Les critères de choix d’un fournisseur cloud SLA, performance, sécurité, localisation des données

De l’hébergement de données « on premise » à l’externalisation

Il y a encore quelques années, le système d’informations de l’entreprise restait local, les ressources étaient hébergées sur site et les usages en mobilité étaient encore limités. En quelques années, l’environnement des entreprises et les comportements ont profondément transformé le système d’information. Les DSI sont en plein mouvement car confrontés à de multiples enjeux autour de la sécurité, la continuité, la performance…   L’externalisation de l’infrastructure se démocratise, les données sortent de l’entreprise. Mais où vont-elles aller ? Selon une étude Forrester, 57% des décideurs sont préoccupés par la sécurité du cloud. Viennent alors un ensemble de questions à se poser pour bien choisir son fournisseur et hébergeur cloud. Bien souvent, les critères de sélection évoqués tournent majoritairement autour des enjeux de disponibilité, performance, pérennité et de sécurité. Nous vous avons lister un liste de critères non exhaustifs que vous êtes en droit d’exiger d’un hébergeur.

L’adéquation entre la réponse et votre besoin d’hébergement 

Avant tout chose, listez dans votre cahier des charges vos besoins fonctionnels et techniques :

• La criticité de l’application et la disponibilité attendue :
  • Niveau de disponibilité de 99 à 99,999%, quel temps d’interruption de service peut-on subir sans risque majeur pour l’activité de l’entreprise
  • L’application est-elle critique ?

• Le coût/le budget alloué
• La sensibilité des données à héberger
• Le support et l’accompagnement de l’hébergeur
• La supervision des infrastructures (matériel et logiciel)
• Les ressources des VM (puissance de calcul…)

La sécurité des données et la localisation des datacenters

Premier élément, la localisation de données :  où se situe l’emplacement des datacenters des prestataires sélectionnés ? Si votre application est sensible, mieux vaut un service à proximité de vos utilisateurs. Mais au-delà de la problématique de disponibilité de service/ temps de réponse, se pose la question de la réglementation en termes de confidentialité de vos données. Ce critère vous permettra de savoir si votre fournisseur d’hébergement est soumi à des lois, comme le Patriot Act aux Etats-Unis, mis en place après le 11 septembre 2001 et toujours en vigueur. Celui-ci autorise les services de sécurité américains à accéder aux données détenues par les particuliers et entreprises, sans autorisation ni information préalable. Ainsi, si l’hébergeur est américain, et même si sa filiale est hébergée dans un pays différent, ou encore que la société n’est pas américaine mais établie sur le sol américain, l’entreprise pourra être amenée à fournir un accès à ses données hébergées.   Les réglementations sont très différentes d’un pays à l’autre, il faut donc être vigilant ! D’autant plus dans un environnement hyperconcurrentiel où les risques de divulgation d’informations confidentielles sont de plus en plus forts. L’entreprise peut alors privilégier des opérateurs français ou européens dont les serveurs dont situés sur le territoire français par exemple (on parlera alors de « cloud souverain »). D’autres mesures peuvent être également proposées par l’hébergeur pour renforcer la sécurité comme par exemple le chiffrement de données, la double authentification ou encore une charte de confidentialité avec les partenaires…     Dans « sécurité », il faut également entendre « certification » : travaillez avec un hébergeur certifié ou ayant engagé la démarche de certification (comme la  certification ISO27001 préparée par Openhost) vous assure un gage de confiance puisque le fournisseur s’engage à assurer un certain nombre de bonnes pratiques visant à assurer la confidentialité, l’intégrité et la disponibilité des données. On parle alors de « SMSI » : Système de Management de la Sécurité de l’Information.  

La disponibilité de service sur le cloud (SLA)

Deux types de SLA – réseau et infrastructures :  Le premier fait référence à des coupures d’accès à l’infrastructure quand celle-ci continue de fonctionner et le SLA infrastructure fait référence à une coupure totale (par exemple à cause d’une défaillance d’alimentation). Quel est la disponibilité du réseau ? Est-ce que les datacenters sont-ils éloignés de uns des autres pour ne pas dépendre du même réseau électrique ?   Disponibilité de service : En termes de disponibilité de service ou encore de « SLA » Service Level Agreement (contrat de niveau de service), quel niveau de garantie de disponibilité est mis en place ? Et quelle maintenance est planifiée pour garantir le  taux de disponibilité dont votre application a besoin ? Ce critère est exprimé en pourcentage de temps (99.95% par exemple), il correspond à un engagement contractuel de l’hébergeur sur la disponibilité des services hébergés.

La performance de l'infrastructure cloud

Autre critère de choix : la performance du matériel : le temps de réponse, la fiabilité.

• Quelle performance lors de montée en charge ? Un site e-commerce au premier jour de soldes, un site événementiel, un site sportif lors d’une finale décisive ?
• Quelles sont caractéristiques et les ressources maximales par VM  ? Le nombre de processeurs, quantité de mémoire vive, d’espace disque, etc.

Au-delà des caractéristiques techniques, explorez également le champ d’expertise des équipes et le niveau de service qu’elles sont capables de vous apporter : du proof of concept (POC), au support, en passant par la supervision et le maintien en condition opérationnelle.   Openhost, par exemple, se positionne comme votre partenaire cloud en vous accompagnant de A à Z :     Rappelez-vous que la concordance avec vos exigences techniques est importante, mais il est tout aussi important de travailler avec des interlocuteurs qui comprendront vos besoins métiers et fonctionnels  pour ainsi rapprocher la technologie de l’activité.

La continuité de service et résilience informatique

Vos données sont-elles sensibles ? Si oui, à quel niveau ? Evaluez le niveau de risque engendré par la perte de données et voyez avec votre hébergeur ce qu’il peut vous proposer en termes de sauvegarde, backup et plan de reprise d’activité.     Définissez ainsi le délai de récupération maximum de données après panne et votre objectif en termes de restauration (RPO). Quel délai définissez-vous entre deux sauvegardes ? 12hr ? 24 ? 1 semaine ? Quelle quantité de données prenez-vous le risque de perdre sans pour autant mettre en péril l’activité ?   Evaluez dès lors la capacité de votre hébergeur à mettre en place un système de sauvegarde mais également à garantir la disponibilité des données stockées via la réplication. A titre d’exemple, Openhost propose deux niveaux de sauvegarde : la sauvegarde basique de vos données via Openbackup et des solutions de PRA permettant d’assurer une continuité de service en cas de sinistre.   Dernier point, l’hébergeur est-il capable de rendre vos données réversibles de telle sorte que celles-ci vous soient restituées si vous le quittez ?

L'accompagnement du fournisseur cloud

Enfin, critère majeur, l’accompagnement dans votre projet d’évolution d’infrastructure : même si certains clients veulent être totalement autonomes, il est malgré tout important de bénéficier d’un niveau de service haut de gamme : un service support accessible (mail, téléphone, ticket), astreinte nuit et week-end.   Explorez le devis et les conditions : le support est-il inclus dans l’offre de base ? Comment est-il joignable ? Bénéficiez-vous d’un ingénieur dédié ? A l’heure où beaucoup d’acteurs de l’hébergement vendent de l’infrastructure, la valeur réside aussi et surtout dans la capacité de votre fournisseur à devenir votre partenaire : un équivalent de « cloud broker » à même de vous accompagner, conseiller, à chaque étape du cycle de vie de vos infrastructures hébergées.     Sachez qu’Openhost est une société de proximité, dotée d’infrastructures cloud haute performance et localisées en France, nos experts se feront un plaisir de vous aider dans votre démarche d’externalisation de SI.