Difficile pour les responsables d’entreprise de prendre des décisions en matière d’infrastructure IT, et plus particulièrement, d’hébergement. En effet, les demandes formulées par les différents services évoluent constamment tout comme la vitesse des technologies et les contraintes de financement. Au centre du problème figurent l’hébergement et les différentes solutions qu’il est possible d’adopter. Le choix est d’autant plus difficile que les offres des prestataires, de plus en plus nombreux sur le marché, se multiplient. Cette profusion complique la réflexion et avive la crainte d’effectuer une erreur pénalisante pour l’entreprise.

Le concept d’hébergement hybride résout a priori ce dilemme en proposant une approche du cloud qui n’est pas une rupture fondamentale avec les habitudes opérationnelles quotidiennes et qui en même temps maximise le retour sur investissement.

Pour comprendre l’intérêt d’une solution hybride, il faut d’abord rappeler ce que sont le cloud privé et le cloud public :

– Le cloud privé est une infrastructure dédiée, conçue pour les besoins d’une seule entreprise, localisée dans ses murs ou chez un hébergeur et bénéficiant en propre d’un pare-feu qui en assure l’accès contrôlé.

Ses principaux avantages sont la sécurité (fermeture aux utilisateurs tiers), la performance (accès direct et réservé), la personnalisation (infrastructure adaptée aux besoins précis de l’entreprise), la capacité d’extension ou « cloud bursting » (possibilité de « débordement vers le cloud public si besoin).

– Le cloud public est une infrastructure mutualisée qui offre une grande souplesse de dimensionnement et des coûts matériels et logiciels partagés induisant d’importantes économies d’échelle. Ressources et fonctionnalités sont définies par contrat avec cependant des possibilités d’évolution. Ses principaux avantages sont la simplicité et l’efficacité (proposé comme un service Internet sans investissement préalable), l’économie d’échelle (pas d’investissement matériel, moindre consommation énergétique), la rapidité de mise en œuvre (pas de délai d’installation, de configuration, disponibilité immédiate), l’absence de maintenance (comprise dans la prestation d’hébergement), et une grande flexibilité (offre adaptable instantanément à la demande).

La solution hybride agrège les avantages des cloud public et privé sans cumuler leurs inconvénients ce qui séduit de plus en plus d’acteurs à travers le monde quel que soit leur secteur d’activité. L’hébergement hybride gomme la frontière entre cloud privé et public en autorisant l’usage simultané des deux. Avec lui, l’entreprise n’est en effet plus obligée de s’engager dans un contrat à long terme sur un cloud soit privé soit public dont la configuration doit répondre à tous les besoins. D’autant qu’au fur et à mesure de l’évolution des activités il est possible que les deux types d’environnement s’éloignent en termes de spécification.

La sécurité est l’objection première à toute décision d’installer ses données et applications dans un Cloud Public. Cependant, des idées fausses perdurent. Une analyse détaillée des solutions proposées par l’hébergeur permet généralement de lever les doutes, y compris sur les spécificités propres à chaque secteur d’activité qui doivent faire l’objet d’un examen approfondi. De même, l’hébergeur doit être totalement transparent sur la politique d’accès privilégiés octroyés aux utilisateurs, y compris la gestion des droits dont disposent ses employés. La conformité du prestataire vis à vis de la réglementation et les vérifications par le biais d’audits sont aussi des points essentiels puisque l’entreprise cliente demeure seule responsable juridiquement vis a vis des tiers. La localisation des données doit aussi être clairement établie pour connaître précisément le régime juridique qui les régit. La possibilité de distinguer ses données de celles d’autres utilisateurs doit être assurée grâce à des techniques de cryptage dont on doit tester la réversibilité. La capacité de recouvrer ses informations après perte ou défaillance de l’infrastructure doit être garantie par des procédures contractuelles. Enfin, la disponibilité des données sur le long terme doit être également assurée par l’hébergeur quelque soit son changement de statut pour que ses entreprises clientes puissent récupérer leur bien à tout instant.

L’hébergement stratégique (ou mission critical), c’est à dire l’installation de données et applications réellement critiques pour la vie même de l’entreprise, introduit de nouvelles exigences dans le choix d’un hébergeur y compris dans le cas de solutions hybrides. L’évaluation et la gestion des risques doivent faire l’objet d’une investigation avant tout engagement avec un hébergeur et il est recommandé de suivre pour cela une stricte procédure. Il faut d’abord définir très précisément les risques pour chaque « avoir » sur la base de sa criticité, puis établir son statut avant migration afin de savoir si le risque peut être accepté, atténué, transféré ou évité. Enfin, chaque profil de risque doit être analysé pour valider le passage dans le cloud. Cette démarche permettra de comparer l’état de risque existant et futur et surtout de coordonner l’action des services IT internes avec ceux de l’hébergeur pour déterminer la meilleure stratégie de migration, comme le recours à des techniques de « tunnel sécurisé » ou de réseau privé virtuel (VPN). La protection des données dans le cloud est un autre sujet de préoccupation et il faut s’enquérir des dispositions pratiques prises par l’hébergeur pour lever les craintes : séparation des clients au niveau du réseau, architecture capable de stocker simultanément mais séparément les données de plusieurs locataires, pas de chevauchement d’infrastructure entre clients, sécurité rigoureuse du réseau pour éviter toute attaque malicieuse et donner l’accès des systèmes hébergés aux seules personnes autorisées. Assurer la continuité des opérations est aussi primordial car tout arrêt ou retard de traitement serait désastreux. Les entreprises ont donc besoin de savoir comment l’hébergeur l’assure d’une haute disponibilité de son infrastructure et lui garantit un haut niveau de service. Ces engagements doivent faire l’objet d’une stricte procédure de gestion d’incident et de reprise d’activité après sinistre avec, pourquoi pas, des plannings de réplication de données pour parer à toute éventualité. La conformité (ou compliance) est un impératif pour tous les hébergeurs qui doivent non seulement la maintenir de façon pro-active mais aussi être en mesure de la certifier en répondant aux standards de l’industrie (Sarbanes-Oxley, AT101).

La maintenance à long terme est un impératif pour tout système informatique, cloud compris. Dans un environnement hybride, les services interne et externe sont co-responsables et doivent coordonner leurs actions. La maintenance est indispensable pour assurer le fonctionnement optimal du système d’information, en particulier ses composantes critiques. Elle doit être préventive pour desceller les dégradations de performance, intervenir avant que la panne se déclare et prendre en compte toutes les préconisations des constructeurs et des éditeurs de logiciels. Ces actions de maintenance doivent aussi s’appliquer aux espaces disque afin d’éviter une saturation qui entraînerait des conséquences dramatiques. Il est donc nécessaire d’établir une procédure d’approvisionnement de capacités de stockage ou de réservation d’espace pour machines virtuelles afin de ne pas être pris de court. La mise à jour des anti-virus comme la vérification des procédures de sauvegarde font parti des mesures de maintenance courante que service informatique comme hébergeur doivent respecter ensemble, scrupuleusement. La responsabilité de la maintenance doit bien être établie, la partie cloud public étant sous la responsabilité du fournisseur tandis que le cloud privé demeure sous la surveillance du SI interne même s’il est externalisé à moins que sa maintenance soit effectivement confiée à son hébergeur. Cette délégation de responsabilité présente plusieurs avantages dont celui de libérer le SI interne de cette tâche pour qu’il se consacre à des dossiers plus stratégiques.