Les entreprises disposent d’une grande variété de solutions cloud, qui se sont considérablement développées ces dernières années. Autant de raisons pour faire jouer la concurrence. Si les avantages générés sont nombreux, les risques restent aussi réels, d’autant plus qu’ils ne sont pas toujours appréhendés par les PME. Des conseils pour y voir plus clair.
S’équiper rapidement et à moindre coût, déployer facilement des solutions informatiques… Les avantages du cloud computing sont multiples pour les entreprises utilisatrices. Reste à sélectionner le bon partenaire et une solution adaptée… Surtout, il faut être attentif à plusieurs aspects, notamment l’extensibilité du contrat, sa portabilité et son efficacité. Une tâche loin d’être aisée, compte tenu de la dispersion des données au niveau géographique et de la multiplicité des acteurs.
« Les solutions de cloud représentent un accélérateur technologique pour les petites entreprises pour un niveau d’investissement abordable, indique Olivier Lallement, senior manager technology advisory chez Deloitte. Mais le choix du partenaire est crucial. Il peut être judicieux de privilégier un acteur local ou un partenaire existant, plutôt que de se diriger vers un géant du Web ou un leader du marché, qui va proposer une solution, certes maîtrisée, mais qui sera moins en capacité de privilégier contractuellement l’entreprise. »
Disposer d’une marge de manœuvre
« Le degré de négociation contractuel d’une PME française vis-à-vis d’un grand acteur du cloud est très faible, poursuit Julien Escribe, partner chez ISG. Néanmoins, si la négociation se fait dans un cadre
un minimum concurrentiel, la PME aura la possibilité de mettre en place ses propres clauses contractuelles. Dans ce cas, il faut veiller à définir précisément les SLA (ou contrat de service). » Les PME disposent toujours d’une certaine marge de manœuvre notamment dans le cadre de contrats personnalisés. Cette adaptation a un coût : « Il est possible de personnaliser les besoins en s’adressant à un prestataire de services, d’ajouter des clauses concernant la sécurité, la sauvegarde des données, prévoir des pénalités crédits et services, si le service n’est pas rendu », conclut Juliette Macret, directrice cloud computing chez IBM France. Aussi, avant de souscrire un contrat cloud, mieux vaut donc…
- Vérifier l’interopérabilité de la solution, c’est-à-dire sa capacité à interopérer avec les autres solutions du système d’information (SI) de l’entreprise. « Si l’entreprise a besoin d’interfacer sa solution cloud avec, par exemple, un système comptable ou un back-office, ce critère sera prépondérant. Il sera alors nécessaire de retenir des solutions qui disposent d’un maximum de Web Services, d’API (interface de programmation), des framework qui vont permettre d’intégrer cette solution avec le reste du SI », détaille Olivier Lallement
- S’assurer de la portabilité (ou réversibilité de la solution). « Il ne faut pas prendre le risque de s’enfermer dans une solution “boîte noire” qui entraînerait une perte de maîtrise des données ou des difficultés à les récupérer, par exemple lors d’un changement de prestataire », indique Olivier Lallement. La portabilité doit se vérifier d’un point de vue technique – pour récupérer les données –, mais aussi contractuel. En cas de changement de prestataire, s’assurer de la continuité de service, comme de la prise en compte des délais, est essentiel, car il n’est plus possible de faire machine arrière. Une prestation d’accompagnement pour convertir les données et les intégrer dans la solution est alors souhaitable.
- Veiller aux mesures liées à la sécurité, qui occupe une place de premier plan dans les contrats cloud. « Il est important de mettre en place des matrices de responsabilité, par exemple, pour préciser s’il existe une sauvegarde quotidienne des données, pour savoir si le client est chargé de sauvegarder les données sous un certain format », détaille Julien Escribe. Quant aux informations confidentielles, elles doivent pouvoir être cryptées, les protocoles d’authentification et la sécurité des mots de passe doivent être correctement implémentés. « Idéalement, il faudrait pouvoir interfacer la solution SaaS avec le système d’authentification de l’entreprise pour conserver une maîtrise globale en termes de sécurité », précise Olivier Lallement.
Par ailleurs, les procédures d’escalade sont également à prendre en compte, afin de restaurer rapidement le service en cas d’incident. La Commission nationale de l’informatique et des libertés (Cnil) qui propose des modèles de clauses contractuelles des contrats cloud, a émis plusieurs recommandations en juin 2012 pour que les entreprises mènent une analyse des risques, et déterminent les mesures de sécurité à réclamer au prestataire ou à prendre en interne. Parmi les autres recommandations, vérifier que le niveau de sécurité du prestataire soit au moins égal à celui de l’entreprise, et être attentif aux données figurant dans le cloud en les différenciant (données à caractère personnel, stratégique).
