Se dire qu’il suffit de confier à un prestataire cloud le soin de gérer ses ressources et outils IT à sa place, parce qu’on ne dispose pas des compétences en interne ou parce qu’on n’a pas les moyens de se les payer, constitue un très grand risque. Certes, la PME se dote ainsi, à peu de frais, de solutions mais perd toute maîtrise, tout contrôle. Son pouvoir de négociation vis-à-vis du prestataire, surtout s’il n’est pas local et s’il est d’une “certaine envergure”, ce pouvoir de négociation est (quasi) nul.

“La plupart des PME [mais c’est éventuellement vrai pour de plus grosses structures ou des administrations] ne sont pas capables de discriminer entre les multiples offres SaaS qui ont cours sur le marché”, affirme Gregorio Matias, associé-gérant et consultant chez MCG. “Non pas en termes de fonctionnalités offertes par les applications proposées mais bien pour ce qui se passe en coulisses. L’infrastructure de tel ou tel prestataire est-elle fiable? où est l’application? où sont les données? quel est le niveau de sécurité? le prestataire applique-t-il une politique stricte de protection de la confidentialité de mes données (vie privée, propriété intellectuelle…)? comment puis-je, le cas échéant, rapatrier ou récupérer mes données? Etc.

Redoubler de prudence

Les PME ne sont pas, ou peu, sensibilisées aux matières de sécurité informatique. Généralement, elles montrent déjà peu d’intérêt pour la protection de leurs actifs et l’analyse de risque lorsque les systèmes sont installés dans leurs murs. Alors quand ces systèmes et cette infrastructure sont “ailleurs”, elles n’y pensent même pas. Or, tout peut arriver. Et le passé montre que tous les problèmes possibles et imaginables se sont déjà produits, touchant petits et grands acteurs…”

Damien Hubaux (CETIC) distingue pour sa part deux types ou “niveaux” de cloud et, partant, de complexité et de risques pour les clients: “nombre de petites sociétés utilisent le cloud sans le savoir. Tout simplement en faisant appel à des services Gmail, Dropbox, Salesforce.”

Damien Hubaux (CETIC): “Dès l’instant où l’on fait un usage professionnel du cloud, il faut se poser des questions professionnelles. Par exemple, si la comptabilité est on-line, qu’advient-il en cas de faillite du prestataire? est-on certain de tout pouvoir récupérer?”

En matière de sécurité et de mesures de précaution à prendre, une lecture intéressante est celle d’un livre blanc publié fin 2011 par le NIST (National Institute of Standards and Technology) du Département américain du Commerce. Voici le lien pour télécharger le document. 

“Courtier” de nuages

La compréhension qu’a une PME des rouages, des conditions de gestion de ses services est bien souvent réduite. Elle a tout intérêt à recourir à un intermédiaire qui pourra vérifier le bon fonctionnement des processus, évaluer la manière de les faire évoluer dans le temps, suivre l’évolution technologique- ou stratégique- du ou des prestataires cloud, dialoguer efficacement avec les préposés de la hotline (à condition qu’elle soit prévue) en cas d’incident…

Si le marché belge, notamment sans doute par manque d’opportunités, n’a pas encore vu apparaître de tels “cloud brokers”, plusieurs observateurs estiment que ce n’est qu’une question de temps avant que ce phénomène se matérialise.

Ils mettent d’emblée en garde contre l’effet “mode” qu’il pourrait masquer. Plus les entreprises, essentiellement les plus petites, auront besoin de conseils pour se former au cloud, définir leur stratégie, choisir solutions et prestataires, se prémunir contre les embûches contractuelles, plus nombreuses deviendront sans doute les sociétés qui prétendront pouvoir remplir ce rôle.

Il sera alors nécessaire de choisir le bon profil, de se méfier des opportunistes.

Pour les grandes entreprises, le “broker” sera tout naturellement le département IT interne.

Gregorio Matias (MCG): “Par rapport à une situation d’infrastructure interne, une PME qui confie ses services IT au cloud se retrouve dans une situation du genre “boîte noire” totale, exposant 10. Il faut quelqu’un d’externe pour faire la lumière dans cette boîte noire.”

