Dix éléments à prendre en compte avant d adopter l informatique en nuage Malik Datardina, CPA, CA, CISA
AVERTISSEMENT La présente publication, préparée par les Comptables professionnels agréés du Canada (CPA Canada), fournit des indications ne faisant pas autorité. CPA Canada et les auteurs déclinent toute responsabilité ou obligation pouvant découler, directement ou indirectement, de l utilisation ou de l application de cette publication. 2015 Comptables professionnels agréés du Canada Tous droits réservés. Cette publication est protégée par des droits d auteur et ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise de quelque manière que ce soit (électroniquement, mécaniquement, par photocopie, enregistrement ou toute autre méthode) sans autorisation écrite préalable. Pour obtenir des renseignements concernant l obtention de cette autorisation, veuillez écrire à permissions@cpacanada.ca.
iii Auteur Malik Datardina, CPA, CA, CISA Comité consultatif sur la gestion de l information et les technologies de l information Mario R. Durigon, CPA, CA (président) Chris Anderson, CA(NZ), CISA, CMC, CISSP (vice-président) Gary S. Baker, CPA, CA, CGEIT Efrim Boritz, FCPA, FCA, CISA, Ph.D. Malik Datardina, CPA, CA, CISA Nancy Y. Cheng, FCPA, FCA Andrew Kwong, CPA, CA, MBA Richard Livesly, MBA, CGEIT Jodie N. Lobana, CPA, CA, CPA (IL), CIA, CISA Maura O Shea, CPA, CA Robert Parker, FCPA, FCA, CISA Robert J. Reimer, CPA, CA, CISA, CISM, CGEIT, CRISC Steve Soychak, CPA, CMA Bryan C. Walker, CPA, CA Personne-ressource à CPA Canada Cecilia Banh, CPA, CA, MAcc Directrice de projets, Recherche, orientation et soutien Le Comité consultatif sur la gestion de l information et les technologies de l information (CCGITI) fait partie de la division Recherche, orientation et soutien des Comptables professionnels agréés du Canada. Le Comité fournit des recommandations et des conseils aux CPA sur les questions liées à la gestion de l information et aux technologies de l information (TI) qui ont une incidence sur la profession et le milieu des affaires. Pour en savoir plus sur le CCGITI, visitez notre site à www.cpacanada.ca/ccgit.
iv Table des matières Introduction 1 Planification 4 Leçon 1 : Ne pas céder à la tentation de passer trop rapidement à l informatique en nuage 4 Leçon 2 : Évaluer la stabilité financière et la viabilité du fournisseur de services en nuage pressenti 8 Leçon 3 : Mettre toutes les principales parties prenantes dans le coup 10 Coûts 12 Leçon 4 : Comprendre la tarification des services en nuage 12 Leçon 5 : Évaluer et quantifier les défis que pose l intégration des services en nuage 14 Leçon 6 : Calculer le coût total de possession de la technologie avant de s engager dans l informatique en nuage 16 Négociation 18 Leçon 7 : Établir clairement les responsabilités de chacun dans le contrat de services en nuage 18 Leçon 8 : Négocier le niveau de soutien nécessaire pour les applications 19 Table des matières
v Maintenance 20 Leçon 9 : Évaluer les répercussions des mises à niveau et des modifications du nuage 20 Leçon 10 : Évaluer la compatibilité des normes du fournisseur de services en nuage 21 Le jeu en vaut-il la chandelle? 23 Annexe : Problèmes de sécurité associés à l informatique en nuage 24 Évaluer les risques que pose le passage à l informatique en nuage pour la sécurité 24 Quels sont les risques pour la sécurité associés à l informatique en nuage? 24 Risque lié à l environnement partagé 25 Risque d accès anonyme 25 Risque lié à la propriété et à la confidentialité des données 25 Évaluation du risque que pose l informatique en nuage sur les contrôles généraux des TI 26 Mettre la sécurité en perspective 27 Table des matières
1 Introduction Le National Institute of Standards and Technology (NIST) définit l informatique en nuage comme «la fourniture de ressources informatiques à la demande, par l intermédiaire d un réseau informatique». L informatique en nuage n est pas une nouvelle technologie; il s agit plutôt d une façon différente de consommer la technologie. Pour savoir où en est une technologie à la mode, comme l informatique en nuage, on peut observer sa position dans le Hype Cycle de Gartner 1, qui suit le parcours d une technologie donnée de sa naissance jusqu à son adoption en tant que technologie grand public. Selon Gartner 2, l informatique en nuage a dépassé la phase du «pic des espérances» et traverse maintenant la phase du «creux de la désillusion», dans laquelle les clients de l informatique en nuage commencent à voir au-delà des grandes promesses de la technologie et à se rendre compte des défis qui peuvent entraver la mise en œuvre des solutions en nuage dans leur organisation. Parmi les avantages principaux de l informatique en nuage, on compte les suivants : La possibilité de financer les projets de TI à même les dépenses d exploitation : Comme l informatique en nuage est un service, les coûts peuvent être passés en charges plutôt qu inscrits au bilan. Les frais payés peuvent être déduits des revenus et n ont pas à être immobilisés et amortis aux fins de l impôt 3. Les coûts rattachés aux correctifs, aux mises à niveau et à la maintenance sont inclus dans les frais d abonnement des logiciels-services : Avec les logiciels-services (SaaS) 4, les coûts rattachés aux correctifs, aux mises à niveau et à la maintenance sont inclus dans 1 Le Hype Cycle de Gartner est une courbe qui décrit les cinq phases de développement d une technologie, soit l arrivée de la technologie, le pic des espérances, le creux de la désillusion, la pente de l illumination et, enfin, le plateau de productivité. Voir la page www.gartner.com/technology/research/methodologies/hype-cycle.jsp (en anglais seulement) pour obtenir plus de renseignements. 2 Voir la page www.gartner.com/newsroom/id/2819918 (en anglais seulement) pour consulter le Hype Cycle de Gartner pour 2014. 3 www.deloitte.com/assets/dcom-australia/local%20assets/documents/services/consulting/technology/ Deloitte_Smarter_Data_Centre_Outsourcing_for_CFOs_4Mar14.PDF (en anglais seulement). 4 Le NIST définit les fournisseurs de logiciels-services comme des entreprises permettant aux consommateurs d accéder aux «applications du fournisseur qui s exécutent sur une infrastructure en nuage». Voir le document http://csrc.nist.gov/ publications/nistpubs/800-145/sp800-145.pdf (septembre 2011, en anglais seulement). Introduction
