de l’organisme par un approfondissement du contexte (enjeux, menaces, besoins) et une explicitation des dispositions de mise en œuvre, au travers d’un Schéma Directeur de la SSI et/ou d’un plan d’action SSI
  • Partie II : Les principes d’organisation et de mise en œuvre, c’est-à-dire au niveau des entités, de leur implémentation, et des pays dans lesquels intervient l’entreprise, par la définition d’une PSSI d’unité tenant compte des particularités propres à chacune d’entre-elles.

Pour les enjeux de la PSSI, (dans le schéma, ce qui est représenté par « Etat des lieux ») pour évaluer votre situation actuelle, vous pourrez vous appuyer sur une méthode fiable : EBIOS. Cette méthode a été rédigée par l’ANSSI (L’Agence nationale de la sécurité des systèmes d’information), autorité nationale en matière de sécurité et de défense des systèmes d’information. (Son portail : http://www.ssi.gouv.fr/fr/anssi/)

EBIOS se décline en deux modèles (un simplifié, un complet). Pour débuter, le mieux est de commencer sur le modèle simplifié EBIOS-2010. Bonne nouvelle, les outils méthodologiques sont gratuits et disponibles à cet emplacement : http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/

L’ensemble des documents pour la méthode est disponible ici : http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/ebios-expression-des-besoins-et-identification-des-objectifs-de-securite.html.

En bas de la page web, vous trouverez la version logicielle, qui vous guidera dans l’élaboration de la politique de sécurité. Je vous donne le lien direct pour la version Windows : http://www.ssi.gouv.fr/IMG/zip/ebios-v2-win32-2005-06-07.zip

L’opération consiste à installer cet outil sur un poste de travail, puis après avoir lancé EBIOS,

  • Dans le menu principal, choisir « Réalisation d’une étude EBIOS® »
  • Sélectionner Fichier / Nouveau
  • Donner le nom de l’étude : Ex : « Projet PSSI » dans le champ Nom de l’étude
  • Donner le nom de l’organisation : Ex « Ma société » dans le champ Organisation
  • Cliquer sur l’onglet « Base de connaissances »
  • Cliquer sur le bouton « Sélectionner »
  • Dans le dossier French, choisir EBIOS-Base-DCSSI-v2-2004-01-25.ekb
  • Cliquer sur Accepter
  • Le projet est maintenant ouvert, avec l’arborescence complète des chapitres à écrire
  • Cliquer sur Questionnaires et Audités
  • Puis sur Création des questionnaires, cliquer sur le bouton « Sélectionner »
  • Vous avez trois questionnaires à remplir ou faire remplir

o    Questionnaire pour l’étude de l’organisme

o    Questionnaire pour l’étude de la cible de l’étude de sécurité

o    Questionnaire pour l’étude du système cible

 

Schéma de déclinaison d’une PSSI

dg3

Analyse* : Méthodologie d’analyse de risques permettant à chaque unité de conduire une analyse de ses risques et de formuler des recommandations adaptées au contexte de l’unité.

Une fois l’outil installé, et partagé avec vos partenaires si nécessaire, tentez de répondre aux questions qui vous seront posées. Vous vous apercevrez peut-être avec un certain effroi que de nombreuses interrogations restent sans réponse, ou voir pire, que vous aurez du mal à identifier dans votre entreprise qui est censé porter ce sujet. Je vous ne le fais pas dire : Il y a du boulot.

Publié pour IT Pro Magazine, Décembre 2013

 

Annexe : Capture d’écran du logiciel d’assistance à la méthode EBIOS

dg4

Annexe : Plan modèle de la documentation d’une PSSI

A quoi ressemblera le document une fois rempli ? Bien entendu, chaque société aura sa façon de vouloir concevoir le document de PSSI qu’il faudra remettre régulièrement à jour, mais afin de vous guider dans cette tâche, l’exemple ci-dessous vous permettra de disposer d’un modèle standard que vous pourrez adapter à votre situation.

Partie I : Contexte et objectifs

1)     Le contexte

  1. Description de ses missions et de son organisation (nature, individus impliqués directement ou indirectement)
  2. Présentation de sa structure (fonctionnement, localisation)
  3. Description des niveaux de sensibilité
  4. Moyens techniques et financiers
  5. Typologie des données
  6. Contexte législatif et réglementaire

2)     Définition du périmètre de la SSI*

SSI= Sécurité des systèmes d’information

  1. Périmètre physique (nature, RACI)
  2. Périmètre logique (numérique, nature, RACI)
  3. Périmètre fonctionnel (administrateurs, utilisateurs, etc.)
  4. Description des usages et des méthodes
  5. Liaisons externes
  6. Entités non intégrées

