Kurt Salmon sensibilise les entreprises sur les risques associés à l’introduction du Cloud Computing dans les stratégies de continuité, mais également sur les opportunités d’un DRP dans le nuage.

Pour les entreprises qui considèrent qu’il n’est plus nécessaire d’investir dans des serveurs physiques redondants afin de garantir la continuité de leurs activités, il peut être temps de revoir leur stratégie. Le fait qu’un plan de secours informatique puisse être vendu comme un service géré dans le Cloud n’est pas nouveau, mais de plus en plus d’entreprises s’y convertissent. Une telle approche peut offrir une solution attractive en termes de qualité et coûts de service et s’aligner sur les objectifs de délais de reprises et de perte maximale de données de l’entreprise.

Par contre sur quels critères les responsables informatiques peuvent-ils se baser afin de déterminer si leur entreprise peut être candidate à une intégration de technologie de Cloud Computing ? Comment s’assurer qu’en cas de crise majeure, leurs utilisateurs pourront accéder à des serveurs applicatifs de l’entreprise (messagerie, comptabilité/finance, CRM, ressources humaines, collaboration) reproduisant les configurations les plus récentes du système principal et intégrant les données critiques préalablement répliquées dans le Cloud.

Les avantages et inconvénients

Avant toute décision, il est important de réaliser une analyse d’impacts afin de définir si les délais de reprises et le degré de pertes de données spécifiques à cette entreprise pourront être supportés par les solutions de secours envisagées. A l’issue de cette analyse et en cas de résultats positifs, l’entreprise candidate pourra alors se lancer dans une évaluation détaillée de la solution et de ses avantages parmi lesquels :

• Une plus grande flexibilité, avec la possibilité d’adapter rapidement (extension ou réduction) les services selon l’évolution des besoins et conformément à une grille de tarifs convenue d’avance, sans qu’il soit nécessaire de renégocier de nouveaux accords de services ou de s’engager dans une nouvelle phase de contractualisation
• Une meilleure maîtrise des coûts, équilibrant les dépenses d’investissement (CAPEX) et opérationnelles (OPEX) et permettant une facturation basée sur la consommation réelle du service
• Un niveau sécurité équivalent voir accru en s’appuyant sur le savoir-faire et les compétences du prestataire en la matière
• La possibilité de disposer rapidement et à prix compétitif d’un environnement de test du plan de secours afin d’adapter ses capacités de continuité
• Bénéficier de l’expérience des fournisseurs de services de Cloud Computing, eux-mêmes professionnels des technologies de l’information confrontés à des problématiques et exigences identiques voir supérieures dans le cadre de la gestion de leurs propres systèmes et des services offerts à leurs clients

Mais également des inconvénients et risques comme :

• La dépendance vis-à-vis d’un opérateur externe, pouvant lui-même être touché par une situation de crise touchant ses infrastructures ou confronté à des situations de crises qui toucheraient ses clients et limiterait donc ses moyens et sa capacité opérationnelle du fait d’une probable mutualisation
• La fuite des données car se pose souvent la question de leur traçabilité, confidentialité et localisation
• La non étanchéité stricte des environnements virtuels garantissant un niveau de sécurité identique à celui obtenu dans un environnement physique dédié
• La maturité des offres de services de Cloud Computing : certaines le sont (infrastructure / stockage), d’autres moins (externalisation de processus métiers / « managed services » ou archivage…)
• Les implications légales et règlementaires liées à la protection des données confidentielles de ses clients, aux données personnelles, à la sous-traitance auprès de tiers (externalisation en cascade en s’appuyant sur les servies d’autres prestataires de Cloud Computing), aux problématiques multi-juridictionnelles (« cross-border »)
• Perte des compétences internes assurant une bonne gestion la planification de la continuité (incluant le type de réponses à apporter), l’organisation et la gestion des tests et enfin la gestion de la crise elle-même
• La garantie de la performance des niveaux de services
• Coûts cachés : transfert et stockage des données sur le long terme, liaisons réseaux et bande passante utilisée, migration initiale des données et d’intégration des divers systèmes, évolution ou remplacement des systèmes informatique concernés (obsolescence technologique, rationalisation, fusion ou nouvelle acquisition)

Afin de réduire l’impact de tels risques, les départements en charge de la contractualisation et de la gestion de l’externalisation du plan de secours informatique devront veiller à ce que les points suivants soient adressés et maintenus sous contrôle :

• Les objectifs de continuité (délais de reprise, perte maximale de données de l’entreprise, délai de retour à la normale) seront à confirmer avec le prestataire lors de la phase de sélection, à vérifier lors de la migration et enfin à faire évoluer si nécessaire compte tenu des contraintes règlementaires, des changements de stratégie métier, des processus clés ou des applicatifs.
• Pour s’assurer de la qualité des prestations, deux options sont possibles. Le client peut soit installer une solution logiciel de gestion des niveaux de service (par exemple un outil de supervision des systèmes et des réseaux) permettant de mesurer et de gérer précisément les niveaux de service définis par le contrat, soit s’appuyer sur son prestataire s’engageant à lui fournir des rapports d’activité détaillés de façon périodique
• Les pénalités financières inhérentes au non-respect des accords de niveaux de services ainsi que les clauses d’exclusions
• La sécurité : le prestataire de services doit être au moins au même niveau de sécurité que celui exigé par la politique interne de ses clients et s’aligner sur leurs exigences légale et règlementaire (le plus souvent via le choix d’un prestataire partageant le même cadre juridique). Il est également nécessaire de définir tout un ensemble de protocoles d’alertes et de s’assurer que ces protocoles sont parfaitement opérationnels
• Les conditions de protection des données du client, empêchant tout accès à des tiers non autorisés mais également aux personnels du prestataire
• Les conditions de suspension du contrat de service : il y a nécessité de négocier les causes possibles de suspension (rajout d’une clause de réversibilité et de clauses d’exclusion comme un conflit lié au paiement d’une facture)
• Les conditions de terminaison du contrat de service, en négociant notamment un délai de 6 mois minimum avant interruption du service et les conditions permettant le transfert auprès d’un tiers
• Se couvrir dans le cas où le prestataire serait dans l’incapacité, d’engager les moyens nécessaires au rétablissement des activités. D’où le besoin d’établir un plan de contingence (identification au préalable des solutions internes ou des prestataires externes tiers capables de répondre à un tel besoin et réflexion sur des modèles mixant des solutions Cloud privé/public ou hybride notamment pour la partie donnée) qui permettrait de garantir la continuité des opérations – probablement en mode dégradé.

Accompagnement et service

Kurt Salmon sensibilise les entreprises sur les risques associés à l’introduction du Cloud Computing dans les stratégies de continuité. Les récents problèmes d’interruption de service et de sécurité rencontrés par certains prestataires de solution Cloud nous montrent que le risque de défaillance n’est pas nul et que les conséquences qui en découlent (sanctions légales ou règlementaires, pertes financières, perte de clients, perte de confiance des clients, des investisseurs ou des partenaires, rupture de la logique des processus internes, perte d’information, etc…) sont susceptibles de remettre en cause la survie de leurs clients en cas de crise majeure.

Kurt Salmon a régulièrement l’occasion d’accompagner ses clients dans l’analyse d’opportunité pour la mise en place de solutions de secours orienté Cloud Computing, le choix du modèle opérationnel associé (Cloud privé, public ou hybride), la sélection du prestataire de service, la mise en place des dispositions contractuelles et des niveaux de services, la sélection et la qualification des données et systèmes à transférer dans le Cloud, ou encore la création de dispositifs de contrôle interne spécifiques.