2 les frais d abonnement. Le fournisseur de services en nuage (FSN) s occupe de la gestion de l infrastructure technologique, ce qui permet au consommateur de se concentrer sur ses activités. L accessibilité par l intermédiaire d un navigateur Web : Grâce à un accès facile à partir d un navigateur Web, l informatique en nuage permet aux utilisateurs d accéder à une application peu importe où ils se trouvent, dans la mesure où ils disposent d un navigateur compatible et d une connexion à Internet. L utilisation plus efficiente des ressources en TI : Au niveau de l infrastructure-service (IaaS) 5, les organisations peuvent louer temporairement les ressources d un nuage public, comme des serveurs, plutôt que d acheter, de mettre en œuvre et de maintenir ellesmêmes de tels serveurs. Par exemple, lorsque l application de génération vidéo de la société Animoto a connu un boom de popularité, elle est passée de 25 000 utilisateurs (environ 50 serveurs) à 250 000 utilisateurs (environ 3 500 serveurs) en trois jours 6. Grâce à l informatique en nuage, Animoto a pu éviter d acheter une capacité serveur supplémentaire, qui aurait été inutilisée jusqu au pic de demande et délaissée une fois la frénésie passée. De plus, les organisations peuvent utiliser des technologies résidant dans un nuage privé pour consolider leurs ressources internes. Le stockage hors site : Le nuage permet d établir un stockage hors site, ce qui rend les technologies disponibles en cas de sinistre dans les locaux de l organisation. Étant donné le nombre croissant d entreprises qui adoptent l informatique en nuage, nous avons voulu explorer comment s effectuait sa mise en œuvre dans la pratique. Compte tenu des nombreux avantages de l informatique en nuage, le présent document vise à faire ressortir les défis et les difficultés qui y sont associés afin d aider les organisations à établir leur budget et leur plan de manière appropriée avant de se lancer dans cette entreprise. Au moyen d entrevues menées avec les représentants d organisations qui sont passées à l informatique en nuage et avec les conseils de consultants et d experts en la matière, nous avons pu dégager les dix leçons suivantes. Planification : Leçon 1 : Ne pas céder à la tentation de passer trop rapidement à l informatique en nuage Leçon 2 : Évaluer la stabilité financière et la viabilité du fournisseur de services en nuage pressenti Leçon 3 : Mettre toutes les principales parties prenantes dans le coup 5 Selon la définition du NIST, les FSN qui offrent des infrastructures-services «assurent le traitement, le stockage, les réseaux et toutes les ressources informatiques fondamentales qui permettent au consommateur de déployer et d exécuter un logiciel arbitraire, ce qui peut inclure des systèmes d exploitation et des applications». Voir le document http://csrc.nist.gov/ publications/nistpubs/800-145/sp800-145.pdf (septembre 2011, en anglais seulement). 6 https://aws.amazon.com/blogs/aws/animoto-scali (20 avril 2008, en anglais seulement). Introduction
3 Coûts : Leçon 4 : Comprendre la tarification des services en nuage Leçon 5 : Évaluer et quantifier les défis que pose l intégration des services en nuage Leçon 6 : Calculer le coût total de possession de la technologie avant de s engager dans l informatique en nuage Négociation : Leçon 7 : Établir clairement les responsabilités de chacun dans le contrat de services en nuage Leçon 8 : Négocier le niveau de soutien nécessaire pour les applications Maintenance : Leçon 9 : Évaluer les répercussions des mises à niveau et des modifications du nuage Leçon 10 : Évaluer la compatibilité des normes du fournisseur de services en nuage Ces leçons témoignent principalement de l expérience de grandes organisations qui ont mis en œuvre des applications de tiers de type logiciel-service. Dans leur cas, les difficultés se posent sur le plan de l intégration lorsqu elles tentent d arrimer le nuage avec l ensemble des données et des systèmes dont elles disposent déjà. Les organisations qui n ont pas de systèmes (p. ex. les entreprises en démarrage) ou qui ont des applications de base isolées (p. ex. les entreprises qui ont une application de courriel, une application de bureautique et un logiciel comptable de base) ne seront pas confrontées à ces difficultés et il leur sera beaucoup plus simple d adopter un logiciel-service. Même si ces leçons sont issues de l expérience de grandes organisations, elles peuvent également s appliquer aux petites et moyennes entreprises (PME), chaque leçon étant fondée sur des pratiques éprouvées en TI. Les PME peuvent évaluer la pertinence de ces leçons dans leur contexte particulier. Les organisations qui veulent obtenir plus de renseignements sur le nuage y compris ses principaux risques et avantages peuvent consulter les documents suivants publiés par CPA Canada : Informatique en nuage : introduction et Les petits et moyens cabinets (PMC) et le nuage : principaux avantages et risques. Introduction
4 Planification Leçon 1 : Ne pas céder à la tentation de passer trop rapidement à l informatique en nuage DÉFI : Les organisations sont plus susceptibles d adopter prématurément l informatique en nuage que les logiciels traditionnels, du fait que les solutions en nuage sont de nature «clé en main» et qu elles offrent la promesse d une mise en œuvre plus rapide. Avec toute nouvelle technologie, il y a un risque qu une organisation se fasse prendre au jeu de la nouveauté et qu elle mette en œuvre la technologie sans l avoir dûment évaluée. Les organisations qui adoptent une solution à la mode peuvent se retrouver aux prises avec des problèmes inattendus, qui peuvent entraîner des dépassements de coûts. En outre, en l absence d une évaluation appropriée de l application en nuage, la solution choisie peut laisser à désirer. Une autre application pourrait mieux répondre aux besoins de l organisation, de façon plus efficace et efficiente. Le risque que pose l achat d une solution à la mode est plus élevé dans le cas des applications en nuage, car il est beaucoup plus facile alors pour les organisations d entrer en relation directement avec le FSN et de contourner le service des TI et les processus d approvisionnement existants que lorsqu elles cherchent à acquérir des logiciels commerciaux sur site et à conclure des ententes d impartition traditionnelles. L informatique en nuage, d une certaine façon, est comme une maison préfabriquée prête à être installée. La direction doit être consciente du risque que les utilisateurs choisissent simplement d acheter des services en nuage avec leur carte de crédit et mettent en œuvre cette solution dans un délai relativement court. Les contrôles traditionnels qui permettent de surveiller ou de bloquer la mise en œuvre d applications (p. ex. les contrôles d accès et les droits d administrateur) ne fonctionneront pas, car l accès à l application se fait hors site, par l entremise d un navigateur Web. Il est connu que certains services contournent les contrôles d approvisionnement traditionnels en faisant l acquisition de solutions en nuage au moyen d une carte de crédit d entreprise, ce qui introduit bel et bien des solutions d informatique en nuage par l intermédiaire des notes de frais. En conséquence, les organisations doivent bien informer tous leurs employés que Planification