3)     Les besoins de sécurité

Objectifs généraux : Protéger l’outil de travail (disponibilité), les données (confidentialité, protection des secrets, disponibilité, intégrité), le personnel des entités et l’organisation

  1. Définition des critères de sécurité
  2. Certifications des critères de sécurité
  3. Tableau : Echelle des niveaux de criticité

i.    Perte de confidentialité sans conséquence

Sinistre ne risquant pas de provoquer une gêne notable dans le fonctionnement ou les capacités de l’organisme (ex : données publiques, visibles par tous)

ii.    Perte de confidentialité entraînant des gênes de délai ou de fonctionnement

Susceptible de provoquer une diminution des capacités de l’organisme. (ex : données liées aux compétences ou savoir-faire internes, dans un contexte de groupe de confiance, dont vous protégez toutes les traces écrites.)

iii.    Perte de confidentialité entraînant des conséquences dommageables

Susceptible d’amoindrir les capacités de l’organisme, sans conséquence vitale, avec des conséquences telles que des pertes financières, sanctions administratives ou réorganisation. (Exemple : données liées à un engagement de confidentialité dans un contrat)

iv.    Perte de confidentialité entraînant des conséquences graves

  1. Susceptible de provoquer une modification importante dans les structures et la capacité de l’organisme comme la révocation de dirigeants, la restructuration de l’organisme, des pertes financières sévères)
  1. Définition des besoins de sécurité

i.    Concernant la protection de l’outil de travail

ii.    Concernant la protection des données

  1. Données métiers
  2. Données de gestion
  3. Donnés nominatives
  4. Données stratégiques

iii.    Concernant la protection juridique

  1. Propriété intellectuelle du patrimoine
  2. Protection de la vie privée
  3. Documents juridiques (charte informatique, CGU – conditions générales d’utilisation, etc.)
  4. Contexte international

4)     Menaces et impacts (méthode EBIOS)

  1. Identification des menaces générales
  2. Identifications des menaces spécifiques
  3. Tableau : Critères / Attaques / Impacts
  4. Analyse des risques (devra être réalisée ultérieurement, hors PSSI)

Partie II : Principes d’organisation et de mise en œuvre

1)     Organisation de la SSI

  1. Pilotage
  2. Mise en œuvre

i.    Chaîne organique

ii.    Chaîne fonctionnelle spécialisée de la SSI

  1. Au niveau international
  2. Au niveau national
  3. Au niveau sous-national (à adapter)
  4. Au niveau local

iii.    Identification des CSSI (Chargés de la Sécurité des Systèmes d’Information)

2)     Coordination avec les entités externes ou sous-traitantes

  1. Principes généraux

i.    Dans le cas d’entités externes

ii.    Dans le cas de sous-traitants

  1. Procédures en cas d’incidents
  2. Procédures en cas de litiges
  3. Procédures exceptionnelles

3)     Déclinaison d’une PSSI au sein d’une entité

  1. Stratégies globales (Policies)
  2. Stratégies locales

4)     Principes de mise en œuvre de la PSSI

  1. Organisation et responsabilité

i.    Responsabilité des différents acteurs

ii.    Accès aux ressources informatiques

iii.    Charte informatique

iv.    Cyber surveillance

v.    Formation, sensibilisation

vi.    Infrastructure de gestion des clés numériques

vii.    Veille technique et juridique

  1. Protection des données

i.    Disponibilité, confidentialité et intégrité des données

ii.    Protection des données sensibles

iii.    Données à caractère personnel

iv.    Chiffrement

v.    Réparation, cession, mise au rebut

  1. Sécurisation du Système d’Information

i.    Administration des serveurs

ii.    Administration des postes de travail

iii.    Sécurisation des postes de travail et des moyens nomades

iv.    Contrôle d’accès

v.    Sécurité des applications

vi.    Maintenance et télé actions internes

vii.    Infogérance et télémaintenances externes

viii.    Clauses dans les marchés

ix.    Réseaux

x.    Maintenance au niveau de sécurité

  1. Mesure du niveau effectif de sécurité

i.    Contrôle de gestion

ii.    Audits

iii.    Journalisation, tableaux de bord

iv.    Fichiers de traces

v.    Posture de sécurité

vi.    Mises en garde

vii.    Gestion des incidents

viii.    Gestion des crises

ix.    Plan de continuité

Stratégies – Comment lutter contre l’infobésité de votre entreprise ?