Une PME, elle, n’a ni les moyens, ni des besoins suffisants pour justifier l’engagement d’un cloud specialist ou d’un cloud broker. Toutefois, souligne Damien Hubaux, “du conseil en stratégie sera bénéfique aux PME, ne serait-ce que parce que les choix sont trop souvent faits en se basant simplement sur le bouche-à-oreille, parce que quelqu’un en interne connaît tel ou tel prestataire…”.

Pour les PME, le cloud broker devra nécessairement être un indépendant [dissocié de toute structure ou sphère d’influence] afin de pouvoir réellement conseiller et faire de la discrimination. Il serait mal venu qu’un fournisseur d’infrastructure joue ce rôle”, souligne Gregorio Matias.

Avis partagé par Frédéric Dinon, directeur adjoint de Technobel, qui y ajoute les sociétés de consultance: “les account managers de sociétés de consultance, qui proposent ces services pour de grandes structures, risquent de proposer des services “propriétaires” et manquer dès lors de nécessaire neutralité.”

Quel profil?

Qui, dès lors, pourrait jouer – efficacement – ce rôle de cloud broker?

Pour guider les PME dans leurs choix de plate-forme cloud, de leurs applications de collaboration, les conseiller sur ce qu’elle doivent garder et/ou sauvegarder chez elles, il faudra peut-être un nouveau type ou profil de partenaire. “Les sociétés IT qui prestent quelques jours de consultance ne sont pas indiquées parce qu’elles ne prestent pas dans la durée”, estime Damien Hubaux.

Que ce soit en matière de sécurité, de compatibilité, d’accès, de fiabilité de la solution, les règles demeurent une question de bon sens. Mais la vérification de ces paramètres est (nettement) plus difficile.

Il faudra donc pouvoir se tourner vers des spécialistes qui assumeraient alors ce rôle mais il leur faudra pouvoir compter sur une clientèle suffisamment large sinon le business ne sera pas viable.

Frédéric Dinon (Technobel): “La première chose à faire est de sensibiliser les chefs d’entreprise à la nécessité de former au minimum un des membres de leur personnel au cloud.”

“Il faudra également distinguer divers besoins: l’aide aux choix avant prise de décision, d’une part, et la gestion de projets, par la suite”, poursuit Damien Hubaux.

Pour Frédéric Dinon, un “cloud broker” doit cumuler compétences techniques (compréhension et aptitude à gérer un cloud, à aider une entreprise à décider de l’opportunité d’une migration) et une expérience de terrain. “C’est l’IT manager de demain, avec des connaissances en analyse métier, en développement, en business intelligence… Il doit disposer de compétences dans toutes les dimensions du cloud: SaaS, PaaS, IaaS.”

Par rapport aux besoins des PME, il agira comme “intermédiaire supplémentaire, pour des interventions ponctuelles.” Non seulement au moment de la prise de décision mais aussi en cours de route.

Indépendamment de cet intermédiaire extérieur, de quelles compétences cloud une PME doit-elle disposer, en interne?

Aux yeux de Frédéric Dinon, il serait nécessaire qu’elle dispose “d’une personne de premier niveau, qui puisse faire le lien entre le patron et l’informaticien ou la personne qui s’occupe de l’informatique. Il faut une personne ayant des compétences informatiques de base, qui ait des notions de réseau – parce qu’il faudra le gérer au quotidien -, qui sera à même d’accompagner le changement, d’évangéliser le cloud en interne. Cette personne doit donc avoir suivi une formation de base en systèmes et réseau. Une formation qui lui ait appris les éléments-clé. Avec un minimum d’une ou deux journées lui fournissant des informations ciblées à propos du cloud: optimisation d’infrastructure, identification des solutions cloud pertinentes, évaluation des coûts et de leur pertinence…”

Philippe Laurent (CRIDS): “Ne négocie pas avec Google, IBM ou Amazon qui veut. Il faut déjà avoir une sérieuse taille. Une PME n’aura guère de choses à dire ou à négocier.”