Le cloud computing : quels avantages et risques dans le cadre de la transformation digitale ?
Le cloud computing est un service sur demande, libre-service, basé sur des ressources partagées et allouées dynamiquement entre les utilisateurs, permettant une forte scalabilité et un accès rapide à des outils.
Même s’il présente de nombreux avantages, le cloud computing doit être considéré également dans ses inconvénients aux niveaux stratégique, tactique et opérationnel.
Le cloud computing est une technologie en évolution, les projets de transformation peuvent prendre en compte ces évolutions pour ne pas créer de systèmes ou de pratiques en obsolescence programmée.
Quels usages pour le secteur public ?
Le cloud computing est un processus d’accès à des services via Internet. Ces services peuvent être des outils ou des applications de stockage de données, de banque de données, de networking, etc. L’ensemble de ces services ne sont plus localisés dans l’outil digital de l’utilisateur.
Le cloud computing a profondément changé et continue de changer nos habitudes du fait de sa capacité à transformer les process face aux contraintes spatiales (par exemple, pendant le confinement lors de la pandémie COVID-19). Cependant, au vu des nombreux avantages, il est parfois difficile de définir une représentation plus holistique de cet outil stratégique.
Pour exemple, le gouvernement fédéral des États-Unis, sous la présidence d’Obama et la responsabilité du Chief Technology Officer Vivek Kundra, a considéré le cloud comme composante pivot de la transformation informatique fédérale. Cette stratégie avait pour but de s’engager ouvertement avec les citoyens et de stimuler l’innovation au sein des organisations gouvernementales.
Dans cet article, de manière succincte, nous allons discuter du cloud computing, de ses avantages et de ses risques dans le cadre de la transformation digitale. Et nous présenterons des cas d’usage au sein des organisations publiques.
Les types de cloud computing
On peut définir trois types de cloud computing :
- Software-as-a-service (SaaS) qui fonctionne à partir d’une licence permettant l’accès au service, comme la suite Microsoft Office. Les logiciels sont installés sur un serveur distant plutôt que sur la machine de l’utilisateur.
- Infrastructure-as-a-service (IaaS) qui se centre autour de l’accès à des systèmes d’exploitation, des serveurs de traitement ou de stockage dans le cadre d’un service à la demande. L’objectif est d’éviter l’achat de produits ayant une faible fréquence d’utilisation et l’accès à des ressources trop onéreuses pour être possédées. IBM Cloud et Microsoft Azure en sont des exemples.
- Platform-as-a-service (PaaS) qui partage des similitudes avec le SaaS. La différence principale est qu’au lieu d’accéder à des logiciels comme le SaaS, le PaaS fournit une plateforme de création de logiciels. Salesforce et Heroku en sont des exemples.
Ces différents types de services sous-tendent des coûts, dont certains sont communs et d’autres spécifiques. Ainsi, les informations concernant ces coûts sont pertinentes à prendre en compte a priori, pour le choix du service adapté.
Les avantages du cloud computing
Le cloud computing offre de multiples avantages qu’on peut définir selon 3 catégories : les avantages stratégiques, les avantages tactiques et les avantages opérationnels.
Les avantages stratégiques
- Centralisation des infrastructures, qui rend possible leur délocalisation dans des zones extérieures aux centres-villes, dans des espaces moins coûteux.
- Indépendance (relative) entre le contenu et le contenant. La perte ou destruction du contenant n’est plus associée à celle du contenu puisque celui-ci n’est plus stocké physiquement dans ce contenant.
- Accessibilité des logiciels et des fichiers, indépendamment d’outils ou de postes fixes.
- Réduction des coûts en matériel et adaptation de la demande de services à la situation. Cela permet aussi d’assurer une évolution des capacités informatiques au fil des évolutions technologiques sans avoir à acheter de nouvelles infrastructures (ex. serveurs).
- Réduction des temps de transfert d’information au citoyen améliorant le service pour celui-ci.
- Economie d’énergie : au niveau global, les services de stockage cloud sont plus économes en énergie que le stockage sur des disques durs locaux. De plus, les services tendent à être plus efficaces que les ordinateurs personnels de milieu de gamme pour les tâches de bureau simples. Cela permet de réduire la consommation d’énergie et donc l’empreinte carbone d’une organisation.
Les avantages tactiques
- Amélioration de la continuité et de la permanence des services, notamment face à des événements externes (ex. catastrophes naturelles).
- Rapidité : Le développement et l’implémentation de services basés sur le cloud est beaucoup plus rapide que les systèmes traditionnels.
