Le cloud ou les futurs possibles

Récemment sur ce même site, je faisais publier un article, qui lui-même faisait suite à un précédent article d’un expert cyber, sur le thème de « non on ne pourra jamais sécuriser le cloud à 100 % et le débat n’est d’ailleurs pas là ». Pas mal de commentaires, certains dubitatifs : et si mon analyse était erronée, et si un autre angle d’attaque était plus approprié. Débat avec moi-même… Ou presque.

Il est facile d’avoir raison avec soi-même quand on lit toujours les mêmes analyses, les mêmes revues et débattons avec des gens ayant les mêmes positions que nous. C’est pour cela que la contradiction fait avancer le débat et qu’elle est indispensable.

Et cela tombe bien, car à la suite de l’article précité, qui a été lu plus de 8 000 fois sur les réseaux sociaux (merci inCyber !), un certain nombre de commentaires et de contradictions a été formulé, qui mérite que l’on s’y attarde. Et notamment celle de Vincent Trély, qui n’est rien de moins que le président de l’APSSIS (un genou à terre), expert cyber archi-reconnu dans le monde de la santé, confrère et néanmoins ami, et dont la position peut se résumer de la sorte : le cloud n’est pas un moyen mais bien une fin, fin qui vise à orienter l’offre informatique vers un mode de consommation « as a service », mode inéluctable tout comme le sont le passage de l’industrie automobile en mode « location de voitures », la consommation « as a service » de l’eau, de l’électricité, etc.

Dit autrement, selon que vous choisirez l’angle d’analyse fonctionnel / marché (la précédente), ou l’angle risque (l’approche de votre serviteur), vous aboutirez à des conclusions radicalement différentes : soit le cloud va le sens de l’Histoire, soit il faut s’en méfier comme de la peste. Certes je pourrais objecter que « tout est risque » (et vous inciter à choisir la seconde approche) mais cela pourrait constituer un biais de raisonnement inhérent à ma fonction de RSSI, et je me méfie de moi-même (vous devriez aussi, croyez-moi).

Dans mon précédent article, le parti-pris consistait à considérer que le cloud n’était rien d’autre que forme d’externalisation – il l’est – et qu’à ce titre il devait être analysé selon 6 axes (la stratégie, les RH, le projet opérationnel, la structure des coûts, le volet juridique, l’intégration avec le reste du SI et le volet sécurité). Si j’applique ce raisonnement à un exemple tout bête (la souscription d’une offre de musique en ligne – Deezer, Apple, etc.) dans la sphère personnelle, nul doute que c’est bien un recours au cloud, nul doute que cela revient à « cloudifier » ce qui était avant en mode On Premise (ma collection de CD et DVD sagement rangés sur mes étagères) et nul doute que cela ne choquera personne, pas même moi.

**La présence du « as a service »**

Le « as a service » dans le domaine de l’informatique domestique est bien en marche, et si l’on analyse cet exemple à l’aune des 6 critères précédents, seule la réversibilité peut interroger (volet de l’aspect sécurité SI). Mais bon, au pire je quitte Deezer pour Apple, tout ce que cela va impliquer sera la reconstitution, certes fastidieuse, de mon catalogue personnel et de mes favoris, pas de quoi fouetter un chat. Sur la question de l’informatique domestique, Vincent 1 – Cédric 0.

En fait, la question de savoir ce que l’on peut externaliser ou pas est aussi vieille que l’informatique, les vieux croutons dans le genre de l’auteur se souviennent des débats homériques entre le logiciel (fait en interne) et le progiciel (acheté sur étagère) pour l’informatisation des entreprises publiques ou privées. Force est de constater qu’à peu près partout, le progiciel a gagné. A ce stade de la réflexion, l’arbitre décompte : Vincent 2 – Cédric 0.

Cependant, votre serviteur va invoquer Robert Reix, feu professeur émérite à l’université de Montpellier, et son célébrissime « Système d’Information et management des organisations », dans lequel cette question logiciel / progiciel est abordée. Sa position consiste à dire que compte tenu des éléments suivants :

maîtrise la technologie (ici, de développement) ;
existence d’une offre sur le marché, concurrentielle et à prix maîtrisés ;
possibilité de facilement changer de fournisseur ;
le choix logiciel / progiciel coule de source.

