linkedin twitter
Gouvernance cloud

Qu’est-ce que le cloud computing ?

Avant de parler de gouvernance cloud, petite piqûre de rappel, le cloud computing est une technologie qui utilise des infrastructures et des services informatiques qui ne sont pas installés « on-premise » sur le site de l’entreprise mais sont virtualisés sur la toile.

Les serveurs externes établissent des connexions à l’aide d’un réseau (Internet le plus souvent). Ils fournissent les ressources et services appropriés aux collaborateurs de l’entreprise.

L’adoption du cloud est un catalyseur de la modernisation du SI des entreprises. Tout porte à croire que les dépenses nous menant à cette technologie feraient exploser les portefeuilles des DSI. La nécessité de la mise en place d’une gouvernance cloud est primordiale afin de réaliser et de maîtriser sa transition.

La gouvernance cloud, Kesako ?

La gouvernance du cloud est assimilée à un ensemble de règles ou protocoles. Une entreprise crée, surveille et modifie au besoin l’ensemble pour administrer un déploiement cloud. Elle permet de contrôler les coûts, d’en améliorer l’efficacité et d’en sécuriser les flux.

Ces règles se réfère le plus souvent aux points suivants :

  • Processus de prise de décision,
  • Architecture,
  • Déploiement,
  • Exploitation,
  • Etc.

Le passage au cloud d’une entreprise signifie également que les collaborateurs peuvent dans certains cas, développer leurs « propres systèmes ». Ils peuvent déployer des « assets » à « coup de clic ». Les entreprises doivent mettre en place une gouvernance autour de cette technologie.

C’est pour garder un contrôle maximal sur l’organisation et les coûts que peuvent engendrer cette décentralisation.

Les fondamentaux de la gouvernance cloud

Aligner la politique de gouvernance du cloud sur les objectifs business

Si l’entreprise se trouve dans un domaine fortement réglementé, votre politique de gouvernance doit être stricte (à ne pas confondre avec rigidité). Si l’ADN de l’entreprise se veut d’être agile, essayez de ne pas construire une politique de gouvernance rigide.

D’autre part, être agile c’est aussi trouver un terrain d’entente. Notamment entre une politique de gouvernance solide et une flexibilité d’innover en cas de besoin.

Cette politique gouvernance doit aussi notamment inclure des questions autour de :

  • L’architecture d’entreprise : Le cloud joue un rôle clé dans la transformation des organisations. Un audit de l’écosystème existant par des architectes d’entreprise doit être réalisé. Il permettra aux entreprises d’avoir une meilleure visibilité sur les perturbations inévitables que le cloud engendrera. Ce qui permettra in fine, d’avoir une adoption aux nouveaux environnements cloud moins difficile.
  • Gestion des données : La question du « data management » et de la souveraineté des données est un processus difficile et extrêmement important. La gestion de la donnée est un élément primordial de sa transition vers le cloud. Elle se doit d’être par la suite continue, et constamment surveillée après la planification stratégique.

Assurer la mise en œuvre d’une gouvernance financière

Mettre en place une stratégie d’optimisation des coûts appropriée, pour suivre et contrôler les dépenses est un enjeu majeur aujourd’hui. Elle permet notamment de s’assurer que les seuils préalablement fixés ne soient pas dépassés.

Certains cloud providers proposent la mise en place des portefeuilles de budgets. Ils sont rattachés à des services ou à des groupements d’utilisateurs. Grâce à ces stratégies de contrôle, vous êtes alertés très rapidement. Précisément en cas de dépassement ou si l’on se rapproche du seuil limite.

Maîtriser les coûts est réaliste dans ce cas précis, car la gouvernance permet de s’assurer que les bons utilisateurs accèdent aux bonnes ressources. C’est en opposition au fait qu’ils ne puissent pas provisionner d’éléments pour lesquels ils n’ont pas d’autorisation.

Automatiser

Se transformer dans une logique de service delivery management et employer « l’automatisation » là où cela a du sens. Contrairement à un mode de fonctionnement basé sur des activités unitaires, coordonnées et réalisées manuellement.

L’intégration de systèmes automatisés dans le cadre de gouvernance cloud peut garantir que les violations de politiques de sécurité soient plus facilement détectées.

Par exemple :

  • Un système automatisé permet d’alerter l’opérateur cloud lors de la manipulation d’éléments confidentiels sans autorisations. Enfin, il empêche celui-ci de continuer jusqu’à ce que les mesures appropriées soient prises.

Certaines solutions permettent d’auditer et d’optimiser les « assets ». C’est dans cette continuité que la surveillance de la conformité avec les règles de gouvernance sont définies au préalable. Ces « briques » de solution peuvent être paramétrées pour prévenir d’un évènement anormal sur l’environnement cloud.

Elles permettent aux DSI de créer des environnements optimisés et plus efficaces, alertant le cas échéant d’une faille dans le système en cas de problème grave.

Adopter des pratiques de sécurité propre au cloud

À la différence de la sécurité informatique conventionnelle, la sécurité du cloud est en général régie par un modèle de responsabilité partagée, dans lequel l’opérateur cloud est responsable de la gestion (infogérance) de l’infrastructure (par ex. services de stockage, de calcul ou de réseau dans le cloud).

Le client est responsable de la gestion de la sécurité de tout ce qui se trouve en amont du superviseur (par ex. systèmes d’exploitation des utilisateurs, invités, applications, données).

La gestion des accès

Inclure une solide gestion des accès dans le plan de gouvernance constituera un atout certain. Elle permettra d’établir les limites nécessaires aux personnes pouvant accder à l’environnement cloud. Et ainsi de limiter les impacts sur celui-ci.