5 l acquisition d applications en nuage est soumise au même niveau de contrôle que l achat d un progiciel de gestion intégrée (solution ERP) ou que l impartition des activités de TI à un tiers. Il est utile de se doter d une politique interdisant l acquisition d applications en nuage en les portant sur une note de frais et rendant obligatoire l application du processus d approvisionnement établi dans tous les cas 7. Une telle politique doit être accompagnée d une campagne de sensibilisation informant les employés des risques que comporte l enregistrement des données de l organisation dans le nuage, et de la difficulté d intégrer les applications après coup dans l environnement système global. Au bout du compte, la décision de passer à l informatique en nuage doit être gérée comme un projet d immobilisations, qui nécessite la définition claire de la portée du projet de même que la mise sur pied d une équipe de projet chargée de la gestion et de la mise en œuvre. Leçons tirées : Afin que les services en nuage soient dûment acquis, les organisations doivent se doter d une politique à cet égard qui comprend les éléments suivants : Définition de l informatique en nuage : La politique doit aider les organisations à communiquer les différences notables entre les applications en nuage et les applications traditionnelles. L informatique en nuage doit également être traitée comme un projet d immobilisations, et être soumise aux mêmes contrôles, vérifications et processus d approbation. Explication de la place qu occupe l informatique en nuage dans l ensemble de la stratégie d affaires et de la stratégie de TI : Le passage à l informatique en nuage peut avoir une incidence sur certains objectifs de l organisation. Par exemple, une organisation a indiqué que la mise en œuvre de l informatique en nuage a dans les faits nui à sa stratégie globale sur les mégadonnées et l analytique, puisque l application en nuage créait un silo de données supplémentaire au sein de l organisation, ce qui rendait plus difficile l accès à ces données pour mener des analyses à l échelle de l entreprise. Explication des risques de l informatique en nuage : La politique doit décrire les risques que pose l adoption de l informatique en nuage, qu ils soient liés à la sécurité de l information, à la protection des renseignements personnels ou à d autres éléments. La sécurité étant un enjeu important en ce qui concerne l informatique en nuage, nous avons préparé une annexe traitant expressément de cette question. Lors de l évaluation d une solution en nuage envisagée, il faut déterminer quels sont les besoins à combler sur le plan des affaires et ensuite examiner méthodiquement les caractéristiques de la nouvelle technologie. Par exemple, la direction doit faire la liste des fonctions essentielles et de celles qui pourraient être utiles, et soumettre tous les fournisseurs 7 Par exemple, l utilisateur insouciant par rapport au nuage peut exposer involontairement son organisation à des risques importants. Voir le document de Deloitte, Pragmatic cloud computing: Six keys to successfully using the cloud (en anglais seulement), Melbourne, Australie, 2012, à l adresse http://etherworks.com.au/index. php?option=com_k2&id=86_feead2d5f340248dff504838d292bc3e&lang=en&task=download&view=item. Planification
6 visés pas uniquement les fournisseurs de solutions en nuage à un processus d appel d offres rigoureux. Une organisation a indiqué que les fournisseurs qui prétendent répondre à toutes les exigences devraient en fait être soumis à un examen plus poussé, et qu on devrait leur demander par exemple de procéder à une démonstration exhaustive de leur application. Les organisations devraient aussi demander des références au FSN, et communiquer ellesmêmes avec les personnes visées. Les organisations doivent tirer profit de la nature «clé en main» de l informatique en nuage et demander au FSN de réaliser une démonstration de faisabilité avant de signer un contrat. Une organisation a convaincu son FSN de mettre en œuvre une application pilote, et s est engagée à acheter des licences seulement si elle était satisfaite des résultats obtenus. Le FSN a dû résoudre certains problèmes liés à l intégration avant que l organisation commence à payer des droits de licence. L organisation a ainsi réalisé des économies, mais elle s est surtout assurée d obtenir l application qui répondait à ses besoins sur le plan des affaires. Les organisations doivent aussi déterminer si le modèle de gestion de l informatique en nuage permet de répondre aux besoins à combler. Avec l informatique en nuage, les ressources sont regroupées et l approche de service est essentiellement uniformisée, de sorte que les fournisseurs offrent le même niveau de fonctionnalité à chacun de leurs utilisateurs. Ainsi, il est rare qu un FSN personnalise le service qu il offre à un client particulier. Même si les FSN peuvent s adapter aux grands joueurs qui sont prêts à payer pour en avoir plus, il y a des cas où même les grandes sociétés ne peuvent les faire plier. Prenons le cas d Eli Lilly (un chef de file de l industrie pharmaceutique), qui a mis fin à son utilisation d Amazon EC2 8 «en raison de l impossibilité de négocier les dispositions contractuelles d utilisation avec Amazon Web Services» 9. En conséquence, si une organisation a des besoins particuliers en ce qui a trait à la sécurité de l information, à la disponibilité et au soutien, etc., il est peu probable qu une application en nuage puisse lui convenir. Il faut tenir compte de la nature stratégique des processus fonctionnels déplacés vers le nuage, particulièrement au niveau des applications ou des logiciels-services. L informatique en nuage est optimisée pour les applications non essentielles et non stratégiques d une organisation. Cela s apparente à la philosophie de l impartition traditionnelle, où des tiers s occupent des aspects non stratégiques de l environnement technologique. D un autre côté, le déplacement d applications stratégiques vers le nuage exige que l organisation travaille avec le FSN à l intégration de la technologie stratégique en question dans l environnement partagé du FSN. Autrement dit, l organisation doit être convaincue que le FSN préservera la confidentialité de sa technologie propriétaire et qu il n en fera pas profiter d autres clients 8 Le fournisseur est mentionné à titre d exemple seulement. CPA Canada et l auteur du présent document n ont appliqué aucun contrôle diligent et n appuient ni implicitement ni explicitement le fournisseur présenté. 