Les entreprises hésitent à aller vers le Cloud en raison de la complexité de leurs contrats de niveau de service (SLA). Les acteurs du Cloud cherchent à évacuer le ciel des problèmes liés au SLA.La fonction informatique a eu sa dose de conférences, présentations, de retour d'expériences sur le Cloud. La phase de la découverte est révolue. Certaines ont déjà franchi le cap d'une façon ou d'une autre.
Les Services Level Agreement (SLA) dissuadent certaines entreprises de passer au Cloud Computing, du moins pour le moment.
Ce qu'on appelle SLA en entreprise devient Quality of Service (QoS) dans le Cloud. Le plus souvent, cet indicateur va déterminer la proportion des services informatiques à faire migrer vers le Cloud.
Beaucoup d'entreprises ont l'impression que passer au Cloud est synonyme de « perte de contrôle sur l'infrastructure » et fait courir le risque de voir certaines données vitales disparaître. Aussi, la plupart des entreprises craignent de confier leurs applications vitales au Cloud.
De l'autre côté, les acteurs du Cloud Computing n'ont de cesse de répéter que leurs infrastructures ont été conçues en tenant comptes des problématiques spécifiques aux SLA. Certains promettent même une disponibilité supérieure à ce qu'elle serait si l'informatique était hébergé dans les locaux du client.
Mais de quoi ont-ils peur ?
Disponibilité.
Pour commencer, les DSI et la direction informatique attendent le Cloud sur la question de la disponibilité de service. Dans certaines entreprises gérant des flux de données clients de manière intensive, une interruption du service aurait des conséquences catastrophiques. Et il faudrait alors s'en remettre aux compétences de son fournisseur Cloud... Autant dire qu'il faut avoir confiance!
De plus, l'accès au Cloud peut être interrompu de plusieurs façons... Les facteurs de risques paraissent plus nombreux.
Les DSI attendent de leurs fournisseurs qu'ils prennent en comptes tout ces facteurs et proposent des SLA appropriés.
- Que faire si le Service Cloud n'est plus accessible ?
- Que faire en cas de problème de connectivité réseau ?
- Y a t'il un système de backup prévu pour récupérer les données en cas de plantage d'un serveur ?
- Est ce qu'il y a suffisamment de redondance dans les données pour éviter d'en perdre en cas de rupture du réseau ?
- Dispose t’on d'un Cloud de secours, si le premier rend l'âme ?
Performance:
Les problèmes de latence liés à l'éloignement des divers éléments du Cloud sont les plus ennuyeux sur la plan de la performance. Ces derniers pourrait dissuader plus d'un DSI de se lancer dans les nuages. Au fur et à mesure que le nombre de clients en Cloud augmente, le prestataire de service doit veiller à ce que les performances spécifiées contractuellement ne soient pas compromises.
Sécurité et conformité:
Du point de vue SLA, c'est sans doute le point le plus important. Lorsqu'une entreprise place ses données ou ses propriétés intellectuelles sur un site tiers, elle a besoin de s'assurer que ses informations sont protégées contre les menaces ou les fuites. Elle doit avoir la garantie que ses données sont correctement sauvegardées et lui permettent d'assurer la continuité de ses services.
Voici quelques questions qu'une entreprise pourrait se poser d'un point de vue sécurité et conformité réglementaire:
- Est-ce que mes données sont encryptées, pourraient-elles être vues par d'autres utilisateurs du Cloud ?
- Est ce qu'il y a une sauvegarde en as de perte de données ?
- Est-ce que les flux de données entre le Cloud et une entreprise sont encryptés également ?
- L'accès aux données est-il surveillé ? Y a t'il un log de tous les accès aux données de l'entreprise ?
- Où se trouvent physiquement les données de l'entreprise ? Quelles sont les lois qui régissent le stockage, l'accès et la propriété de mes données là où elles se trouvent...
Regardons maintenant ce qu'il est possible de faire:
Les fournisseurs Cloud s’imaginent que beaucoup d'entreprises ont toujours choisi d'avoir leurs infrastructures informatiques à distance, ou chez un hébergeur classique. Ils ont confiance en leur capacité d'atteindre les niveaux prévus de SLA... Cependant, certains éléments ou facteurs sont spécifiques au Cloud Computing.Pour Robert Stroud, Spécialiste de la gouvernance informatique: "bien que les fournisseurs de services Cloud soient en général des experts dans leurs domaines et soient capables de fournir de très bonnes SLA, les clients ont besoin de clarifier leurs attentes et de se mettre d'accord sur la question des SLA dès le début..."
Stroud explique: "le Cloud computing se sert d'internet comme d'un mode de délivrance du service. Il s'agit d'un média qui par définition ne peut être étroitement contrôlé. Les fournisseurs clament que la raison d'être du Cloud est de fournir une qualité de service optimale toute l'année, mais certains hésitent à le garantir contractuellement."
"Ce que je voudrais voir dans les contrats c'est ce qui sera capable de me restituer mes données si je change de prestataire de service. Si le prestataire fait faillite (peu probable), pourrais-je récupérer mes données et m'assurer qu’elles ne soient pas pillées par le fournisseur ou toute autre personne morale susceptible de prendre le relai ? Je voudrais également m'assurer que mes données soient toujours traitées selon mes SLA, pas celui de mon voisin dans le Cloud...)"
Les entreprises doivent donc se familiariser avec les lois qui régissent la garde des données. Par exemple, une société française ne peut pas utiliser les services d'un prestataire qui n'est pas présent sur son territoire.
Externalisation... Qui est l’ultime responsable ?