21 avril 2014

Arnaud Alcabez

infobesite1Le mot est lâché, problème de riches centres de données et de coûts disques de plus en plus faibles, un mal guette et ronge sournoisement nos systèmes d’information : L’infobésité. Certes, la donnée est selon certains analystes l’or numérique de demain, mais la collecter et la conserver, autoriser des boîtes aux lettres de plus en plus importantes (aujourd’hui 50 Go par utilisateur proposé par Office 365 ou Google Mail), et échanger des fichiers de plus en plus lourds (qu’on parle de photos du dernier Nokia Lumia à 41 millions de pixels ou de fichiers traditionnels ayant depuis une bonne dizaine d’années tendance à un certain embonpoint) nous demande de mettre en œuvre des infrastructures adaptées.

Et demain, les éditeurs nous promettent de nombreux miracles avec le « Big Data », avec des quantités de données à stocker et à traiter de plusieurs centaines de téraoctets, ou pour les plus importantes de pétaoctets pour nous vanter les avantages des plateformes élastiques du Cloud Computing. Bien entendu, le champ d’application du « Big Data » est encore à étudier, comme le résume cette phrase récupérée lors d’une présentation « Big Data is like teenage sex: everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it… » (Le « Big Data » est comme le sexe chez les adolescents: Tout le monde en parle, personne ne connaît vraiment comment ça marche, Chacun pense que les autres l’utilisent, alors tout le monde prétend qu’il travaille avec).

 

Une bonne hygiène commence par un bon transit

Un des premiers chantiers simples à mettre en œuvre si ce n’est pas encore fait dans votre entreprise est de limiter l’usage de la messagerie aux grosses pièces volumineuses en mettant en place un système de transfert de fichiers adapté aux gros échanges. Pour cela, pas besoin d’être un développeur talentueux et concevoir une application que vous aurez à entretenir. De nombreux services que vous pourrez connecter à votre entreprise existent. Par exemple, j’utilise (ainsi que 43 millions d’autres personnes) depuis plusieurs années le service YouSendIt, qui a récemment changé de nom au mois de Juillet 2013 pour s’appeler Hightail (https://fr.hightail.com/). Ce service permet d’envoyer des fichiers volumineux, jusqu’à une taille de 10 giga-octets à votre correspondant quel que soit son environnement. Le changement de nom coïncide avec la disponibilité d’une offre « Dropbox-like » réservée aux entreprises. A condition de chiffrer les fichiers que vous envoyez et qui ne resteront sur la plateforme que pendant une durée limitée, ce service est idéal pour éviter de polluer inutilement vos messageries. Accompagnez-le d’une limitation de l’envoi et de la réception des messages dans Exchange ou Exchange Online, et d’une notification invitant vos utilisateurs et vos contacts à passer par ce service, et voilà, affaire réglée.

 

Stimulez votre système lymphatique numérique

En médecine, le système lymphatique associe deux notions : D’une part un réseau, à sens unique, qui permet la circulation dans l’ensemble du corps de l’organisme, et d’autre part, tous les organes où se trouvent de grandes quantités de globules blancs de données. Or, votre système est mal en point, et c’est le moment d’y apporter un traitement curatif. Et encore une fois, devant une telle pathologie, le Cloud Computing peut être un remède efficace.

infobesite2

La première opération consiste à mettre en œuvre un service d’entreprise proche de Dropbox que vous pourrez proposer à vos utilisateurs, tout en étant administré par vos soins. Recherche de la solution, mise en œuvre du service, configuration et paramétrage des permissions de sécurité, il vous faudra également vous assurer de disposer des garanties de réversibilité du service ainsi que de mettre à jour votre charte informatique pour rafraîchir les notions de responsabilité des utilisateurs quant à l’usage qu’ils font des fichiers et des données sensibles. Une fois que vous aurez préparé le patient, pour le traiter, rien de plus simple : Faites-lui lire un résumé des conditions d’utilisation du service (ça lui fera tout de suite peur), proposez votre aide quant à la migration de ses fichiers vers le nouvel environnement, aidez-le à remplacer le client qu’il a téléchargé sur ses différents appareils par le nouvel logiciel. Il ne vous restera plus qu’à faire un passage par votre firewall ou votre proxy pour couper l’accès au service parasite.

