Journal de bord d’un DSI : "l’ITSM dans le cloud" - épisode 1

Le cloud devient incontournable sur de nombreux sujets métier et l’ITSM ne fait pas exception à la règle. Êtes-vous serein sur le sujet ou en proie à des interrogations ?

Article rédigé par Thomas Lévêque (Information Security Officer - Crédit Agricole Consumer Finance) et Sébastien Tournel (Manager Expert ITSM - Timspirit)

19% des moyennes et grandes entreprises françaises se disent désormais prêtes à basculer l'ensemble de leur système d'information vers des applications en mode SaaS. Le cloud devient donc incontournable sur de nombreux sujets métier et l’ITSM ne fait pas exception à la règle. Êtes-vous serein sur le sujet ou, comme notre DSI qui écrit chaque jour ses aventures dans son journal de bord, êtes-vous en proie à des interrogations ? C’est le moment de confronter vos idées avec celle de notre DSI.

Jour 1 : mon patron me demande de "dé-commissionner le bousin qui nous sert de ticketing..."

Ce matin, alors que je lis sereinement les dernières statistiques d’Alert Logic sur la recrudescence des attaques quotidiennes sur le cloud, je reçois un message de mon manager qui m’explique en quelques mots que j’ai "6 mois pour dé commissionner ce bousin qui nous sert de ticketing !". Comprenez : "Il devient urgent de trouver une solution ITSM (*) performante et adaptée à nos besoins et à ceux de nos clients internes". Depuis que je suis DSI dans cette entreprise, j’en ai vu passer des demandes urgentes pour les métiers mais pas encore pour l’ITSM. Il faut dire que, dans notre secteur d’activité - comme dans la banque, la santé ou l’e-commerce -  l’IT devient de plus en plus critique pour la performance des métiers. L’IT doit suivre ! Alors, avoir une solution ITSM adaptée à nos besoins n’est pas un luxe !

Jour 2 : le cloud, c’est séduisant…

Cela n’a pas tardé… Françoise, notre chère responsable des pilotages des services est passée dans mon bureau triomphante : "Tu vois, finalement, on l’a eu ce budget !" et, très fière, me dépose son cahier des charges sur le bureau. Bien évidemment, Françoise n’ose pas imposer de solution mais me suggère très clairement de regarder du côté des offres ITSM dans le cloud… Je savais bien qu’un jour où l’autre, ce système, il faudrait le refondre et sûrement le mettre dans les nuages !

Bien sûr, comme d’autres DSI, je sais que les meilleures solutions ITSM sont en mode SaaS et j’avoue être assez tenté, malgré les horreurs que se chargent de me remonter certains de mes collaborateurs, encore un peu bloqués dans les années 90. Après avoir lu et relu plusieurs articles et échangé sur les réseaux sociaux, j’en déduis que la flexibilité et l’excellent rapport qualité/prix des offres cloud jouent clairement en leur faveur. Franchement, le cloud est très séduisant sur le plan économique. Il influe clairement sur le business case. Et cerise sur le gâteau, il est carrément adapté pour la mise en place d’une solution ITSM en mode agile. Cela va, enfin, me permettre d’avoir plus de flexibilité ! Je suis DSI et on me demande de gagner en agilité et de répondre dans des délais très courts aux attentes des métiers. Finis les déploiements complexes qui durent des plombes avec des utilisateurs impatients de tester l’engin !

Allez ! Celui qui a peur est un peureux ! J’évoque rapidement avec mon RSSI la possibilité de basculer notre ITSM dans le cloud et lui suggère de travailler sur un RFI pour étudier le type de solution et l’environnement.

Jour 3 : Papy fait de la résistance !

J’étais convaincu par le cloud – et donc serein dans mon approche de la mutation de l’ITSM – et vlan! C’est là qu’entre en scène Charles-Albert, mon responsable de la production informatique, à qui j’avais parlé entre deux portes hier. Moi qui pensais plutôt avoir de la résistance du côté de mon RSSI, je n’avais rien vu venir du côté de la prod’. Évidemment, ça n’a pas raté, mon cher collaborateur qui se vante d’être arrivé dans l’entreprise avec les meubles, n’a pas manqué de me faire remarquer les risques inhérents au cloud. J’ai bien compris que sa remarque trouve plus sa source dans sa peur du changement que dans sa peur du cloud mais, bon, je suis poli et bien élevé, j’écoute ses arguments…