- Contrôler qui a en charge la responsabilité des données. Cette responsabilité des données repose notamment sur l’hébergeur, mais d’autres acteurs peuvent être impliqués. A partir du moment où différents acteurs interviennent – éditeur de la solution SaaS, éditeur qui propose la plate-forme d’accès, datacenter où sont stockées les données , il existe un flou en termes de responsabilités. « De plus, les infrastructures peuvent comporter plusieurs localisations géographiques avec autant de législations différentes selon les pays d’implantation », précise Olivier Lallement. Reste aux entreprises à vérifier quel est le droit applicable et la juridiction. « L’environnement est plus serein depuis deux trois ans. Les grands acteurs américains offrent fréquemment la possibilité d’une juridiction française, ce qui est rassurant pour les PME du fait de la proximité du tribunal et d’un droit plus favorable aux clients français », poursuit Julien Escribe.
- S’assurer que la solution soit basée sur un standard en termes de modélisation. Ce critère est essentiel pour mettre en œuvre l’extensibilité et éviter de récupérer un fichier dont les données sont difficiles à traduire. « La solution cloud doit proposer un ou plusieurs formats standard pour assurer cette conversion ou bien l’éditeur s’engage à fournir le matériel, les API, les framework permettant de la retraduire. Le risque est de récupérer un fichier difficile à retraduire dans une autre solution, et donnant lieu à un projet de migration assez conséquent », indique Olivier Lallement, en précisant que, cette situation est de moins en moins fréquente, la plupart des acteurs proposant des interfaces et des API standard.
- Etre attentif à la performance et à l’adaptabilité. « Il faut veiller à ce que contractuellement et techniquement le fournisseur du service cloud s’engage sur un certain niveau de performances, met en avant Olivier Lallement. La solution peut être hébergée sur la plate-forme de l’éditeur, mais aussi via un tiers tel que Amazon ou Microsoft. La performance s’évalue alors sur l’ensemble des différents maillons de la solution, et il est nécessaire de vérifier contractuellement les engagements des différents partenaires. » La solution cloud doit également s’adapter à la croissance de la société et accompagner, par exemple, un pic d’activité.
- Considérer les certifications. Autre indicateur de la performance de service, les certifications, les agréments… Les entreprises peuvent exiger de leur fournisseur cloud la signature du code de bonne conduite, appelé Binding Corporate Rules (BCR). Parmi les signataires du BCR, Orange Business Services (OBS) qui l’a adopté, il y a trois ans. La société bénéficie également de l’agrément pour héberger des données de santé, délivré par le ministère de la Santé. « Ces certifications correspondent à l’évolution du cloud, qui passe d’une approche un peu artisanale à un marché industriel. Elles sont essentielles pour aider le client final à faire son choix », indique Axel Haentjens, vice-président cloud computing d’OBS. Les acteurs tendent à développer les normes, de type ISO 27001 ou encore PCI-DSS, spécifique au traitement des cartes bancaires. Par exemple, IBM est sur le point de certifier PCI DSS l’ensemble de ses datacenters pour répondre à la demande de ses clients, issus majoritairement des secteurs de la finance et de l’assurance. Les entreprises, qui font appel aux services d’un fournisseur américain de cloud, ont intérêt à faire préciser, dans leur contrat, la certification Safe Harbour, qui a été élaborée conjointement par les autorités américaines et la Commission européenne en 2001, pour combler les écarts quant à la protection des données entre les deux zones.
- Vérifier les prestations incluses. « Il faut bien veiller à ce que certaines prestations telles que la réversibilité, l’accompagnement pour récupérer les données et les processus, sont bien incluses dans le contrat et ne sont pas proposées en option. Parfois, il peut exister des restrictions de bandes passantes pour les données échangées. Il faut donc s’assurer que l’offre globale du fournisseur inclut des services qui permettent à l’entreprise de garantir son indépendance par rapport à la solution », ajoute Olivier Lallement. Si, en général, le contrat est proposé à partir d’un paiement mensuel et d’un engagement à l’année, certains acteurs tendent à instaurer des seuils pour un nombre déterminé d’utilisateurs.
- Anticiper l’investissement pour évaluer son coût sur le long terme. « Il faut bien calculer le montant de l’investissement dans le temps. Ainsi, il est nécessaire de comparer le coût d’une solution en mode SaaS, qui sera payée régulièrement à une approche classique, nécessitant des investissements par à-coups tous les deux à cinq ans », précise Olivier Lallement.
- Etre accompagné dans le temps. « Tous les éditeurs n’ont pas forcément la même assise financière. Il est important que l’acteur choisi soit pérenne et puisse accompagner l’entreprise dans la durée, aussi bien sur des solutions de CRM, de comptabilité, de RH, de business intelligence », conclut Olivier Lallement. Le montant des investissements des acteurs du cloud constitue alors un signe de la capacité à innover et à accompagner les clients dans la durée.