Selon Reix, si votre organisation maîtrise les technologies de développement, si pas d’offre ou si risque de captivité commerciale, restez alors sur un dev interne, sinon achetez un progiciel. Dans l’exemple de l’offre de plateforme musicale et tenant compte de l’approche de Robert Reix aussi bien que des 6 axes ci-dessus, on souscrit sans problème Deezer ou Apple Music.

La réversibilité : faille majeure

Le hic, c’est qu’il s’agit dans le débat non pas de l’informatique domestique de Mme Michu, mais de celle de l’entreprise. Et c’est bien la réversibilité qui constitue la plus grosse faille du raisonnement « as a service ». Je vous mets bien au défi de quitter O365 quand vous y avez fait basculer toute l’entreprise (il y a des témoignages édifiants à ce sujet dans les congrès), de quitter les plateformes de Google, etc.

Et si l’on reprend la fable de l’informatique domestique, qui irait signer avec Apple Music sans jamais possibilité d’en sortir, avec des tarifs à la seule discrétion de la firme à la pomme ? Qui irait signer une LOA chez le concessionnaire du coin sans plus jamais pouvoir changer de modèle de véhicule ou de marque ? Qui irait se marier sans plus jamais possibilité de divorcer ?

Je n’invoque même pas la question des taux de disponibilité combinée des liens telco et des plateforme cloud vs On Premise (il n’existe à ma connaissance aucune étude universitaire sur cette question). Je n’invoque même pas les Cloud Act et consort, les clauses contractuelles que personne ne comprend : juste, à ce stade, la possibilité de changer de crémerie.

Récemment dans une émission sur l’horlogerie de luxe, le présentateur faisait remarquer que même les marques très haut de gamme, telle Patek Philippe, et dont le positionnement marketing adresse le registre de la manufacture (qui, en horlogerie, signifie que tout, du sol au plafond de la montre, est fabriqué en interne), recourraient à des fournisseurs extérieurs, ne serait-ce que pour les bracelets en cuir. On voit mal en effet Patek Philippe monter un élevage de crocodiles au beau milieu des montagnes suisses.

Mais à tout moment la marque peut changer de fournisseur, il n’y a pas de captivité technique et c’est bien le problème dans l’IT. Tout le monde externalise : je pourrais avoir mon propre pré, mes propres vaches et fabriquer moi-même mon propre fromage, je trouve juste cela plus pratique d’aller à l’épicerie en bas de ma rue, et c’est juste que j’en change quand je veux. On en est à 2-1 entre Vincent et moi.

Mais je dois revenir sur le premier des 6 axes d’analyse : la stratégie. Pour reprendre les éléments de langage du professeur de criminologie Alain Bauer, les occidentaux ont commis l’erreur de penser, depuis la fin de la guerre froide, que les conflits relevaient du passé et qu’il n’y avait plus que des clients, des fournisseurs et des partenaires. Ils se mélangent joyeusement dans une immense béatitude de marché. Je vous invite juste à revenir 2 ans en arrière et à relire l’épisode où la France avait fait porter la gestion de ses masques FFP2 non plus sur des stocks stratégiques internes, mais sur des contrats avec des fournisseurs (ce n’est pas de l’externalisation, ça ?).

On a vu le résultat : quand la pandémie de covid-19 est arrivée, les fournisseurs en question se sont d’abord servis pour eux-mêmes puis ont servi ce qui allongeaient grassement la monnaie, puis les autres. Les « masques FFP2 as a service » nous les avons encore en travers de la gorge, et du porte-monnaie aussi car la reconstitution des stocks stratégiques a coûté largement plus que ce que l’externalisation contractuelle a fait économiser. 2-2.

Maintenant, si vous pensez que ce sujet de réversibilité n’en est pas un, et que l’équivalent FFP2 ne se produira jamais côté cloud, vous choisissez l’analyse fonctionnelle / marché. Libre à vous.