9 Harris, Derrick, Upset About Your Cloud Contract? Tough Luck, GigaOm Research, http://research.gigaom.com/2010/08/ upset-about-your-cloud-contract-tough-luck (1 er août 2010, en anglais seulement). Planification
7 de son service d informatique en nuage. Les organisations qui envisagent une telle utilisation de l informatique en nuage devraient consulter un avocat spécialisé en propriété intellectuelle pour s assurer qu elles sont véritablement protégées par le contrat du FSN. Un autre risque connexe se pose avec le stockage de données sensibles dans le nuage. Les organisations devraient déjà disposer d une politique qui les oblige à évaluer la sensibilité de leurs données. Même si les catégories précises varient d une organisation à l autre, on compte habituellement quatre catégories de données : très confidentielles, confidentielles, internes et publiques (du plus sensible au moins sensible). Chaque catégorie devrait être assortie d un ensemble de contrôles standard correspondant aux données visées. Par exemple, une organisation pourrait avoir adopté une politique qui exige que les données très confidentielles soient chiffrées avant d être transmises. Les organisations doivent comprendre quel est le degré de sensibilité de leurs données avant d adopter l informatique en nuage. Les données très sensibles, comme les secrets commerciaux ou d autres renseignements revêtant une importance stratégique, ne devraient pas être déplacées vers le nuage. Ce type de renseignements est prisé des pirates et autres utilisateurs malveillants. Les données réglementées, comme les dossiers médicaux, doivent aussi être étudiées avec soin selon cet angle. Par exemple, en Ontario il n est pas explicitement interdit de déplacer des dossiers médicaux personnels dans le nuage, mais en raison de l obligation d informer les utilisateurs en cas d atteinte à la sécurité des données 10 (p. ex. la perte ou le vol de données), il peut être prudent de tenir les données de ce type à l écart des FSN qui n appliquent pas de chiffrement de façon systématique 11. Comme il est indiqué dans l annexe, le déplacement de données sensibles dans un environnement partagé auquel il est possible d accéder de façon anonyme expose l organisation au risque que des pirates ou autres utilisateurs malveillants soient en mesure d accéder à ces données. Les organisations doivent aussi déterminer si les droits associés aux données sont dans les faits transférés au FSN. Comme le souligne Bill Snyder, «les lois ayant trait au stockage dans le nuage sont si récentes et si vagues que l on ne sait toujours pas clairement si les données que nous téléversons dans un site de stockage nous appartiennent toujours» 12. Plus particulièrement, il indique comment Verizon établit dans ses contrats qu elle «a le droit, mais pas l obligation, de surveiller l utilisation de tout contenu et de filtrer, refuser, déplacer ou retirer tout contenu transmis à tout service supplémentaire ou à partir de tout service supplémentaire, dans le but de se conformer aux lois ou aux clauses du présent contrat» [Traduction]. M. Snyder explique par ailleurs comment cette clause a permis à Verizon de balayer les 10 www.mondaq.com/canada/x/70548/information+security+risk+management/privacy+breach+notifications+in+the+ Health+Sector (en anglais seulement). 11 La plupart des commissaires à la protection de la vie privée sont d avis que «la perte de matériel contenant des informations confidentielles sur les patients, protégées par un chiffrement fort (c.-à-d. difficile à déchiffrer), ne constitue pas une perte réelle de renseignements et qu il n y a donc pas lieu d aviser les patients en pareille circonstance». Voir https://oplfrpd5.cmpa-acpm.ca/-/protecting-patient-health-information-in-electronic-records (en anglais seulement). 12 www.infoworld.com/article/2613756/cloud-storage/when-is-your-data-not-your-data--when-it-s-in-the-cloud.html (7 mars 2013, en anglais seulement). Planification
8 fichiers de l un de ses abonnés et d y découvrir du matériel illégal. L abonné a par la suite été arrêté par la police. Si le contrat conclu avec le FSN contient une clause similaire, l organisation pourrait alors être soumise à une surveillance de ce type. Vous trouverez en annexe de plus amples renseignements sur la propriété et la confidentialité des données. Leçon 2 : Évaluer la stabilité financière et la viabilité du fournisseur de services en nuage pressenti DÉFI : Compte tenu de l engouement que suscite l informatique en nuage, les FSN sont plus susceptibles d être acquis ou assimilés par les grands joueurs de l industrie. L évaluation de la stabilité ou de la viabilité d un fournisseur ou d un partenaire d impartition éventuel est une pratique exemplaire largement reconnue. Plusieurs FSN sont de petits fournisseurs spécialisés; toutefois, et avant d investir temps et énergie dans l intégration d une application en nuage proposée, il est souhaitable de s assurer que le FSN est en bonne santé financière. Hormis l insolvabilité, une autre raison qui peut entraîner l indisponibilité d une application en nuage est l acquisition du FSN par un fournisseur de plus grande envergure qui souhaite accroître la part de marché de sa ligne de produits existante. Il est fort probable que l acquéreur cesse d utiliser l application afin d atteindre cet objectif. Un grand fournisseur peut aussi acheter le FSN principalement pour son talent. Dans ce cas, il fait l acquisition de ses employés et non de ses services en