Vous avez vu dans le chapitre précédent quels sont les différents composants de l'architecture technique d’un SI, et quelles sont les différentes architectures permettant de les déployer. Vous êtes également sensibilisé à la potentialité des architectures Cloud, dont l’émergence a été facilitée par la technique de la virtualisation.
Dans ce chapitre, je vous propose donc de voir quels critères les DSI utilisent pour orienter leur choix d’infrastructure. Pour illustrer la démarche, je vous propose ensuite de voir le cas concret d’une entreprise qui envisage de passer certaines de ses applications en mode SaaS. Il nous permettra d’appréhender les points de vue de chaque acteur du système, d’illustrer les problématiques sous-jacentes, et de déterminer des recommandations qui pourront orienter les choix.
Vous êtes prêt ? C’est parti !
Les 6 critères définissant une infrastructure
Souvenez-vous : ce sont les besoins métier qui guident le choix de l’infrastructure et son évolution. Mais les besoins métier évoluent vite en fonction du marché dans lequel évolue l'organisme. Il est donc nécessaire que la partie technique du SI s’adapte aussi rapidement.
Pour définir l’infrastructure, il y a 6 critères indicateurs sur lesquels vous devez vous focaliser. Voyons-les dans le détail !
La performance des applications
Lorsque les applications ne fonctionnent pas comme elles le devraient, les utilisateurs ne peuvent pas les utiliser. Tout dépend donc du temps de réponse du système au détriment de la productivité et de la qualité. Pour assurer une performance optimale et réduire au maximum le temps perdu, il est important de mettre en place une solution qui va permettre d’absorber ces problèmes de performance à tous les niveaux du processus applicatif.
L'évolutivité de l'infrastructure
L’infrastructure est régulièrement stressée, mise à l’épreuve par le développement de l’activité de l’organisation, mais aussi par la mise en place de nouveaux produits et/ou services. Il est donc important de pouvoir réagir à ces changements sans que cela ait d’impact sur l'infrastructure elle-même.
La continuité de l'activité
Tout arrêt du SI, même momentané, peut coûter très cher. Une panne de serveurs, la perte d’accès à Internet, l’indisponibilité d’un centre d’hébergement, tout cela a des impacts sur l’activité économique d’une organisation. Un site e-commerce qui n’est plus joignable, c’est 100 % de perte de ventes.
La sécurité
La protection des applications et des données est vitale, et même devenue réglementaire avec le RGPD, le Règlement général sur la protection des données. C’est un texte de loi européen qui porte sur la protection des données à caractère personnel. Chacune des innombrables menaces actuelles (fuites de données confidentielles, attaques, infractions réglementaires, etc.) peut avoir de graves conséquences, d’autant plus qu’elles deviennent de plus en plus complexes. L’ensemble des éléments de l’infrastructure représentent un terrain privilégié pour de nombreuses attaques.
L’accès à l’information
Les membres d'une organisation, mais aussi les clients, accèdent de plus en plus à l’information selon des modes d’accès distants : site Web, application mobile. Fournir aux utilisateurs un accès uniformisé et direct à l’information peut s'avérer difficile, surtout si l'on veut appliquer des règles de sécurité distinctes pour un grand nombre d'utilisateurs et d'applications.
La capacité de stockage
Le volume de données que les organisations exploitent et conservent est en croissance constante. Plus important encore, cette volumétrie ne croît pas de façon linéaire mais exponentielle. Cela nécessite de plus en plus de ressources. Cependant, l'extension de la capacité de stockage coûte cher. Elle complexifie l'architecture, et augmente la charge de travail des équipes chargées de l'informatique. La migration de fichiers depuis un emplacement de stockage vers un autre peut s'avérer gênante pour ceux qui veulent y accéder par la suite, mais aussi dangereuse car elle peut entraîner la perte de données.
Pour vous illustrer clairement ces indicateurs, le tableau suivant vous propose quelques questions qu'un architecte de système d’information peut être amené à se poser.
Critères | Définition | Les questions à vous poser |
Performance des applications | Ce critère permet de cibler comment les applications fonctionnent (ou non), et comment les utilisateurs les utilisent au sein de l’infrastructure. |
|
Évolutivité de l'infrastructure | Cet indicateur décrit le niveau de modularité de l’architecture. |
|
Continuité de l’activité | Ce critère permet de mesurer le degré de résilience d’une architecture en cas de crash majeur ou d’incident. |
|
Sécurité | Cet indicateur mesure le niveau de vulnérabilité de l'architecture vis-à-vis des risques encourus (piratage, attaques diverses, vol de données, etc.). |
|
Accès à l’information | Ce critère s'intéresse aux droits et privilèges que les utilisateurs possèdent sur le SI et ses données. |
|
Capacité de stockage | Cet indicateur permet de mesurer l’adéquation des moyens de stockage avec les besoins de l’entreprise. |
|
Cette partie vous a permis de comprendre à l’aide de quels critères les architectes SI abordent les éléments clés d’une architecture technique.
Je vous propose maintenant de prendre un cas concret, pour que vous compreniez bien les différents enjeux sous-jacents aux choix opérés par la DSI.
Les entreprises face au SaaS
Notre cas concret : Bati Vite SA
Prenons l’exemple de la société Bati Vite, une ETI du milieu du bâtiment. Évoluant dans un contexte économique hyper concurrentiel, elle est leader sur son marché et compte environ 6 000 collaborateurs.
Elle utilise un logiciel spécialisé pour gérer les ressources humaines de la société pour :
l’administration du personnel ;
la paie ;
la gestion du temps ;
le recrutement ;
la formation ;
la détection et la gestion des talents.
Par ailleurs, l’entreprise dépense 70 % du budget dédié aux SI pour maintenir l’existant (montée en version du logiciel, maintien en condition opérationnelle des matériels informatiques associés, support payé à l’éditeur du logiciel).