La seconde opération vous demandera certainement un peu plus de filouterie, car il s’agit de traiter ces couches de graisses du numérique que votre utilisateur a accumulé au fil des années : fichiers, tableaux, présentations, vidéos, notes, un fatras inextricable de données, plus ou moins utiles, souvent d’ailleurs inutiles. Ne tentez pas l’approche directe « Pourrais-tu faire le ménage de tes vieilles données ?», elle serait immédiatement sanctionnée par un « je n’ai pas le temps pour ça », et votre utilisateur a tout à fait raison : Comment pourrait-il consacrer trois jours de travail à classer, ranger, structurer ses données, et surtout éliminer les données dont il n’a plus le besoin-mais-bon-on-ne-sait-jamais ? La syllogomanie de notre utilisateur est à rapprocher de la gangrène, et elle ne fera qu’empirer au fil du temps si elle n’est pas rapidement traitée. Privilégiez l’approche indirecte par le Cloud Computing : La première étape consiste à étendre votre réseau avec un service en ligne dont le coût de stockage est très modéré et dont le paiement à l’usage vous permettra de disposer d’une facturation en fonction de la consommation. Ainsi, si vous déplacez les « vieilles choses » de votre utilisateur vers ce stockage, cela sera pour lui transparent et cette stratégie vous permettra de valoriser les fichiers d’importance, tout en ayant fait le ménage dans ses données.

 

infobesite3

Ceux qui sont à la recherche d’une solution se douteront que l’image ci-dessus n’est pas liée à une erreur de mise en page de ma rédactrice en chef, quoique de très nombreuses plateformes, comme celle de Windows Azure puissent tout à fait convenir à l’élaboration de la cure des données numériques de votre entreprise.

 

Bougez, faîtes du sport

Qui n’a jamais vu un groupe de personnes, dans les mêmes locaux, s’envoyer des messages et des réponses à des messages sans fin de type « Voir mes commentaires en vert », « Voir mes réponses en rouge », « Voir mes remarques à tes réponses en bleu ». Soyez vigilant et intervenez dès que possible. De mon expérience, rien ne vaut le contact direct. Fermez votre messagerie, invitez votre correspondant à en discuter devant un bon café (ca marche aussi avec le thé) : Vous y gagnerez en temps, en sérénité, et votre messagerie ne s’en portera que mieux. Si vous êtes responsable du système de messagerie, peut-être est-il temps de refaire quelques sessions de bonnes pratiques d’utilisation afin d’éviter d’avoir à archiver des messages qui au fil des réponses deviennent des correspondances passionnées (la poésie en moins) que celles de George Sand et d’Alfred de Musset. (http://www.inlibroveritas.net/lire/oeuvre1930.html)

 

La DSI : Un promoteur du régime Dukan pour son entreprise

Principale source de création de valeur à condition d’être bien utilisée, l’information représente une contrainte majeure pour la plupart des entreprises. Elle menace de paralyser les processus de décision et d’innovation et d’engendrer une baisse de productivité. Elle est également devenue particulièrement anxiogène pour les individus, qui en subissent les effets néfastes sur les plans physique, émotionnel et intellectuel (syndrome de débordement cognitif, cyberdépendance, déficit d’attention). Et pourtant, plus que jamais, nous sommes tous accros à l’information qui nous donne l’illusion de l’ubiquité. En s’ouvrant à des technologies de plus en plus avancées, l’entreprise est en train de développer une « infobésité » ou, en d’autres termes une situation de surcharge informationnelle, qui pèse sur vos infrastructures, vos employés et vos coûts.

Professionnels de l’informatique, il ne vous reste plus qu’à enfiler votre blouse blanche : Analysez les symptômes, posez un diagnostic et aidez votre (vos) entreprise(s) à lutter contre le mal numérique de ce siècle.

Publié dans IT Pro Magazine, Novembre 2013

Stratégies – La protection des données dans le nuage informatique. Une réalité ou une illusion

21 avril 2014

Arnaud Alcabez

Le 17 septembre 2013, j’ai été invité à participer à un colloque pour présenter ce sujet en une vingtaine de minutes à la Maison du Barreau de Paris, sur l’invitation d’Anne-Katel Martineau, présidente de la Confédération Nationale des Avocats (http://www.cna-avocats.fr).

Pourquoi ce corps de métier est-il plus particulièrement sensible aux données qu’il pourrait exposer sur des services hébergés dans le Cloud Computing ? Simplement parce que ses membres doit impérativement garantir le respect du secret professionnel. En effet, le secret professionnel, qu’on peut interpréter comme une communication entre un avocat et un client, interdit à l’avocat de dévoiler aux tiers les confidences ou secrets qu’il a reçus de ses clients : c’est la garantie d’une réelle défense au mieux des intérêts du citoyen ou de l’entreprise. Quant à la confidentialité, qu’on peut considérer comme une relation collaborative entre avocats, elle couvre les communications verbales ou écrites entre pairs.