nuage. Leçons tirées : Il peut être difficile d évaluer la stabilité et la viabilité d une entreprise en démarrage ou spécialisée qui n a pas de vastes antécédents ou de nombreuses données financières à présenter. Une organisation a indiqué que, devant l impossibilité d obtenir les états financiers d un fournisseur potentiel, elle avait demandé à en connaître les investisseurs et qu elle avait alors pu effectuer une vérification des antécédents. Elle a également demandé la feuille de route de développement du produit du FSN pour avoir une idée des plans de développement du logiciel et de l engagement du FSN à en assurer le maintien à long terme. Les organisations doivent avoir un plan de rechange advenant que leur FSN soit acheté, qu il fasse faillite ou qu il devienne inaccessible. Une organisation a expliqué que l application en nuage qu elle utilisait avait fini par être achetée par un autre fournisseur, et qu elle avait découvert que la feuille de route de développement du logiciel avait été modifiée et qu elle ne répondait plus à ses besoins d affaires. Elle a finalement dû se tourner vers un nouveau FSN. Ainsi, les organisations doivent s occuper proactivement du risque de manquement de leur FSN dans le cadre de leurs stratégies de sauvegarde et de récupération, de même que dans leur plan antisinistre, ce qui comprend la prise en compte des éléments suivants : Dispositions contractuelles relatives à l accès aux données : Lorsque cela est possible, l organisation doit, au moyen de dispositions à cet égard dans son contrat, obliger le FSN à lui fournir ses données dans un format utilisable advenant qu il soit acheté ou fasse Planification
9 faillite. Comme l indique un billet de blogue posté par un fournisseur de services d investigation informatique en nuage, «le contrat doit préciser que les données de l entreprise appartiennent uniquement à l entreprise et non au fournisseur de nuage» 13. Sauvegarde des données : Les organisations devraient assurer la sauvegarde de leurs données à partir des systèmes de leur FSN même si elles peuvent inclure une disposition contractuelle leur permettant d accéder à leurs données si le FSN cesse ses activités. Il ne faut pas présumer que l on disposera toujours d une marge de manœuvre pour récupérer ses données rapidement à partir du nuage, car une application en nuage peut devenir inaccessible de façon permanente si elle est détruite physiquement ou si des imprévus surviennent. Par exemple, le gouvernement des États-Unis a fermé le site MegaUpload (un service de stockage en nuage) en raison de violations alléguées de droits d auteur et a lancé un «processus long et ardu obligeant des tierces parties souvent des particuliers ou de petites entreprises à parcourir de longues distances pour se rendre au tribunal et à participer à de multiples audiences» afin de récupérer leurs données 14. Établissement d une «stratégie de sortie de données» pour retirer les données du nuage : Il est essentiel de pouvoir retirer les données du nuage, mais les organisations doivent aussi déterminer comment elles vont accéder à leurs données et les utiliser si leur fournisseur devient inaccessible. Une façon de faire est de trouver un deuxième FSN. Par exemple, SunGard Availability Services 15 peut être utilisé comme fournisseur de rechange si l on utilise Amazon Web Services 16. On peut aussi se rabattre sur un système à l interne, mais cela n est pas aussi simple qu il n y paraît. Par exemple, les utilisateurs de QuickBooks 17 peuvent télécharger leurs données à partir de QuickBooks Online, mais il faut convertir ces données pour pouvoir les importer dans la version hors ligne de QuickBooks, et certains éléments ne peuvent être convertis 18. Quoi qu il en soit, les organisations doivent agir proactivement pour trouver la solution qui leur convient et préparer un plan pour passer de leur FSN actuel au FSN de rechange ou à leur système à l interne. La planification antisinistre doit être appliquée aux logiciels en nuage tout comme elle le serait aux logiciels sur site. Préservation de la confidentialité des données : L infrastructure des nuages étant collective, cela complique l application des techniques conventionnelles de destruction des données, comme la destruction des supports physiques qui contenaient des données 13 www.digitalreefinc.com/blog/bid/78545/cloud-computing-caveats-part-i-take-time-with-the-details (2 décembre 2011, en anglais seulement). 14 Cohn, Cindy, et Samuels, Julie, Megaupload and the Government s Attack on Cloud Computing, www.eff.org/deeplinks/ 2012/10/governments-attack-cloud-computing (31 octobre 2012, en anglais seulement). 15 Voir la note 8 à la p. 6. 16 Voir la note 8 à la p. 6. 17 Voir la note 8 à la p. 6. 18 Consultez la page suivante d Intuit qui porte sur cette question : https://qbo.intuit.com/redir/qbconvert (en anglais seulement). Planification
10 confidentielles. L organisation doit donc s assurer que son contrat avec le FSN contient une clause qui confirme que toutes ses données seront détruites et non récupérables lorsqu elle mettra fin à son utilisation des services du FSN. Leçon 3 : Mettre toutes les principales parties prenantes dans le coup DÉFI : Parce que l informatique en nuage offre des services «clé en main», les utilisateurs commerciaux croient qu ils n ont pas besoin des spécialistes des TI ou d autres experts en la matière comme des conseillers juridiques pour passer minutieusement en revue le contrat et comprendre ses incidences. Il existe un risque que les utilisateurs commerciaux soient trop sûrs d eux et qu ils estiment pouvoir mettre en œuvre des solutions en nuage sans demander l aide de leur service des TI ou de leur service juridique. Cela peut être le cas s ils se sentent à l aise dans l utilisation d applications en nuage dans leur vie personnelle (p. ex. Google docs, Gmail et Hotmail) ou s ils veulent contourner leur service des TI pour procéder plus rapidement. En ne faisant pas appel aux experts en la matière qui participent normalement au processus d appels d offres, l équipe d évaluation se prive de la profondeur technique qui lui permettrait d évaluer l incidence des différentes architectures proposées par les fournisseurs. Leçons tirées : Une organisation a indiqué qu elle avait procédé à la mise en œuvre d une application en nuage sans en parler aux experts appropriés des TI et de la sécurité de l information. Certains problèmes ont alors