- Scalabilité de l’utilisation des serveurs et du stockage en fonction des besoins.
Les avantages opérationnels
- Réduction des coûts : les dépenses en capital sont converties en dépenses de coûts unitaires opérationnels.
- Maintenance et support facilités : les besoins sont réduits du fait que les logiciels sont installés sur un serveur commun.
- Réduction des coûts liés à la redondance (ex. stocker des données sur plusieurs périphériques physiques ou digitaux).
- Mobilité et flexibilité : l’accès à distance aux documents et services a une influence positive sur les possibilités offertes aux agents.
- Collaboration : le cloud facilite aussi le travail collaboratif puisqu’un même document peut être accessible depuis différents postes en parallèle améliorant ainsi la permanence et la fiabilité de l’information.
Les risques du cloud computing
Selon le Cloud Security Report 2020, la sécurité reste un enjeu majeur pour tous les services de cloud.
Une nouvelle fois on peut définir les risques associés au cloud selon les aspects stratégique, tactique et opérationnel auxquels la National Security Agency ajoute les risques humains.
Les risques stratégiques
- Les perspectives du cloud sur le long-terme sont encore relativement limitées. Actuellement, la plupart des projets cloud sont à leur balbutiement. Par exemple, les analyses de rentabilité financière sont encore fragiles.
- L’intégration du cloud dans des organisations comme celles du secteur public amplifie le besoin de gouvernance. Le processus de transformation suppose une stratégie claire, qui prend en compte les spécificités sectorielles mais aussi la définition de procédures et normes pour les services de cloud computing. De nombreux aspects de la sécurité et de la confidentialité sont délégués au service cloud. Cela implique un niveau de confiance élevé entre l’organisation et le service.
- Un autre risque vient du besoin de connexion entre l’utilisateur et le service. Considérant les méthodes de sécurité et de cryptographie de ces solutions, le canal entre le service et l’utilisateur reste un point de vulnérabilité.
- Enfin un risque stratégique est la concentration d’information sur un serveur partagé. Un serveur n’héberge pas les outils et données d’une organisation mais de plusieurs. Il est donc important de considérer que les utilisateurs varient dans le niveau de protection de leurs outils. Certains utilisateurs, et donc points d’accès au serveur partagé, peuvent être considérés comme des failles pour les données d’un autre utilisateur partageant le même serveur bien que ce dernier ait mis en place une sécurité appropriée.
Les risques tactiques
- Intrinsèquement, le service de cloud computing est dépendant de l’activité du réseau. Ainsi, une panne réseau peut empêcher un utilisateur d’accéder à certains services.
- Cette dépendance s’inscrit aussi dans les capacités de migration d’un service vers un service alternatif. Les protocoles de migration entre service n’existent peu voire pas, ce qui implique la mise en place d’un process coûteux et complexe dans le cas d’une migration.
- La propriété des données est une autre question importante. Selon les licences d’utilisation la propriété des données peut être totale, partagée ou perdue.
- Il faut aussi considérer la compatibilité entre les outils physiques et les services cloud. Certains périphériques pourraient ne pas être compatibles.
Les risques opérationnels
Le principal risque opérationnel est l’incertitude que l’on peut trouver à un niveau endogène ou exogène :
- L’adaptation au besoin mentionnée dans les avantages pose aussi le problème de l’estimation des besoins. Les problèmes de performances médiocres sont courants avec les nouveaux systèmes car la charge réelle est différente de la charge prévue. Aussi, il peut exister des limites quant à la capacité de stockage maximale offerte par les services cloud.
- Une partie du contrôle sur les outils est déléguée au service cloud ce qui implique l’existence d’un canal de communication rapide pour assurer une permanence et l’adaptation du service aux besoins.
- Cela implique donc une moindre malléabilité des outils et moins de flexibilité et de personnalisation des outils sur le court terme.
- Une autre source d’incertitude est celle liée aux changements de régulation sur la protection des données, la certification des services de cloud ou les nouveaux process à intégrer pour assurer la mise aux normes.
Les risques humains
Concernant les risques humains, quatre catégories ont été identifiées par la National Security Agency :
- Les administrateurs d’infrastructure cloud malveillants au niveau du service proposant la solution
- Les administrateurs d’infrastructure cloud malveillants au niveau d’une organisation utilisant la solution cloud
- Les administrateurs d’infrastructure cloud peu ou mal formés au niveau d’une organisation utilisation la solution cloud
- Les cybercriminels
Le cloud computing dans le secteur public
Faisant écho aux avantages précédemment listés, une des principales opportunités du cloud computing pour les organisations gouvernementales et le secteur public est la réduction des coûts au niveau du matériel, de la maintenance et du renouvellement du parc informatique. Avec le cloud, les frais sont uniquement basés sur les exigences opérationnelles. Cela permet aussi de réduire les activités de gestion relatives aux cycles de vie du matériel tout en ayant une évolution constante des outils.
