Depuis un certain temps, on entend souvent dire que les nouveaux projets sont évalués sur une base de priorité vers l’infonuagique. La principale raison derrière ce changement d’approche est notamment due aux délais de mise en place requis lorsqu’on travaille à l’interne avec une infrastructure plus limitée versus la rapidité avec laquelle les lignes d’affaires veulent obtenir des résultats et le fait que ceci soit possible dans l’infonuagique.
Ce constat étant fait par la plupart des départements TI, il y a cependant plusieurs aspects à considérer lorsqu’on adopte la stratégie « Cloud first ». Tout d’abord, un serveur virtuel ou un logiciel offert en mode service (« SAAS ») peut être rapidement déployé et rendu disponible au demandeur. Ce qui est moins évident, en revanche, c’est de voir jusqu’à quel point le service acquis s’arrime avec les règles de gouvernance de l’organisation. Par exemple, qui a accès aux données? Quels sont les mécanismes empêchant un intrus ou un employé du fournisseur d’accéder aux données de votre entreprise? Quelles sont les règles d’accès appliquées par défaut? Peut-on resserrer ou spécifier d’où peuvent provenir les accès? Quels sont les niveaux de service d’un point de vue disponibilité? Est-ce qu’il y a des sauvegardes régulières? À quelle fréquence? Pouvons-nous revenir en arrière s’il y a une erreur ou une corruption qui est constatée? Quelle est la granularité des recouvrements? Est-ce que des coûts sont à prévoir? Pouvons-nous exporter nos données au besoin? Quels sont les formats disponibles pour déplacer ces données? Pouvons-nous connecter des outils d’analyse et de rapports que nous possédons déjà?
Toutes ces questions ont des réponses relativement simples lorsque les systèmes sont implantés à l’interne de vos organisations. Typiquement, la sécurité est au minimum assurée au périmètre et seules les personnes autorisées peuvent y accéder de l’interne. Souvent sur exception, des accès VPN individuels seront accordés pour les accès distants. Qu’en est-il lorsque le système est dans une infrastructure partagée et où l’accès se fait directement à travers l’Internet? Est-ce que cela n’amène pas automatiquement un accès plus facile à toute brèche qui pourrait exister? Sans vouloir vous effrayer, oui, le degré d’exposition potentiel est plus élevé si on ne prend pas le temps de bien comprendre ce qui est offert et de voir ce que l’on peut faire pour augmenter la protection.
Du point de vue protection des données, c’est la même chose. Généralement, une sauvegarde quotidienne est faite par le département TI. Pour certains environnements, une copie instantanée est également prise à chaque heure afin de pouvoir revenir dans le temps avec une granularité plus ou moins fine. Une donnée est corrompue? Il suffit d’un appel au département TI qui établira le plan d’action pour récupérer la copie intègre la plus récente ou le point spécifique auquel vous voulez retourner. Est-ce que le fournisseur infonuagique offre une telle flexibilité? Est-ce qu’il est en mesure de récupérer spécifiquement ce que je lui demande et au moment où je lui demande? Est-ce qu’il sera possible de restaurer mon fichier le plus critique du moment sans devoir tout écraser? Est-ce que ce service est inclus dans mon plan ou ce sont des extras plus ou moins abordables? Souvent, les sauvegardes faites par les fournisseurs ont avant tout pour objectif de remettre ses services en fonction. Dans le processus, il est possible qu’il conserve une copie de vos données. Par contre, récupérer à partir de cette copie est généralement un processus pénible et coûteux. Afin de pallier à cela, les fournisseurs offrent souvent des niveaux de protection en option. Bien qu’impliquant des coûts, c’est souvent la seule façon d’atteindre vos objectifs de rétention et de restauration. Il est donc important d’y jeter un coup d’œil et de bien comprendre les services offerts avant de les utiliser.
Donc oui, « cloud first » mais pas sans s’assurer que le niveau de service offert rejoint vos règles de gouvernance. Si le fournisseur n’offre pas ce que vous attendez de lui, regardez ailleurs ou évaluez l’option d’ajouter des fonctionnalités répondant à vos besoins via la mise en place de solutions de type « Software Defined… » qui vous permettront potentiellement d’avoir la sécurité et la protection des données que vous désirez sans devoir nécessairement vous plier aux contraintes du fournisseur infonuagique.