fait surface. Par exemple, les exigences techniques en matière d accès sécurisé n avaient pas été prises en compte dans les processus d appel d offres et de négociation du contrat. Les exigences en matière de sécurité ont été établies plus tard et il a fallu beaucoup de temps et d efforts pour les traiter, ce qui a retardé la mise en œuvre de l application. En ce qui a trait aux TI en général, un spécialiste des TI est bien placé pour comprendre quelles sont les ressources nécessaires (délais, personnel à l interne, ressources extérieures, etc.) pour intégrer une application en nuage dans l infrastructure de l organisation. Les spécialistes pourront aussi renseigner le FSN sur les normes internes pertinentes que l organisation a adoptées et auxquelles il doit se conformer. Par exemple, une organisation avait adopté l Information Technology Infrastructure Library (ITIL), un ensemble de pratiques exemplaires qu utilisent les organisations pour améliorer leurs services des TI internes (c.-à-d. la prestation de services de soutien en TI à l organisation). Cela dit, comme l organisation n avait pas intégré cette obligation dans les exigences contractuelles que le FSN devait respecter, elle a dû accepter que le FSN applique ses propres normes de qualité pour les services des TI. Planification
11 Les spécialistes des TI peuvent également aider l organisation à négocier l entente sur les niveaux de service (ENS) qui sera conclue avec le FSN. Une organisation a indiqué que si ses spécialistes des TI avaient été présents à la table des négociations, elle aurait été en mesure d inscrire des dispositions plus rigoureuses dans l ENS. Selon le libellé actuel du contrat, c est l organisation qui doit prouver que le FSN est fautif si le service subit une interruption. Avec le recul, l organisation aurait dû faire inclure des clauses tenant le FSN responsable de la surveillance du niveau de service fourni. Il aurait alors été plus facile pour l organisation de cerner le problème lors d une interruption de service et d en imputer la responsabilité au FSN. Sans ces clauses, il devient pratiquement impossible de prouver que le FSN est responsable de l interruption de service. L organisation a souligné qu elle n avait pu obtenir de crédits de service pour compenser les interruptions. Les organisations doivent examiner soigneusement quelle est la procédure précise de demande de remboursement ou de crédit en cas d interruption du service. Sur le plan contractuel, les organisations devraient faire appel à un conseiller juridique ou à d autres spécialistes pour évaluer les répercussions des diverses dispositions du contrat 19. Par exemple, une organisation a dû payer des droits de licence à son FSN durant la période de mise en œuvre, qui a duré presque un an, avant de pouvoir utiliser les services en nuage. Sur une note positive, l organisation a été proactive en obligeant le FSN à couvrir les coûts des demandes de modification liées à la mise en œuvre. Le FSN a tenté de facturer les coûts des modifications, mais l organisation a pu invoquer la clause pertinente du contrat pour démontrer qu elle n avait aucune obligation de payer ces coûts. Les organisations peuvent confier à leur service de l approvisionnement la responsabilité de superviser le processus d achat pour que les bons intervenants y participent et que toutes les procédures pertinentes soient suivies. En l absence de l expertise technique voulue à la table des négociations, il se peut que les organisations ne soient pas en mesure de déterminer tous les coûts et les incidences que la solution en nuage peut engendrer par rapport à leurs activités. 19 www.zdnet.com/how-to-manage-contractual-risks-in-cloud-computing-7000027568 (8 mars 2014, en anglais seulement). Planification
12 Coûts Leçon 4 : Comprendre la tarification des services en nuage DÉFI : En raison de la structure des contrats, les modèles de tarification des services en nuage peuvent ne pas s ajuster à la baisse en cas d utilisation minime. Contrairement aux applications sur site, qu il faut payer avant de les utiliser, il existe un risque que les prix augmentent de façon imprévue. Comme il en est question dans le document de CPA Canada Informatique en nuage : introduction, les contrats de services en nuage offrent une utilisation à la demande qui permet aux organisations d accroître ou de réduire automatiquement le recours aux ressources informatiques dont elles ont besoin. Par exemple, le Washington Post a utilisé l équivalent de 200 serveurs pendant 26 heures, au coût d environ 145 $, pour convertir des fichiers d image en texte interrogeable 20. Cela peut toutefois être attribué au fait que son FSN, Amazon Web Services (AWS) 21, offre une structure de tarification à l utilisation qui permet à ses clients de ne payer que pour ce qu ils utilisent. Le service est donc moins coûteux s il est moins utilisé, un peu comme les factures de services publics, qui sont établies selon l utilisation des consommateurs. Leçons tirées : Les solutions en nuage ne suivent pas toutes une structure de tarification à l utilisation. D abord, les organisations doivent connaître le type de services en nuage pour lequel elles paient. Les infrastructures-services (IaaS) ne fonctionnent pas de la même façon que les logiciels-services (SaaS). La nature standardisée des infrastructures-services se prête bien à l expansion et à la contraction. Même si les logiciels-services peuvent théoriquement fonctionner de la même manière, dans la pratique ils fonctionnent de façon différente en raison de la structure des contrats des fournisseurs. Les grandes organisations obtiennent des remises plus importantes en raison du nombre élevé de licences d utilisation qu elles achètent 20 AWS Case Study: Washington Post, www.greenm3.com/gdcblog/2013/8/28/case-study-of-washington-post-using-aws.html (27 août 2013, en anglais seulement). 21 Amazon Web Services (AWS) offre des ressources informatiques de base sous forme d infrastructure-service (IaaS). Coûts