Cependant, pour de nombreuses organisations, la transition vers le cloud n’est pas simple. La mise en œuvre d’un changement systémique est compliquée avec un coût élevé en cas d’échec, que ce soit pour l’organisation ou les usagers. Il est donc important d’évaluer les risques a priori.
Et d’identifier les facteurs facilitant la mise en place de process autour du cloud computing.
Le point sur les stratégies Française et Européenne
En France, le gouvernement a annoncé sa stratégie nationale « Cloud au centre » en mai 2021. Elle repose sur 3 piliers :
- Le label cloud de confiance qui permettra aux entreprises et administrations françaises de bénéficier de meilleurs services offerts par le Cloud avec l’accent sur la protection des données
- Une perspective « Cloud au centre » de l’administration pour accélérer la transformation numérique du service public
- Le développement de nouveaux outils cloud français et européens comme partie intégrante de la stratégie industrielle inscrite dans le cadre de France Relance
En novembre 2021, Cedric 0, secrétaire d’Etat chargé de la Transition numérique et des communications électroniques, a présenté la stratégie cloud du gouvernement. Le gouvernement Français annonce 1,8 milliard d’euros pour faire émerger des champions français face aux tenants que sont Amazon, Microsoft et Google[1]. L’objectif est de développer des « solutions innovantes de cloud hybrides » ou de « cloud communautaires », de « nouvelles solutions matérielles et logicielles de stockage et de traitement de grands volumes de données » ainsi que des « solutions distribuées de stockage et de traitement de données à proximité des utilisateurs ».
Au niveau européen, le projet commun Gaia-X prône et pousse pour le développement d’un cloud européen. C’est aussi au niveau européen qu’est discuté le Digital Markets Act, qui a pour but de réglementer les grandes plateformes en ligne. Au moment de la rédaction de cet article, la discussion se heurte à la définition de concepts relatifs au niveau de sécurité attendu (i.e., gatekeeper, utilisateurs finaux, entreprises utilisatrices).
Des exemples d’utilisation du cloud computing
Le cloud computing a permis de développer l’interconnexion entre les services de bibliothèques autour du monde. Le Online Computer Library Center, une organisation à but non lucratif qui promeut la coopération entre les bibliothèques mondiales, a mis en place un service cloud nommé World-Share Management. L’utilisation du cloud computing dans les bibliothèques dans le monde a facilité le développement et la transformation de nombreuses tâches comme l’automatisation, les services de bibliothèque numérique, les applications bureautiques, le stockage, le service de recherche et l’hébergement de sites web associés aux bibliothèques. Le cloud a aussi rendu possible le partage de documents entre universités, donnant accès à un plus grand corpus pour les étudiants. Les auteurs ont cependant relevé certaines limites parmi lesquelles la sécurité des données, la confidentialité, la connectivité réseau et les problèmes de bande passante ou la dépendance à des agences extérieures.
En Caroline du Nord, l’ensemble de données de justice pénale était réparti dans plusieurs systèmes de registre. Cette fragmentation rendait difficile l’obtention des antécédents judiciaires. Le gouvernement de l’État a résolu ce problème en mettant en œuvre, à partir de 2011, un service cloud à la demande. Les Criminal Justice Law Enforcement Automated Data Services regroupent les données juridiques offrant aux organismes un système partagé de gestion de l’information. Quatre ans après le déploiement, l’état de Caroline du Nord a estimé qu’il avait économisé environ 28 millions de dollars en temps gagné en éliminant les processus inutiles.
Pour aller plus loin, Jones et collègues ont publié un article présentant trois cas d’usage du cloud computing dans le secteur public au Royaume-Uni. En résumé, les trois cas ont montré des avantages comme une gestion améliorée de l’information et une flexibilité des pratiques de travail. Cependant, certaines limites ont aussi été mises en évidence comme les risques de perte de contrôle et le manque de propriété des données pour les organisations.
En France, des projets numériques ont émergé dans les services publics comme :
- Tchap, une messagerie instantanée sécurisée pour les agents publics hébergée sur le cloud du ministère de l’intérieur.
- Histovec, un historique des véhicules lors des ventes, pour garantir la confiance entre acheteur et vendeur.