D’après lui, le cloud n’est pas un nuage tranquille : le rapport 2015 Alert Logic montre que plus des Ÿ des attaques concernent le cloud (78%), en comparaison des data centers d’entreprise (22% on-premise). Le tout avec des conséquences financières pour les entreprises concernées non négligeables. J’ai évidemment droit au récit de la dernière cyber-attaque qui a fait 200 000 victimes. Je lui fais remarquer au passage que cette attaque n’a rien à voir avec le cloud. Elle est liée à une faille de sécurité corrigée par une nouvelle version que les DSI avaient tardé à mettre à jour. Une chose qui ne serait peut-être pas arrivée avec un système cloud, où les mises à jour sont effectuées plus rapidement et immédiatement opérationnelles…

La question qui tue arrive peu après : quid de la sécurité des données ? En un mot, comment résoudre la dualité entre le time to market et la sécurité ? Je me dis que le cloud s’appuie essentiellement sur un contrat de confiance et qu’en tant que client, je n’ai pas vraiment de moyens de contrôle sur la gestion que va faire le fournisseur de mes données. Un de mes ex-collègues m’a raconté récemment les mésaventures de milliers d’utilisateurs de Dropbox qui ont vu réapparaître des fichiers effacés par leurs soins parfois depuis plusieurs années.

Mon RSSI, qui passait partager un café avec moi, nous fait remarquer que la question de la sécurité est aujourd’hui une attente forte des clients comme des partenaires. Ils voient en elle, non plus un empêcheur de tourner en rond mais un accélérateur de confiance et donc de business. A condition d’accepter de passer du temps pour mettre le sujet sur la table et y travailler.

Je réfléchis à la question… 

Jour 4 : le cloud ou la "menace fantôme"

J’ai le don de tomber sur les articles qui me mettent mal à l’aise… Moi, le garant du système d’informations, de sa disponibilité, de son intégrité, je lis que le Saint Graal du Cloud, autrement dit Amazon, est tombé en panne (**).

C’est clair, nos clients sont aveuglés par les strass du cloud et les promesses des éditeurs, mais finalement, pour eux, le cloud reste un concept obscur. Nos clients ne savent pas ce qui se cache derrière. Ils ne savent pas comment, où et par qui sont exploitées les infrastructures, les bases de données, et avec quelles garanties. Ils pourraient objecter "on s’en fiche" et ils auraient peut-être raison. Mais dans la vraie vie, ils ne tarderont pas à trouver chez qui réclamer en cas d’indisponibilité ou de fuites de données. Lorsque la solution est hébergée en interne, nous avons les rênes. Quand la solution est dans le cloud, c’est une autre histoire… Et d’ailleurs faut-il proposer à toutes les équipes de disposer d’une solution dans le cloud, sachant que de plus en plus d’éditeurs ne proposent plus qu’un seul modèle de déploiement : le cloud ? Ne vaudrait-il pas mieux mener notre étude avec l’aide d’un consultant spécialiste de la question, histoire d’éviter, comme à l’accoutumée, de faire appel à lui une fois le projet en route ?

Jour 5 : je décide de faire appel à un consultant (histoire de ne pas reproduire certaines erreurs du passé)

La nuit porte conseil. C’est décidé, je fais appel au cabinet conseil qui intervient régulièrement chez nous et qui m’a déjà parlé d’un projet similaire dans le même secteur d’activité que le nôtre. J’intègre le consultant - une fois n’est pas coutume – avant de commencer le projet, ce qui m’évitera, je l’espère, de galérer plus tard. Je me dis que le consultant peut me permettre de faire aboutir mon projet plus facilement car il aura un regard neutre et pourra mettre tout le monde d’accord sur un projet qui risque de rencontrer de fortes résistances. Sur un sujet aussi sensible que l’ITSM, il ne s’agit pas d’avoir des pudeurs de gazelles. Je le laisse travailler et je prends la décision d’arrêter de lire des articles sur le cloud pendant 15 jours.

To be continued

Rendez-vous très prochainement pour la suite du journal de bord d’un DSI dans les nuages.

(*) Information Technology Service Management

(**) leportail.xmco.fr : Article du 1er mars 2017 : Panne De nombreux sites et applications inutilisables après une panne d'Amazon AWS S3 (CXN-2017-0710))

RSSI / CRÉDIT AGRICOLE

Annonces Google