13 à l avance. Par exemple, si la société A convient d acheter 5 000 licences d utilisation, mais qu elle veut par la suite ramener ce nombre à 4 500, elle pourrait devoir payer des droits de licence plus élevés par utilisateur si elle n est plus admissible à la remise sur quantité. Un autre problème lié à la tarification est que rien n empêche le FSN d augmenter ses tarifs. L organisation pourrait être forcée d accepter des majorations de tarifs inattendues si elle n a pas gelé ses tarifs à long terme. Il en va autrement pour les applications sur site, puisque l organisation achète le matériel et le logiciel d abord, et peut négocier des frais de maintenance fixes pour un certain nombre d années. Dans un article publié sur ZDNet, Will Venters de la London School of Economics souligne que les hausses de tarifs futures forcées font partie de la stratégie mercantile des fournisseurs de logiciels-services. «Avec les logiciels-services, il est difficile d échapper à l engrenage de développement du fournisseur, souligne-t-il. On ne peut pas conserver XP comme on le faisait tous avec Windows XP parce que l on n aimait pas Vista» 22. Will Venters illustre la différence marquée qui existe entre l achat d une application comme Windows XP, utilisée depuis plus d une décennie, et le passage au nuage; le coût d une application à l interne est réglé à l avance, alors que l organisation qui se tourne vers le nuage doit payer des droits au FSN tant qu elle utilise son service. Toutefois, selon le FSN et le pouvoir de négociation de l organisation, il peut être possible d établir un prix fixe. Une organisation a été en mesure de négocier un prix pour un nombre déterminé de licences, prix qui demeurerait en vigueur pendant un certain nombre d années. Par contre, pour profiter de ce prix spécial, elle ne pouvait réduire le nombre de ses licences, et elle aurait dû payer une pénalité si elle avait mis fin prématurément à l entente. De plus, si elle voulait augmenter le nombre de ses licences, elle devait payer le prix du marché et non le prix réduit qu elle avait négocié à l origine. Autrement dit, la tarification des logiciels-services n est pas ajustée à la hausse ou à la baisse «en fonction des besoins». 22 www.zdnet.com/saas-cloud-pricing-can-it-ever-add-up-7000011847 (1 er mars 2013, en anglais seulement). Coûts
14 Leçon 5 : Évaluer et quantifier les défis que pose l intégration des services en nuage DÉFI : Les applications en nuage peuvent poser d importants défis d intégration susceptibles de compromettre le respect des échéanciers et d accroître les coûts globaux. Un facteur clé qui peut faire varier les prix établis est le degré d intégration requis. Le défi que pose l intégration des applications en nuage aux applications sur site est exposé dans le document Informatique en nuage : introduction : «[...] les entreprises doivent également évaluer les efforts et les ressources nécessaires pour intégrer la nouvelle application en nuage, à la fois à des logiciels sur site et à d autres applications situées sur le nuage. Cela peut s avérer particulièrement difficile avec les applications patrimoniales. Par exemple, une entreprise a dû créer sa propre interface pour intégrer une application en nuage à un logiciel sur site qui s exécutait sur un serveur AS/400» 23. Leçons tirées : L intégration des applications en nuage peut être difficile pour les organisations qui comptent de multiples systèmes. Les solutions en nuage prêtes à l emploi tendent à mieux fonctionner avec les systèmes uniques standards (p. ex. un système ERP conventionnel non personnalisé). Voici quelques-uns des défis d intégration auxquels les organisations répondantes ont dû faire face : Applications isolées : Une organisation a souligné que si le nombre de logiciels-services croît de manière incontrôlée, on peut se retrouver avec une infrastructure cloisonnée où chaque logiciel-service est isolé et ne peut être intégré aux autres applications. Des contrôles doivent être mis en place pour que toutes les applications en nuage soient soumises à un processus centralisé, ce qui permettra de les répertorier. L étape suivante consiste à mettre en œuvre un plan pour l intégration de ces applications dans l environnement informatique global de l organisation. Gestion et conversion des données : Les organisations doivent évaluer le temps et les efforts qui seront nécessaires pour faire migrer les données d une application patrimoniale vers le nuage. Une organisation a indiqué qu il lui avait été particulièrement difficile de convertir ses données dans un format utilisable par l application en nuage. Les organisations doivent comprendre chacune des exigences en matière de données de l application en nuage, la façon dont l application interagira avec les applications existantes pour échanger des données, et la façon dont les données demeureront valides, exhaustives et exactes lors de leur passage de l application patrimoniale à l application en nuage. Un défi qui se pose alors est la configuration de l application en nuage afin qu elle traite les données non standards de l organisation. Une organisation a indiqué que l application 23 Kim S. Nash, Cloud Computing: What CIOs Need to Know About Integration, www.cio.com/article/593811/ Cloud_Computing_What_CIOs_Need_to_Know_About_Integration (15 mai 2010, en anglais seulement). Coûts
15 en nuage qu elle utilisait ne pouvait gérer les flux de données issus de multiples systèmes, ce qui l a obligée à concevoir et établir des processus pour le transfert des données dans l application en nuage. Gestion de l accès : Lors de la mise en œuvre d une application en nuage, il peut être difficile de s assurer que les contrôles de gestion de la sécurité de l information et de l accès sont dûment appliqués. Plus particulièrement, les organisations qui utilisent des dispositifs physiques de sécurité pour l accès à leurs systèmes auront des difficultés à mettre en œuvre de tels contrôles. Une organisation a dû investir temps et argent dans ses contrôles de gestion de l accès afin de s assurer que l application en nuage qu elle utilisait répondait à ses normes de sécurité de l information. Un défi connexe est la mise en œuvre de la gestion de l accès par authentification unique dans le nuage. Plus particulièrement, les organisations doivent comprendre comment les employés peuvent accéder de façon transparente aux diverses applications en nuage en utilisant le protocole de gestion de l accès existant. Comme nous l avons indiqué à la leçon 3, les organisations doivent faire participer les spécialistes de la sécurité de l information au processus de sélection du fournisseur, afin qu ils puissent évaluer en détail comment le respect des normes de sécurité en vigueur sera assuré. Il est essentiel de prendre ces éléments en compte pour que seuls les utilisateurs autorisés