Bernard Cardebat, RSSI du géant du nucléaire, reconnait la valeur du cloud pour étendre les capacités informatiques hors de l'entreprise et a adopté une démarche proactive pour en maîtriser l'usage. Celle-ci passe par une cartographie des données qui permet de déterminer celles qui peuvent être externalisées (dans le cas d'Areva, 85% des données sont considérées comme peu sensibles) et celles qui doivent être conservées en interne. Il reste alors à traiter le cas des applications nombreuses qui utilisent à la fois des données sensibles et non sensibles.
Cette première étape est intéressante mais je pense qu'il convient de pousser le raisonnement plus loin. Pour commencer, la cartographie des données devrait être plus précise, en affectant à chaque donnée un niveau de risque en cas d'incident (deux valeurs - sensible / non sensible - me semblent insuffisantes). A cette évaluation, on ajoutera les éventuelles contraintes réglementaires qui peuvent régir certaines informations, qui peuvent être des obligations d'hébergement national, des exigences d'auditabilité des accès, des impératifs d'archivage...
On passera ensuite aux applications, qui seront cartographiées sur un modèle similaire, en fonction des données qu'elles exploitent et de leur propre nature dans le cas de code lui-même sensible. Mais, pour les logiciels, un autre critère doit intervenir : celui de l'intégration. Il s'agit de déterminer leur degré d'isolation ou, au contraire, de couplage avec le reste du SI, à travers les données qu'ils utilisent. Ce paramètre détermine la capacité à adopter le cloud pour une application, dans la mesure où vous devrez vous assurer que les échanges nécessaires avec votre SI restent dans le domaine du possible.
Vous noterez au passage que de telles cartographies seront aussi à même de vous rendre service dans d'autres circonstances que pour la seule évaluation d'une offre de cloud computing.
Après ce travail, il doit être possible d'identifier 4 ou 5 grandes catégories d'applications, depuis celles qui ne peuvent effectivement pas être déployées dans le cloud jusqu'à celles pour lesquelles il n'y a pas de question à se poser, en passant par une majorité d'entre elles sur lesquelles pèsent des contraintes spécifiques. Et ces contraintes seront justement prises en compte pour évaluer la pertinence des offres dans le cloud (elles ne sont pas toutes identiques !). Dans certains cas, vous devrez garantir que l'hébergement est assuré en France, dans d'autres, vous devrez exiger un chiffrage des données de bout en bout, et ainsi de suite... Enfin, n'oubliez pas que votre évaluation va évoluer dans le temps, en fonction des offres et des changements dans votre stratégie de sécurité.
Le cloud computing est une tendance irréversible et lorsque les DSI tentent d'éviter le sujet, ce sont les utilisateurs eux-mêmes qui se jettent sur des offres alléchantes, sans toujours en maîtriser tous les enjeux. Il devient donc indispensable de préparer une stratégie qui établisse les "règles du jeu" et précise les critères d'applicabilité du cloud pour tous les acteurs de l'entreprise. Et, pour reprendre un thème du livre "Empowered", le rôle du DSI va dévoir évoluer d'une tradition où il pouvait imposer "ses" choix à un mode de partenariat dans lequel son rôle est d'exposer clairement à ses pairs du business les risques de leurs choix (qu'il pourra identifier avec une démarche objective, telle qu'esquissée ici), en leur laissant la responsabilité de la décision finale.