Là où pour certains métiers cela relève uniquement du bon sens, pour les avocats, les personnels de santé, et certaines autres catégories professionnelles, la rupture du secret professionnel et/ou de la confidentialité peut prendre une tournure plus que déplaisante, et pas uniquement pour des raisons d’atteinte à l’image ou de règlements financiers à l’amiable. En effet, le respect du secret professionnel est inscrit comme un principe fondamental du code déontologique de l’avocat, comme un droit et un devoir. Voici deux extraits du Code Pénal se rapportant aux devoirs de la corporation :

  • En premiers, l’article 66-5 : – En toutes matières, que ce soit dans le domaine du conseil ou dans celui de la défense, les consultations adressées par un avocat à son client ou destinées à celui-ci, les correspondances échangées entre le client et son avocat, entre l’avocat et ses confrères, les notes d’entretien et, plus généralement, toutes les pièces du dossier sont couvertes par le secret professionnel.
  • En outre, l’article 226-13 indique que « la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une mission ou d’une fonction temporaire (…) » peut être punie d’emprisonnement et d’amende.

Vous l’aurez compris, on ne plaisante ni ne transige avec la confidentialité et le secret des correspondances dans ce métier. L’erreur, qu’elle soit volontaire ou faite par un prestataire de Cloud Computing, n’est pas permise. Elle pourrait avoir comme conséquence des poursuites au pénal, d’être rayé de l’Ordre du Barreau, ou avoir des  conséquences au niveau des assurances de la profession.

Vous me diriez alors pourquoi sont-ils intéressés par le Cloud Computing ? Pour trois raisons principales :

  • La première, c’est que la profession est très fragmentée et qu’il existe un très grand nombre de cabinets de petite taille ou d’indépendants, et qu’ils n’ont ni le temps, ni l’argent à consacrer à gérer une informatique interne.
  • La seconde est qu’il s’agit d’un métier extrêmement mobile où on ne compte pas ses heures, où il n’est pas possible de se limiter à des horaires de bureau ou d’avoir le temps de repasser à l’étude.
  • Enfin, la dernière et c’est la raison principale de mon intervention, c’est que leurs nouveaux clients sont jeunes, et ont l’habitude d’utiliser des outils de communication et de transfert de données numériques : Allez dire à un jeune entrepreneur qu’il doit physiquement passer à l’étude de son avocat pour discuter 5 à 10 minutes sur l’état d’avancement de son dossier… Totalement décalé avec les jeunes entrepreneurs trentenaires, accros à leur Smartphone, Skype et autres Twitter.

Revenons à cette présentation du 17 septembre. Après avoir rapidement brossé les différents termes techniques du Cloud Computing avec lesquels vous êtes familiers et discuté avec les avocats présents lors de cette session, il apparait qu’environ un tiers sont déjà des utilisateurs à titre personnel de ces nouvelles technologies (Cloud Computing, SaaS, BYOD, etc.) ou tout du moins savent-ils en donner une définition exacte. Par contre, le premier transparent de ma présentation a eu son petit effet. Le voici :

protection

Comme vous l’aurez compris, ce métier est particulièrement sensible à tout intermédiaire qui pourrait s’immiscer dans la communication avec leur client. Quelle fût donc leur réaction en découvrant que le « nuage informatique » est tout d’abord un « nuage de responsabilité » comme le présente ce schéma.

Plus grave encore : Si certains acteurs de la chaîne de communication peuvent être facilement identifiés (l’émetteur, le fournisseur d’accès Internet, le prestataire du service Cloud avec lequel le cabinet a contractualisé, et une idée plus ou moins précise et fiable d’où se trouve la donnée hébergée ou en transit), certains sont totalement inconnus et/ou très difficiles ou impossible à identifier. Les murmures dans la salle se sont tus lorsque j’ai proposé à l’audience d’imaginer qu’elle transmette de main en main selon cette chaine, un dossier papier… Ambiance de plomb dans la salle. Pendant un bref instant, j’ai pensé que j’aurais dû mettre un peu de multimédia dans ce transparent en l’accompagnant d’un fond musical issu du répertoire de Frédéric Chopin (et plus particulièrement de la sonate n°2, opus 35, 3ème mouvement). Pour les esprits curieux et non musicophiles, je vous glisse ici le lien : http://upload.wikimedia.org/wikipedia/commons/3/31/Chopin_Sonata_no_2_3rd_movement.ogg. Si j’ai la chance de rejouer cette petite présentation aux Microsoft TechDays 2014, à condition de me trouver vingt minutes entre une session sur Windows Azure et une sur Office 365, promis, je le fais.

Cela étant, malgré ce nombre d’intermédiaires, cela ne remet pas en cause le fait qu’il soit indispensable d’adopter ces services en ligne, pour répondre aux exigences du métier comme j’ai pu l’indiquer quelques paragraphes plus haut. La peur du risque véhiculée par les ayatollahs de la sécurité ultime sur tout et n’importe quoi n’amène à rien, et surtout pas d’embrasser les nouvelles technologies. Si je les écoutais, je n’oserai même plus prendre ma voiture pour me déplacer.