Une bonne gestion des accès nécessite souvent de se poser deux questions :

  • « Quel utilisateur a besoin d’accéder à ce service ? »
  • « Quel service est utilisable par un utilisateur ? »

Une bonne gestion des accès signifie comprendre les besoins opérationnels de chacun afin de s’assurer que seuls ceux qui en ont vraiment besoin peuvent accéder aux actifs ou applications sensibles. Principalement, celles nécessaires à la réalisation de leurs missions.

Les règles et les rôles sont à définir clairement en amont afin d’éviter les mauvaises surprises.

En élaborant un plan de gouvernance robuste, il sera plus facile d’identifier les fragilités de l’environnement. Il faut mettre en place un plan d’action afin de palier à ces problématiques et de gérer au mieux les risques et impacts pour l’organisation.

Enfin, il est important de personnaliser les règles de gouvernance en fonction des données de l’entreprise. Cela signifie examiner de près les types de données stockées (sensibles ou non par exemple), où elles se situent (localisation) et comment ces données sont protégées (clés de cryptages, cloud privé).

En effectuant le tri des données entre les celles dites sensibles et celles dites publiques vous participez d’une certaine façon à l’établissement d’une règle de gouvernance.

Faire cohabiter l’écosystème existant et le cloud

Ce sont deux environnements bien différents l’un de l’autre. Maintenir à niveau une cohérence et un équilibre du SI est un véritable « challenge » des transformations des DSI aujourd’hui. En effet, passer sur le cloud, bouscule les organisations en place et les force à s’adapter à cette technologie et à un modèle qui ne leur est pas forcément familier que cela soit sur le plan technique ou organisationnel.

Il faut s’agiliser d’une certaine manière en passant par un opérateur cloud ou un fournisseur de service. En passant par ces sous-traitants, cela permet notamment une meilleure agilité du SI d’une part en s’octroyant la possibilité de services sur mesure.

D’autre part, cela permet d’accroitre la scalabilité de l’infrastructure en s’adaptant à la demande que cela soit en termes de capacité de traitement, de stockage, et de compétences technologiques.

Monitorer l’exploitation de son environnement

Avant de créer des règles de gouvernance, il faut réaliser un inventaire des actifs déployés sur son environnement cloud. Le but étant de connaitre leur fonctionnement ainsi que les risques éventuels associés. A noter que la mise en place de l’optimisation de ces actifs par le biais d’un monitoring des coûts et des performances du cloud est essentielle.

L’objectif est d’établir une sorte de capacity planning permettant une planification et une budgétisation plus précise de la capacité du cloud.

Une fois ces actifs sous contrôle (et optimisés), il sera donc possible de créer des règles en fonction de :

  • L’organisation de l’entreprise
  • Des parties prenantes

Cela permet d’élaborer l’ensemble des règles autour du cloud et d’avoir des processus définis pour pouvoir s’adapter et réviser ses besoins.
Sur un plan plus technique, on pourrait donc parler ici de BAM (Business Activity Monitoring).

Cet ensemble d’outils permet de surveiller les processus métiers de l’entreprise sur le cloud notamment afin de connaitre et comprendre l’évolution de processus métiers.

Être attentif lors de la contractualisation

Dans le cadre d’un contrat sur le cloud public, les données sont stockées et gérées sur les serveurs du fournisseur de solution. En revanche, pour le cloud privé, les données sont stockées et gérées sur les serveurs de l’entreprise sur site ou chez un hébergeur spécialisé.

Sauf dans le cas (extrêmement rare) où l’infrastructure cloud privé se trouve sur site, les données, l’exploitation et la maintenance du cloud sont souvent prises en charge par un tiers (type opérateur cloud).

Dans tous les cas, il faut être très attentif à plusieurs éléments :

  • Gestion de la donnée

Elle n’est pas la même lorsqu’elle est « dispatchée et répliquée » à travers plusieurs data center dans un environnement public. A l’opposé, dans un cloud privé, la gestion de la donnée est localisée à un seul endroit.

  • Niveau de SLA

Le niveau de service qui n’est pas le même selon l’environnement :

Public : Le niveau de service est assez standard et formalisé par le fournisseur de service

Privé : Le niveau de service est personnalisable avec les hébergeurs et est adaptable à l’entreprise

  • Réversibilité

Ce point est extrêmement important lorsque le contrat arrive à terme avec l’hébergeur ou le fournisseur de service, notamment pour la récupération de la donnée du client.

Conclusion

L’accès au cloud permet aux entreprises de s’offrir un potentiel extrêmement vaste en termes de services IaaS (Infrastructure as a service), PaaS (Platform as a service) et SaaS (Software as a service).
Cependant, il est essentiel de formaliser un ensemble de règles et de protocoles qui garantiront le bon fonctionnement de l’infrastructure avec un minimum de risques. En d’autres termes formaliser un plan de gouvernance.
Les plans de gouvernance les plus efficaces répondent souvent aux mêmes critères :

  • Définir des politiques et des normes de l’organisation
  • Administrer ces politiques et normes
  • Monitorer les services cloud et réaliser des ajustements en cas de besoin

Un plan de gouvernance du cloud soigneusement conçu et exécuté est essentiel sur des aspects gestion de l’exploitation, monitoring de l’environnement, de gestion des risques et de politique de sécurité. Attention le plan de gouvernance est à adapter à l’environnement cloud dans votre entreprise.

Pour vous guider d’avantages nous vous invitons à lire notre article relatif aux typologies de cloud, permettant d’être guidé sur le positionnement de votre entreprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top