- Osmose, une plateforme collaborative de l’Etat basé sur la solution SaaS Jplatform de l’éditeur Jalios.
La société Gartner a produit des estimations évaluant les investissements et les tendances d’investissements dans le cloud computing par pays. De ces estimations on peut noter la place de la France parmi les retardataires (axe Y) mais surtout le dynamisme Chinois pour rattraper son retard (axe X).
Les perspectives : l’évolution vers le edge computing
Afin d’établir des stratégies ambitieuses visant une progression pérenne des services en termes de technologie de l’information, il faut se poser la question de l’évolution des technologies.
Dans le cadre du cloud computing, une méthode d’optimisation nommée edge computing semble importante à considérer. L’edge computing est une architecture informatique qui se caractérise par des traitements décentralisés directement par le périphérique qui les génère. Comparativement au cloud computing, qui s’organise autour d’un centre de données distant, l’edge computing peut être représenté comme un maillage de petits centres de données.
L’edge computing, en tant qu’évolution du cloud computing, présente trois avantages :
- Réduire les besoins en bande-passante et les latences de traitement de l’information (ex. goulot d’étranglement dû à l’accroissement constant du flux de données) car le traitement s’effectue en temps réel dans une étape intermédiaire.
- Assurer une meilleure sécurisation des données. Les données sont stockées à proximité de la source dans un mini centre de données et non plus dans un centre de données unique et partagé.
- Augmenter d’autant plus l’évolutivité de l’utilisation des services en fonction des besoins.
En 2021, les principaux usages de l’edge computing sont la maintenance prédictive (i.e. anticiper les défaillances) et le développement des véhicules autonomes.
Conclusion
Le cloud computing est une solution technique proposant de nombreux avantages mais dont les limites sont encore à définir.
Le choix de faire transiter les services vers le cloud doit donc reposer sur une évaluation des besoins et des attentes a priori. Il est important de considérer que la solution technique doit venir en réponse à une problématique adaptée et non comme un objectif en soi. Ainsi, la planification et les objectifs stratégiques doivent impérativement s’adosser aux besoins et contraintes organisationnelles.
Enfin, le déploiement du cloud doit s’inscrire dans une stratégie globale de transition des organisations avec des perspectives d’évolution prenant en compte les technologies émergentes. Cette perspective permet de s’inscrire dans une démarche de progression et d’amélioration permanente, facilitant la transition vers les nouveaux outils ou les nouvelles technologies.
Références
1. Paquette, S., Jaeger, P. T. & Wilson, S. C. Identifying the security risks associated with governmental use of cloud computing. Government Information Quarterly 27, 245–253 (2010).
2. Basu, S. et al. Cloud computing security challenges & solutions-A survey. 2018 IEEE 8th Annual Computing and Communication Workshop and Conference, CCWC 2018 2018-January, 347–356 (2018).
3. Armbrust, M. et al. A view of cloud computing. Communications of the ACM 53, 50–58 (2010).
4. Makhlouf, R. Cloudy transaction costs: a dive into cloud computing economics. Journal of Cloud Computing 2020 9:1 9, 1–11 (2020).
5. Martens, B., Walterbusch, M. & Teuteberg, F. Costing of Cloud Computing Services: A Total Cost of Ownership approach. Proceedings of the Annual Hawaii International Conference on System Sciences 1563–1572 (2012) doi:10.1109/HICSS.2012.186.
6. Jones, S., Irani, Z., Sivarajah, U. & Love, P. E. D. Risks and rewards of cloud computing in the UK public sector: A reflection on three Organisational case studies. Information Systems Frontiers 21, 359–382 (2019).
7. Chhetri, M. B., Chichin, S., Vo, Q. & Kowalczyk, R. Smart CloudBench—A framework for evaluating cloud infrastructure performance. Information Systems Frontiers 18, 413–428 (2015).
8. D Zissis, D. L. Securing E-government and E-voting with an open cloud computing architecture. Government Information Quarterly 28, 239–251 (2011).
9. Schulze, H. Cloud Security Report. (2020).
10. National Security Agency. Mitigating Cloud Vulnerabilities. (2020).
11. How Unexpected Costs Create a ‘Cloud Hangover’ | CIO Insight.
12. GAIA-X – Home.
13. DMA : Le Conseil et le Parlement européen s’écharpent sur la définition de “gatekeeper ».
14. Gartner. Cloud Adoption Where Does Your Country Rank..
[1] Il est à noter que la France possède déjà des entreprises de cloud efficientes comme Scality, Livestorm, Content Square, Klaxoon ou Platform.sh.