Dans ce contexte, la direction envisage de passer en mode SaaS dans un environnement Cloud pour réduire les coûts et dégager de la marge de manœuvre financière.
Pour illustrer les problématiques sous-jacentes, confrontons les points de vue des différents acteurs du SI.
Point de vue des dirigeants (vision stratégique)
L’externalisation en mode Saas de ce SIRH comporte de nombreux avantages du point de vue des dirigeants :
la meilleure maîtrise des coûts : la maintenance est intégrée à la prestation, les mises à jour sont transparentes, et le support du prestataire est souvent personnalisé pour l’entreprise ;
la responsabilité environnementale de l’entreprise devient un argument stratégique pour cette entreprise leader sur son marché. En effet, la démarche Cloud inclut la réduction de la consommation d’électricité et de coût d’usage ;
la sécurité du SIRH est accrue par la rationalisation des accès et la garantie de l’intégrité des données ;
en dernier lieu, cela va permettre aux opérateurs de l’entreprise de se recentrer sur leur métier.
Les dirigeants de l’entreprise sont aussi conscients que ce choix implique certains risques :
la confidentialité des données ;
la réglementation peut être différente en fonction de la localisation géographique des serveurs qui accueillent les données de l’entreprise ;
cette solution pourrait être rejetée par certains clients ou fournisseurs.
Vision de la DSI (en tant que conseil auprès de la direction)
La vision de la DSI de la société est axée sur 3 points principaux :
l’investissement initial humain (formation sur l’exploitation), financier et matériel (serveur, réseau) est quasi nul ;
le temps de déploiement de la solution est réduit ;
l’allocation dynamique de ressources que permet le mode SaaS améliore la réponse du système en cas de pic d’utilisation, par exemple lors du traitement et de la préparation de la paie des collaborateurs de l’entreprise.
Point de vue utilisateurs (exploitants du SI)
Conscient de l’importance de l’avis de ses collaborateurs, la direction a décidé de sonder un panel représentatif d’utilisateurs du SI. Les avantages que relèvent les utilisateurs concernés sont multiples : amélioration de la collaboration des équipes des services RH, disponibilité des services, ergonomie des applications.
Toutefois, certains exploitants mettent en exergue quelques réticences. Les principaux points de vigilance sont axés autour de la dépossession de leur outil de travail et de la confidentialité des données RH, qui sont des données sensibles à caractère personnel.
Point de vue des informaticiens (les techniciens)
Pour ces exploitants techniques du SIRH, un changement d’environnement en mode SaaS leur libère du temps pour se consacrer aux autres tâches liées au SI (l’expertise, l’urbanisation, par exemple).
Toutefois, les réticences sont nombreuses : augmentation du trafic, la sécurité des applications et des données ainsi que la perte de contrôle sur le SIRH.
Prise de décision
Comme vous pouvez le voir, ce rapide tour d’horizon dresse un panorama complexe des implications du saut vers une solution Cloud. Ce changement engendre des modifications importantes dans le fonctionnement de la société, et la prise de décision sera difficile.
Recommandations de déploiement d’une architecture Cloud
La CNIL accompagne les professionnels dans leur mise en conformité, et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Elle analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés. Enfin, elle travaille en étroite collaboration avec ses homologues européens et internationaux pour élaborer une régulation harmonisée.
Les recommandations suivantes sont celles de cet organisme clé.
Identifier clairement les données et traitements qui iront dans le Cloud : données à caractère personnel, données stratégiques.
Définir ses propres contraintes de sécurité :
légales : localisation des données, réglementation spécifique, garantie de confidentialité ;
pratiques : disponibilité des données et du système ;
techniques : dépendance par rapport à d’autres briques du SI.
Conduire une analyse de risque.
Déterminer le type de service adéquat pour le traitement concerné : type de service et de déploiement.
Étudier finement les garanties des prestataires : juridique, niveau de protection sur les données.
Revoir la politique de sécurité de la société.
Effectuer une veille sur les évolutions temporelles.
Dans le cas de notre ETI, éclairée par la DSI, la direction décide de mettre en place un processus de décision en 4 étapes :
La direction charge la DSI d’établir un cahier des charges pour l’expression du besoin. Elle s'aidera des critères clés pour en dessiner le contour.
La DSI doit également proposer une étude comparative des différentes solutions SaaS du marché, et en décrire le retour sur investissement pour la société.
Une analyse des risques sera menée pour accompagner le déploiement.
La DSI étudiera également les problèmes d’intégration avec les autres briques logicielles de la société.
Dans ce chapitre, nous avons vu quels critères orientent le travail des architectes de la DSI. Le cas concret de notre ETI vous a permis d’appréhender le contexte de travail que nécessite un passage en mode Cloud, ainsi que de vous familiariser avec les recommandations de la CNIL en la matière.
Au-delà de ces considérations de conception, la DSI a également pour rôle de maintenir et de faire évoluer le SI en fonction des besoins métier exprimés par les acteurs de l’entreprise. Quels sont ces acteurs ? Quels sont les outils pour réaliser l’évolution du SI et son comportement vis-à-vis d’un incident sévère ? C’est l’objet du prochain chapitre.
En résumé
Afin de bien concevoir son architecture de SI, il faut se concentrer sur des points vitaux comme la performance des applications, l’évolutivité de l’infrastructure, la continuité de l‘activité, la sécurité, l’accès à l’information et le stockage de cette information.
L’évolution d’un SI, notamment vers une architecture Cloud, engendre de nombreux changements au sein de la société, qu’il convient d’accompagner par un véritable plan d’action qui éclaire la prise de décision du dirigeant. La CNIL émet également des recommandations qu’il est utile de connaître.