Achats cloud-computing : comment tout rater en 5 points
Risques sécuritaires, économiques, stratégiques... S'il est vendu comme un levier d'optimisation des coûts, le basculement d'une DSI "classique" à un modèle externalisé peut coûter cher, même très cher, à l'entreprise. Gros plan sur ce qu'il ne faut pas faire.
Tiraillées entre l'envie de faire des économies et la peur, de plus en plus d'entreprises se posent la question - existentielle dans le contexte d'une économie qui tend à reposer sur la data : Basculer dans le cloud ou ne pas basculer dans le cloud ? Un casse-tête auquel le fait de savoir répondre "non" ou, à fortiori, "oui" ne met néanmoins pas un point final. "Mettre ses données dans le cloud, c'est comme confier ses clés. Cela peut très bien se faire, il faut juste s'assurer d'avoir affaire à quelqu'un de confiance". Présent à la table ronde sur le thème "Les contrats d'achats pour le cloud" organisée la semaine dernière au siège français de Deloitte - un événement qui s'inscrivait dans le cycle des "jeudis soirs de la CDAF - Vincent Leroux-Lefevbre, directeur des achats France du groupe informatique Sage a trouvé la bonne image pour souligner l'enjeu, énorme pour les entreprises, de ne pas rater leur passage à l'information "en nuage". D'autant plus que les conséquences, dans ce cas, seraient de nature à leur faire regretter les salles de serveurs à domicile... La preuve par 5.
1 - Craquer pour une offre sur Internet
Dans un contexte économique incertain, la prise de risque a quelque chose d'une vertu. Néanmoins, certaines décisions méritent d'être mûrement réfléchies. Si Internet vous permet d'acheter une offre en deux clics, ne craquez pas ! Une telle démarche ne peut raisonnablement être entreprise sans un lourd travail en amont. Outre un audit, nécessaire à la connaissance de ses besoins - seul levier de négociation et de maîtrise des coûts, il convient notamment de faire un benchmark des acteurs en force. Autant de prestations, complexes, qui peuvent être externalisées auprès d'un cloud-broker...
2 - Miser sur le tout dématérialisé
Parmi les phénomènes les plus marquants de l'informatique 2.0, le Cloud se sera peut-être évaporé dans 3 ans, 5 ans, 15 ans... Une hypothèse qui mérite d'autant plus d'être prise au sérieux que le contexte technologique mais aussi géopolitique dans lequel nous vivons est mouvant. Avant d'externaliser vos données, assurez vous donc de savoir comment les rapatrier. Les clauses de réversibilité, qui déterminent les conditions de mise en oeuvre de ce retour au physique, ne se valent pas toutes. Attention : certains fournisseurs promettent la réversibilité sans lui affiler de coût. Un flou propice aux mauvaises surprises...
3 - Etre (trop)o-pti-miste
Et si vous faisiez faillite ? Et si votre fournisseur faisait faillite ? Ou bien encore s'il délocalisait ses serveurs ? ... Permettez-vous d'imaginer le pire. Non pas par pessimisme mais, au contraire, par prévoyance. S'ils ne se réaliseront probablement pas, l'ensemble de ces scenarii catastrophes forment la matière première à partir de laquelle le service juridique peut savoir quels points verrouiller contractuellement. Ne vous bercez-pas d'illusions pour autant. Même si les fournisseurs multiplient les initiatives pour rassurer leurs clients (infrastructures améliorées, normes sécuritaires...), le risque zéro n'existe pas. Bien lire donc le contrat qui prévoit la répartition des responsabilités entre fournisseur et client selon la nature du problème, quand il survient. Mais mieux vaut le savoir : en cas de perte, partielle ou totale, de vos données, vous ne serez pas dédommagé à hauteur de votre préjudice.
4 - Penser que "toutes les données se valent"
Sans être interdites de Cloud, les informations personnelles (relatives à vos collaborateurs, vos clients, vos prospects...) doivent faire l'objet d'un traitement différentié. Objectif : garantir à tout prix leur confidentialité. En cas de manquement, la Loi informatique et liberté prévoit, dans son article 47, de sanctionner l'entreprise fautive à hauteur de 5% du CA de son dernier exercice clos (dans la limite de 300 000 euros). De quoi souligner l'importance d'évaluer la criticité des données concernées par votre démarche d'externalisation. Un point important : ne confiez pas au "nuage" ce que vous avez de plus précieux (cad : stratégique).
5 - Ne pas songer à la destination de vos données
États-Unis, Roumanie ou France... Qu'importe la localisation de vos données tant qu'elles ne sont pas chez vous ? Même à l'ère de la globalisation, ce genre de raisonnement est fautif. Un différent devant les tribunaux pourraient vous en convaincre. Un état de fait dont il vaut mieux être conscient avant de contractualiser avec un fournisseur basé hors de ses frontières. Aux États-Unis notamment, le Patriot Act rend vos données vulnérables aux actes de surveillance du gouvernement. En opposition à ce modèle, la résistance européenne s'organise.
Sur le même thème
Voir tous les articles BI