Pour les cabinets d’avocats, le passage au Cloud Computing reste un outil irremplaçable comme pour de nombreuses autres professions pour s’adapter à leur clientèle. Plus spécifiquement, voici les fonctions principales dont ils ont besoin et que j’ai mises en exergue :

  • Gérer sa relation client

o    Portails collaboratifs client

o    Réseaux sociaux d’entreprise

o    Carnet d’adresses

o    Partage d’agenda

o    Vidéo-conférence

  • Gérer son capital intellectuel et son patrimoine informationnel

o    Portails collaboratifs interne

o    Numérisation des archives et recherche

o    Capitaliser et regrouper les sources d’information

o    Intégration facilitée dans l’entreprise

 

  • Être accessible et réactif

o    Accès depuis tout lieu et tout moyen (web, mobile, tablette, pc, mac)

o    Pouvoir joindre vos interlocuteurs en connaissant leurs disponibilités

o    Communiquer et collaborer à plusieurs sur les mêmes documents en temps réel

o    Disposer d’un numéro unique et renvoyer les appels sur le dispositif le plus adapté

o    Vos dossiers vous suivent partout

 

  • Gérer sa réputation numérique et gagner en visibilité

o    Page d’entreprise (ex: Facebook)

o    Canal de réputation (ex: Twitter)

o    Profilage et recherche (ex: LinkedIn)

o    Mesurer sa réputation (ex : Klout)

A la condition d’en mesurer les risques et d’éviter les mésaventures… Pour cela, je me suis servi de trois exemples afin de démontrer un certain nombre de cas d’école :

Prendre le temps de lire les conditions générales de vente avant de s’engager, même en cas de situation critique, comme par exemple, l’obligation de transférer un dossier en temps et en heure lorsqu’il ne reste que quelques minutes avant l’échéance et que l’outil informatique que vous auriez dû naturellement utiliser vous lâche. Pour cela, j’ai pris comme démonstration un logiciel très connu de transfert de fichiers, utilisé aujourd’hui par plus de 100 millions d’utilisateurs, 500 millions d’appareils, et dont le trafic journalier a dépassé il y a quelques mois la barrière du milliard de fichiers échangés par jour. En voici un extrait :

• Nous pouvons faire appel à certaines sociétés et personnes tierces de confiance pour nous aider à fournir, analyser et améliorer le service (y compris mais sans limitation…
• Ces tiers peuvent avoir accès à vos informations…
• Nous utilisons le service de stockage d’un autre prestataire cloud pour stocker certaines de vos informations…
• Nous pouvons partager vos informations avec une application tierce avec votre consentement, par exemple lorsque vous choisissez d’accéder à nos services par le biais d’une telle application.
• Nous ne sommes pas responsables de ce que ces parties tierces font de vos informations…
• Nous divulguerons à des personnes extérieures à notre société les fichiers stockés … et les informations vous concernant si nous pensons, en toute bonne foi, cette mesure comme nécessaire ou appropriée…
• Nous conserverons vos informations aussi longtemps que votre compte sera actif…
• Veuillez toutefois noter qu’il peut y avoir un délai pour la suppression des informations de nos serveurs et que des versions sauvegardées peuvent subsister après la suppression.
• Notre société et notre prestataire d’hébergement conservent plusieurs sauvegardes redondantes de l’ensemble des données dans divers emplacements.
• Vous, et non notre société, serez tenu responsables de la gestion et de la protection de l’ensemble de vos effets.
• Notre société ne sera donc aucunement responsable de la perte ou de la corruption de vos effets, ou des coûts ou dépenses éventuellement associés à la sauvegarde ou à la restauration de tout ou partie de vos effets.
• Nous nous réservons le droit de suspendre ou de mettre fin aux services à tout moment, avec ou sans motif, et avec ou sans préavis.
• LES PRÉSENTES CONDITIONS ET L’UTILISATION DES SERVICES ET DES LOGICIELS SERONT GOUVERNÉES PAR LA LÉGISLATION DE L’ÉTAT DE CALIFORNIE.

Responsabilité dans le cadre de contrats emboîtés et chapeaux ? Conditions de garantie plus que vagues ? Confidentialité ? Localisation de vos données ? Droit à l’oubli ? Droit applicable ? Des notions bien vagues et souvent impossibles à obtenir sous un format papier. Un produit attrayant, connu, simple, gratuit pour l’utilisateur, et une contractualisation (je vous rappelle que cela veut dire une acceptation des clauses contractuelles) en trois clics avant d’utiliser ce service. Ouf, votre dossier sera livré dans les temps, mais à quel prix ?