Stroud estime que la responsabilité ultime informatique incombe à la fonction informatique elle même: "le service informatique d'une entreprise utilisant une application tierce via le Cloud est l'ultime responsable de ce service rendu à son entreprise. Les fournisseurs des diverses composantes de ce service sont responsables de chacun des composants et doivent mettent en place les contrôles appropriés."Selon Stroud, la responsabilité ne peut être déléguée. Le service informatique peut être protégé contractuellement contre une éventuelle défaillance du tiers fournisseur. Toutefois, la direction informatique reste l'ultime responsable aux yeux de son entreprise.
Sharad Sanghi, DSI de Netmagic estime que: "nous ne pouvons garantir un SLA sur les applications hébergées par le client dans son Cloud. Bien que le client soit dédommagé par des crédits de service en cas de problème d'infrastructure, la SLA ne couvre pas une panne d'application résultant d'un bug dans l'application du client."
Pour les applications hébergées par Netmagic, Shanghi explique que ces dernières font l'objet de la plus grande attention et bénéficient du meilleur traitement possible. Toutefois, dans le cas où une application Netmagic n'est plus accessible en raison d'une erreur du client, ce dernier devra tout de même être dédommagé.
Shaghi poursuit: "Bien que nous disposions des outils nécessaires pour assurer la protection des données, aucun fournisseur de services Cloud, y compris NetMagic, ne peut le garantir à 100%"
Pour Kia Behnia, responsable informatique chez BMC Software: "les fournisseurs Cloud ne peuvent pas prendre en compte les exigences SLA de chaque client. Les fournisseurs de solutions Cloud doivent faire face à un large éventail de clients et à leurs particularités... les SLA peuvent parfois être contradictoires."
Les Acteurs du Cloud font-ils suffisamment d'efforts sur ce point ?
En tant que fournisseur de services Cloud, Sanghi poursuit: "nous proposons tous les SLA nécessaires à nos clients. Ces SLA ne portent pas uniquement sur les serveurs eux mais au niveau de la machine virtuelle, assurant ainsi une disponibilité maximale de chaque machine virtuelle.Netmagic, qui compte aujourd'hui une centaine de clients utilisant ses services Cloud, dispose d'une connectivité redondante se basant sur plusieurs hébergeurs Cloud, dont Tata, Airtel et Reliance. Une disponibilité maximale est ainsi assurée à travers le nuage. Ça permet de réduire la probabilité d'une panne réseau.
Sanghi continue: "nous fournissons également un service de stockage persistant en continu pour assurer que les données des clients soient sauvegardées et puissent être mises à disposition dans le cadre des SLA en cas de problème. En termes de SLA, un ensemble de SLA s'applique à tous les utilisateurs du service dans le Cloud. Pour les clients qui choisissent d'utiliser une infrastructure de nuage privé, hébergés sur un Cloud Netmagic, nous proposons à nos clients d'utiliser leurs propres SLA.
Les fournisseurs de solutions SaaS également font les efforts nécessaires pour que faciliter cette évaluation. L'initiative "Cloud Commons" évalue les fournisseurs Cloud en se basant sur le niveau de services. Il existe également le « Cloud Management Index » qui permet aux entreprises de mesurer la performance des différents acteurs et ainsi de prendre une décision en connaissance de cause.
D'après Stroud: "Dire que le client à la possibilité de changer de fournisseur s’il n'est pas satisfait du service est plus facile à dire qu'à faire. Une entreprise qui veut passer au Cloud doit prendre le temps d'évaluer chaque fournisseur avec la plus grande attention."
Solution à court terme:
Les entreprises peuvent toujours, dans un premier temps, s'essayer au Cloud en y plaçant des solutions n'ayant pas de SLA trop importante ou ne revêtant pas de caractère prioritaire. Dans le cas où le service ne seraient pas disponible, les conséquences ne seraient pas trop importantes. Si l'on en croit les principaux acteurs du Cloud, les entreprises choisissant massivement le Cloud commencent en général par quelques projets pilotes.Pour Stroud: "si le risque est inacceptable, l'entreprise choisit en général de conserver l'information en internet de la livrée dans le cadre d'un Cloud privé. Aujourd'hui, beaucoups d'entreprises font le choix du Cloud Privé. Il est utilisé principalement pour faire évoluer les mentalités et les usages en interne. Ce qui, avec le temps, devrait permettre à la DSI de prendre les bonnes décisions quant au passage au Cloud public."
Behnia abonde dans ce sens. D'après lui "peu importe la façon dont est sécurisé le Cloud Public, certaines entreprises ne sont de toutes les façons pas prètes à prendre le risque, qui l'emporte donc sur les avantages que ce de délivrance peut apporter."
Selon Behnia, "Aussi, de nombreuses applications ne nécessitent 36 niveaux de services, ni même un temps de réponse performant... Ainsi, si une banque d'investissement ne mettait son outil de marché en ligne sur un Cloud Public, il pourrait tout à fait y mettre un outil pour recueillir les candidatures de stagiaires. Les applications "Core’ continueront à être internalisées ou hébergées sur place car le risque perçu à externaliser est trop élevé. Cependant, les applications d'importance moindre seraient massivement déplacées sur le Cloud.
Finalement: "À l'avenir, le Cloud Computing sera davantage un modèle hybride dans lequel des services informatiques internes et externes devront évoluer ensemble."
Article traduit de l'anglais. Vous trouverez l'article original ici: http://www.informationweek.in/Cloud_Computing/10-08-18/SLA_A_big_question_mark_for_cloud_adopters.aspx
