Cloud Computing : surmonter les pièges de la réversibilité
En faisant le choix de recourir à un fournisseur de Cloud Computing - tout particulièrement dans le domaine du SaaS - les entreprises s'affranchissent des contraintes techniques et matérielles liées à la gestion de leurs données (clients, fournisseurs...).
Si les bénéfices de confier tout ou partie de ses applications à un tiers sont nombreux (recentrage sur le cœur de métier, coût, ...), les ennuis peuvent vite s'accumuler lorsqu'il s'agit de les récupérer ou les transférer vers un autre fournisseur de services Cloud/SaaS. Et ce même si les fournisseurs ont tout intérêt à faciliter cette réversibilité pour ne pas entacher leur réputation.
"Actuellement, il n'existe aucun standard largement accepté pour permettre l'interopérabilité et la portabilité entre les fournisseurs de services Cloud, et les utilisateurs doivent alors prendre toutes les mesures nécessaires pour éviter d'être pris au piège", met en garde l'association des DSI européens qui compte à son actif plus de 550 membres, répartis dans une douzaine de pays et employant plus de 600 000 salariés dans le domaine IT.
Mise en place de garde-fous juridiques
Pour éviter cet écueil, l'association recommande "qu'une analyse de continuité d'activité soit effectuée avant la mise en œuvre de services Cloud, comme cela peut être le cas avec des fournisseurs traditionnels". Une précaution également partagée par de nombreuses sociétés de services, et notamment Devoteam.
"Afin de minimiser les risques liés à la réversibilité, il est recommandé d'annexer au contrat Cloud un plan de réversibilité qui détaille la procédure de restitution des données et d'inclure des clauses précisant la fréquence de mise à jour et les tests de restitution", fait savoir Didier Pavy, directeur Offres et Innovation de Devoteam Solutions France. "Nous recommandons d'inclure ces procédures dans un plan de continuité d'activité et d'effectuer régulièrement les exercices qui vont permettre de valider le fonctionnement des procédures".
"Avant d'externaliser un service dans le cloud, une analyse de risques doit être réalisée" (Didier Pavy - Devoteam Solutions France)
Elément clé de réussite, tisser une relation de confiance avec son prestataire Cloud/SaaS ne pourra, quoi qu'il en soit, pas se passer de la présence de garde-fous juridiques. A ce titre, le Syntec a ainsi mis en ligne un guide pour contractualiser la relation avec un fournisseur de Cloud Computing, et tenter de circonscrire les pièges liés de la réversibilité. "Rapatrier en interne une application hébergée peut s'avérer problématique, s'il faut convertir le format des données. Cela suppose de vérifier l'intégrité des données et de déterminer un mode d'exécution en parallèle jusqu'à la fin de la conversion", indique le syndicat des éditeurs, SSII et cabinets de conseils informatiques.
Pour éviter toute mauvaise surprise, il est également conseillé de s'assurer de la gratuité de la réversibilité, ou, le cas échéant, de connaître en amont le surcoût éventuel engendré par la réinternalisation des données hébergées par son fournisseur Cloud et/ou son transfert vers un autre prestataire. Il faut également regarder les délais au-delà desquels la récupération des données devient impossible.
Méthodes de récupération des données pour le moins variées
L'association des DSI européens recommande de recourir à des formats de données ouverts, seuls capables, à ses yeux, de faciliter les opérations de réversibilité entre les différents Clouds. "Les services Clouds doivent être proposés par le biais d'un catalogue standardisé qui utilise une API standardisée d'abonnement et qui doit pouvoir être utilisée pendant tout le cycle de vie du service souscrit", conseille-t-elle.
Un souhait qui, dans les faits, n'a pas vraiment trouvé d'écho auprès des fournisseurs de Cloud propriétaires qui proposent pour l'heure à leurs clients des méthodes de récupération de données pour le moins variées.
Chez Salesforce par exemple, une clause prévoit la récupération des données faite par le client après la clôture du service d'abonnement. Concrètement, le fournisseur s'engage à délivrer un fichier des données client au format CSV accompagnées de toutes les pièces jointes au format natif qui ont pu être transférées. Attention toutefois, car au bout de 30 jours suite à la clôture du service d'abonnement, si le client n'en n'a pas fait la demande, Salesforce n'est alors plus tenu de lui fournir les données et peut les effacer de ses systèmes.
Du côté du fournisseur d'ERP en mode Cloud NetSuite, le délai de conservation des données avant suppression et perte des données passe à 90 jours mais c'est au client, pendant cette période, de récupérer manuellement les données par le biais du site de l'éditeur, lorsque le service est toujours accessible mais limité aux seules fonctionnalités permettant la récupération.
"Les enjeux associés à la réversibilité sont principalement liés aux enjeux réglementaires qui régissent les données/informations manipulées par l'application. Au-delà de la réversibilité, avant d'externaliser un service dans le cloud, une analyse de risques doit être réalisée afin de prévoir les mesures à demander au fournisseur en termes de confidentialité, intégrité, disponibilité, protection des données privées", prévient Didier Pavy.