Mais des dangers encore plus importants vous guettent (ou du moins guettent vos données) sur Internet. Leur suppression par le fournisseur de manière unilatérale, voire sans avertissement. Là encore, j’ai mis deux exemples récents en valeur :

  • Angleterre, Février 2013

Les clients de la société anglaise « 2e2 administrator », qui fournit des services Cloud envoie une lettre à l’ensemble de ses clients, leur ordonnant de payer immédiatement 4.000 livres sterling pour les aider à financer leur propre migration vers un autre fournisseur avant coupure définitive des serveurs hébergeant leurs données…

  • Monde, Juin 2013

Près d’un an et demi après la coupure de Megaupload par les autorités, l’espoir s’amenuise pour les utilisateurs qui tentent de récupérer leurs données. L’hébergeur néerlandais LeaseWeb a pris l’initiative en faisant le ménage dans ses serveurs.

Le premier exemple est le risque pris si votre hébergeur se trouve dans une situation financière catastrophique, et dans le premier cas de figure, que se passerait-il si l’administrateur judiciaire de l’entreprise lors de son dépôt de bilan décidait de simplement couper le courant du centre de données ?

Le deuxième exemple traite des problèmes que peuvent engendrer la mutualisation de plusieurs entreprises sur une plateforme unique. C’est comme lorsque vous sortez dans la rue : le danger vient aussi des autres. Que fait réellement votre « e-voisin » ? Et si celui-ci avait des pratiques illégales qui pourraient entraîner une mise sous séquestre de la plateforme de l’hébergeur à des fins d’enquête souvent longues ? Je vous laisse juger des conséquences sur votre propre activité…

Enfin, en dernier exemple, j’ai souhaité traiter des difficultés que peut causer l’absence de discussions préliminaires avant un engagement contractuel en ce qui concerne les clauses de réversibilité, notamment en citant le cas de l’UMP contre Oracle, qui fort heureusement, semble s’être soldé en faveur du client (en l’occurrence ici l’UMP) :

Fin 2012, le contrat qui le lie à l’éditeur américain arrivant à échéance, ce parti politique décide de changer de système de gestion de base de données – sa base « Adhérents » – externalisée sur le Cloud. Mais l’UMP ne peut récupérer ses données, un bug technique empêchant la fonction « export » d’Oracle CRM On Demand. En attendant la mise en œuvre d’une nouvelle version, Oracle propose un correctif spécifique. En réponse, l’UMP l’assigne en référé. Le TGI de Nanterre donne raison à ce dernier et propose deux injonctions alternatives à Oracle, assorties d’une astreinte de 5.000 euros par jour de retard : Soit Oracle fournit à l’UMP « les moyens techniques de nature à lui permettre sans délai l’exportation de l’ensemble de ses données nominatives hébergées ». Soit l’éditeur garantit à l’UMP, sans frais, la prolongation de l’accès complet au service Oracle CRM On Demand, « jusqu’à l’expiration d’un délai de deux mois à compter du jour où il sera en mesure de procéder à l’exportation de ses données nominatives hébergées ».

Une fois ces exemples présentés, j’ai alors conclu ma présentation sur un recueil de recommandations et de bonnes pratiques qui feront l’objet d’un prochain livre blanc conçu avec des juristes et des hébergeurs destiné à la profession :

  1. Qualifier les données

o    Définir et qualifier votre patrimoine informationnel

o    Données pouvant faire l’objet d’intelligence économique

o    Protection du secret et de la confidentialité entre individus

  1. Conserver le contrôle en interne

o    Adapter la charte informatique aux nouveaux usages

o    Former vos collaborateurs sur la gestion du risque

o    Chiffrer, Chiffrer, Chiffrer… Tout !

o    Documents (ZIP)

o    Périphérique, clés, disques, etc…

o    Communication (SSL)

o    Garder un serveur local non connecté à Internet dans un espace sécurisé par vos soins. Le Cloud Computing n’est pas une solution qui remplace l’ensemble des technologies

  1. Qualifier votre fournisseur

o    Examiner les contrats avant de vous engager

o    Vérifier la notoriété et la solidité financière de votre fournisseur

o    Limiter le nombre d’intermédiaires

o    Assurez votre réversibilité, la responsabilité dans le cadre de contrats emboîtés et chapeaux, les conditions de garantie, la confidentialité, la localisation de vos données, le droit à l’oubli, le droit applicable. Demander un contrat « papier »

o    Noter qu’il n’existe pas de normalisation pour un service « Cloud Computing », même si plusieurs initiatives devraient aboutir

o    Demander une copie des certifications de l’hébergeur

i.    ISO/IEC 27001:2005  Information technology — Security techniques — Information security management systems

ii.    Conformités industrielles en termes de sécurité, de résilience, de sauvegarde (ex : SAS70 Type II, HIPAA, EU Safe Harbour, FINRA, …)

iii.    Les interroger sur leurs prochaines certifications à venir :

  • EU Code of Conduct for Data Centres (Corporate)
  • ISO 27017 – Information Technology — Security techniques — Security in cloud computing
  • ISO 27018 – Information Technology — Security techniques — Code of practice for data protection controls for public cloud computing services
  • Proposition de la Commission Européenne relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)

Alors, la protection des données dans le nuage informatique. Une réalité ou une illusion ? En fait, la réponse ne dépend que de vous.