puissent accéder aux applications et, plus important encore, aux données qu elles contiennent. Par exemple, il existe un risque associé à l absence de désactivation de l accès aux applications en nuage au moment opportun, notamment lorsqu un employé quitte l organisation. Les responsables de l organisation doivent en discuter avec le spécialiste de la sécurité de l information pour veiller à ce que les spécifications techniques permettant cette désactivation soient définies dans l appel d offres de même que dans le contrat conclu avec le FSN. En ce qui a trait aux solutions de tiers permettant la gestion de l accès, une organisation a constaté qu elles en sont à leurs débuts et que ce marché n est pas encore à maturité. Par conséquent, une organisation doit se doter de contrôles atténuateurs pour que des processus et des procédures permettent de surveiller l accès aux divers services en nuage qu elle utilise. Par exemple, si les services en nuage n ont pas été intégrés au système de gestion de l accès centralisé, des procédures manuelles devront être appliquées pour revoir périodiquement les accès et veiller à ce que les droits d accès conviennent selon les rôles des employés. Ces procédures doivent aussi être ajoutées au processus de fin d emploi même s il faut ouvrir une session dans chacun des services en nuage et retirer les droits d accès des anciens employés un à la fois. Échéanciers prolongés : Une mauvaise évaluation des difficultés touchant l intégration et la mise en œuvre peut avoir de lourdes conséquences sur les échéanciers. Les fournisseurs de services en nuage vantent souvent les échéanciers de mise en œuvre proposés pour les organisations qui utilisent leur application seule ou en tant qu élément d un écosystème d applications s intégrant entre elles en toute transparence. En conséquence, Coûts
16 les délais peuvent s allonger considérablement lorsque l organisation doit intégrer l application en nuage dans son environnement d applications hétérogène. Le FSN d une organisation lui a promis une mise en œuvre en trois mois qui s est finalement prolongée sur 10 ou 12 mois. Les délais indus dans la mise en œuvre des systèmes ne sont pas le propre des applications en nuage. Cela dit, si les organisations ont besoin qu une solution soit utilisable à une date précise afin de respecter un objectif d affaires précis, elles doivent investir le même effort et faire le même examen détaillé des défis potentiels que pose la mise en œuvre de l application en nuage que pour toute autre application. Contrôle et sécurité des données : Pour se conformer aux politiques internes et à la réglementation externe (p. ex. les lois sur la protection des renseignements personnels et les normes de sécurité sur les données de l industrie des cartes de paiement), il est essentiel de savoir à l avance comment les données seront sécurisées. De plus, il faut savoir dans quel pays résideront les données, puisque chaque pays a ses propres règles auxquelles les FSN doivent se conformer. De plus amples renseignements sont fournis en annexe. Leçon 6 : Calculer le coût total de possession de la technologie avant de s engager dans l informatique en nuage DÉFI : Si elles n évaluent pas le coût total de possession, les organisations risquent de payer trop cher pour le niveau de fonctionnalité désiré ou de ne pas choisir l application qui répond le mieux à leurs besoins. Quel que soit le système mis en œuvre, il est impératif d évaluer le coût total de possession (CTP). Dans le cas des applications en nuage, les organisations doivent être conscientes du fait que le prix annoncé par utilisateur ou par utilisation ne comprend peut-être pas tous les coûts de mise en œuvre et d intégration de la solution dans l environnement informatique de l organisation. Une organisation, par exemple, a indiqué que les coûts de mise en œuvre avaient été environ 35 % plus élevés que prévu. Leçons tirées : La mise en œuvre peut entraîner un certain nombre de coûts supplémentaires : Paiement des droits de licence durant la phase de mise en œuvre : Certains FSN exigent que leurs clients paient des droits de licence dès l étape de la mise en œuvre, avant que l application soit prête à être utilisée. Coûts des services-conseils pour la mise en œuvre : Les organisations peuvent devoir faire appel aux services de consultants du FSN ou de consultants externes en intégration des systèmes. Pour comprendre le CTP, les organisations devraient demander au FSN de leur fournir la liste exacte des activités qu il exécutera et de celles qu il n exécutera pas durant la période de mise en œuvre. Coûts
17 Paiements simultanés pour les nouvelles et les anciennes applications : Si la mise en œuvre du nouveau service en nuage est reportée, l organisation pourrait devoir payer pour maintenir son ancienne application ou renouveler son contrat avec son ancien FSN. Une organisation s est retrouvée dans la situation où elle a dû renouveler son contrat avec son ancien FSN parce que son nouveau service en nuage n était pas prêt. Une clause devrait être ajoutée au contrat afin de préciser que les paiements ne seront exigibles que lorsque l application sera entièrement fonctionnelle et utilisable par l organisation. De plus, des clauses de pénalité devraient être établies pour que l organisation puisse recouvrer les coûts de renouvellement de contrats avec d anciens fournisseurs. Frais de service supplémentaires : Certains FSN factureront des frais pour chaque élément du service fourni, y compris les fonctions analytiques. Par exemple, une organisation a eu la surprise d avoir à payer des frais rattachés à des données conservées à des fins historiques seulement. Pour éviter de payer ces frais, elle a mis en place un processus manuel pour filtrer les données inactives et les conserver dans son propre environnement. Les organisations doivent comprendre comment le FSN traitera les différentes opérations et déterminer ensuite les services qui entraîneront des frais supplémentaires. Frais d impartition : Un expert de l informatique en nuage a indiqué que les FSN peuvent facturer à la pièce chaque élément d un contrat d impartition. Par exemple, le FSN peut facturer des frais mensuels lorsqu un service nécessite un certificat de chiffrement selon le protocole SSL (Secure Sockets Layer), alors qu à l interne, ce certificat pourrait être mis en œuvre par le service des TI sans entraîner de frais récurrents. Coûts