Publié dans IT Pro Magazine, Septembre 2013

Stratégies – Le Cloud Computing : Fatal à Microsoft Windows ?

2 août 2013

Arnaud Alcabez

Office-2013-LogoPendant plus de vingt ans, Microsoft Windows fût la pierre angulaire de l’édifice de l’éditeur. En imposant progressivement face à la concurrence son système d’exploitation pour l’utilisation bureautique, Microsoft a été en mesure de prendre la position de leadership pour les serveurs bureautiques et les applications.

L’apparition d’un nouveau modèle informatique structuré autour des échanges entre des périphériques de plus en plus mobiles et hétéroclites et les applications distribuées dans le nuage Internet auront fini par enterrer l’omnipotence de Windows sur l’ensemble des autres divisions.

Si on met de côté le succès rencontré par la Xbox chez les particuliers, l’empire Windows a été attaqué par deux fronts :

  • La nécessité de supporter dans Hyper-V de systèmes d’exploitation Linux tels que CentOS, Red Hat Enterprise Linux et SUSE Linux Enterprise Server afin de pouvoir répondre aux exigences agnostiques des environnements hébergés dans un cloud privé ou un cloud public
  • Une part de marché insuffisante dans le segment de la mobilité (tablettes et smartphones) ayant pour conséquence une absence significative de revenus pour l’éditeur sur ces équipements utilisateurs à forte croissance. Il était d’ailleurs attendu qu’à la fin du deuxième trimestre 2013, le nombre de smartphones et de tablettes dépasse le nombre d’ordinateurs personnels selon plusieurs analystes.

tableau

Le 31 juillet 2013 : Microsoft annonce la disponibilité d’Office pour Android, un mois et demi après avoir publié Office pour iOS.  Seul compromis gagné semble-t-il par les équipes Windows 8, l’application pour Android est disponible uniquement pour les smartphones, sans doute pour éviter une trop grande concurrence là où Microsoft peine à vendre sa tablette Surface. Une autre limite délibérément choisie par l’éditeur est le choix d’associer l’utilisation d’Office pour Android ou pour iOS au modèle de licence d’Office 365. Bien que les applications pour mobiles soient gratuites et libres en termes de téléchargement, la nécessité de disposer d’un compte sur le centre de données Office 365 est une certaine résistance dans le fait de fournir Office à l’ensemble des utilisateurs mobiles.

Mais il semblerait que le Rubicon ait été désormais franchi par les troupes de l’éditeur, et c’est un petit pas qui introduit un changement fondamental dans la stratégie de vente croisée: Hier, Microsoft Office était le levier pour imposer Microsoft Windows. Aujourd’hui, Office 365 (et donc, le cloud computing) est le levier pour imposer Microsoft Office et vice-versa. Une mini-révolution.

Et les équipes Windows et Windows Mobile dans tout ça ? Il faut bien reconnaître qu’elles ont bien mal négocié et interprété la transformation des attentes des consommateurs, et quoique elles aient su prendre des risques, elles n’ont pas trouvé la clé du succès planétaire auprès des consommateurs.

IT Pro Magazine, Septembre 2013

Office 365 – Parts de marché Google Apps et Microsoft Office 365 dans le monde

21 avril 2013

Arnaud Alcabez

Office-2013-LogoLa société BitTitan, qui commercialise MigrationWiz, vient de publier une cartographie de la répartition des migrations vers Office 365 et Google Apps dans le monde du point de vue ses ventes mondiales. Bien qu’elle ne représente pas forcément les parts de marchés réelles des deux solutions, elle offre toutefois une vision intéressante de l’implémentation d’Office 365 selon les différents pays. Il faut bien entendu interpréter ce graphique à sa juste valeur, sachant qu’en France, d’autres sociétés d’aide à la migration vers Office 365 sont peut-être mieux implémentées localement (Quest Software, Refresh IT, BinaryTree, etc…), mais également dû au fait qu’un certain nombre de clients préféreront migrer sans assistance d’outils tiers.

world-map-countries