Le passage au « cloud computing », un changement technologique, financier et culturel

Avant que n’émerge l'expression cloud computing, les praticiens schématisaient les réseaux par un nuage, qui symbolisait une connexion vers une quantité indéfinie d'utilisateurs. Le concept de cloud computing a émergé au début des années 2000. Une des premières applications « dans les nuages » a été la messagerie. Cette nouvelle offre de service informatique renforce le mouvement d’externalisation des activités hors core business des entreprises en tirant le meilleur parti des technologies de l’Internet, et de la mutualisation, de la virtualisation et de l’automatisation des infrastructures informatiques : des services d’infrastructures techniques ou applicatifs sont ainsi – via un simple portail web – mis à disposition des utilisateurs « à la demande » et facturés comme tels.

Une offre publique et privée de services « à la demande »

L’offre se différencie : dans le « cloud computing public », les infrastructures et/ou les logiciels sont mutualisés par le fournisseur entre tous ses clients ; dans le « cloud computing privé », les moyens « cloud » sont réservés aux utilisateurs d’une entreprise. Il existe entre les deux diverses combinaisons : le « cloud privé virtuel », l’hybride public-privé et le « cloud communautaire » (le secteur aéronautique européen).

Compte tenu du délai nécessaire à la construction d’un cloud privé, l’usage actuel du cloud computing en entreprise – notamment dans le secteur financier – porte d’abord sur des infrastructures PaaS de second rang (voir Encadré), ou bien des applications SaaS hors cœur de métier, développées par des éditeurs spécialisés qui proposent un service comprenant l’hébergement.

Le cloud computing en mode « public » : des avantages pour les utilisateurs…

La fourniture de services « à la demande » modifie le rôle des intervenants dans la chaîne de valeur du système d’information (SI), tant du côté des utilisateurs que du côté des informaticiens.

S’agissant des utilisateurs, le cloud computing, notamment le SaaS ou le PaaS Public, offre trois avantages majeurs :

• plus d’agilité grâce à la réduction des délais dans les phases de conception et de mise en œuvre des pilotes (permettant des tests dans un temps record), et à la rapidité de généralisation de la solution (scalability) ;
• plus de clarté sur le coût du service rendu avec la facturation en coûts complets incluant les études, la maintenance applicative, les coûts d’infogérance du service applicatif hébergé, etc. ;
• une moindre dépendance des utilisateurs vis-à-vis de leur DSI : moindre besoin des compétences de la maîtrise d’œuvre pour la maîtrise d’ouvrage, voire moindre obligation de recourir à l’informatique centrale pour une entité autonome ou filiale.

En revanche, cette solution présente un inconvénient majeur : le passage  d’une dépendance vis-à-vis d’une DSI interne à une dépendance nouvelle vis-à-vis de fournisseurs externes.

…mais aussi pour les directions de systèmes d’information (DSI)

Quant à la DSI, elle a intérêt à promouvoir l’usage du cloud public en mode PaaS ou SaaS, pour deux raisons principales.

Tout d’abord, ce nouveau service lui facilite la vie en supprimant certaines activités – et donc des soucis potentiels – liées à des infrastructures ou applications non critiques qui passent à la charge du prestataire : la gestion d’infrastructures, les montées de versions applicatives, le déploiement de plates-formes de développement et de test réclamées en urgence par les études…

En contrepartie, la DSI pourra alors concentrer ses capacités d’innovation et de développement sur des activités cœur de métier, plus stratégiques et différenciantes pour l’entreprise. Pour cela, elle doit concevoir sa mission comme « chercheur » des meilleures solutions pour l’entreprise – plus rapides, peu chères, plus fiables – plutôt que comme « constructeur » et « exploitant » généraliste de solutions ; c'est un challenge en terme de périmètre d’activités,  de mode d’organisation, et d’interaction avec ses clients internes.

Des impacts positifs sur les coûts et la gestion financière…

Si le cloud computing permet d’améliorer la qualité du service rendu, quels sont les impacts de ce type de service sur les coûts et les comptes de l’entreprise ?

Compte tenu du périmètre du service rendu – incluant l’amortissement des immobilisations, l’utilisation du  logiciel, les maintenances,  les supports  utilisateurs – et du mode de facturation en « coûts tout compris », plusieurs postes d’investissement ou de coûts fixes sont supprimés dans la comptabilité du client et remplacés par des charges variables. Cela génère deux avantages en termes de trésorerie et d’équilibre économique pour l’entreprise cliente :

• d’une part, la substitution de dépenses récurrentes (run) à des dépenses d’investissement (build) permet de réduire le cash alloué à la fonction informatique (sauf si le fournisseur obtient un paiement d’avance de deux ou trois ans de prestation !) ;
• d’autre part, la substitution de coûts variables à des coûts fixes permet d’abaisser le point mort – à la condition que les engagements pris vis-à-vis du fournisseur permettent un réel ajustement des coûts à la demande.

Par ailleurs, le choix du SaaS, par exemple, oblige souvent l’entreprise utilisatrice à simplifier et standardiser ses processus internes pour les adapter aux options limitées offertes par le prestataire.

En regard de ces bénéfices réels, le recours au cloud computing perturbe les analyses de coûts et budgets IT. Les analyses des coûts glissent :

• entre investissements et charges, sous réserve des règles IFRS en fonction des droits acquis ;
• entre « run the bank » et « change the bank » (baisse des dépenses de  « change », puisque « tout » est inclus dans les dépenses courantes) ;
• entre dépenses IT et non IT  (par exemple, à travers des services SaaS, des dépenses IT peuvent passer hors IT, ou bien des dépenses non IT peuvent passer IT – cas de l’électricité ou de l’immobilier que facture le prestataire cloud).

Cela génère de la complexité et de la discontinuité (de la brume ?) dans les analyses comparées de la performance de la fonction IT, à la fois dans le temps et entre entités.

…à condition que les risques soient appréhendés

Comme pour toute prestation externalisée, les risques constituent l’envers du décor du cloud computing. Leur gestion s’inscrit dans le triptyque coût-qualité-risques. Les établissements financiers doivent ainsi veiller à ce que les économies « promises » par le cloud computing ne s’accompagnent pas d’une baisse de qualité ou d’une prise de risque mal évaluée.

Sur le P&L – outre l’absence d’économies d’échelle après le « pilote », qui surprend encore [1] –, le principal risque réside dans la découverte progressive de coûts « cachés », résultant de contraintes d’architecture fonctionnelle ou technique mal anticipées :

• interfaçage entre la prestation cloud et le SI interne – plus il s’agit de prestations proches du cœur du SI interne (par ex. le CRM), plus il s’avère difficile de « juste brancher » une prestation SaaS – ;
• « préparation » des applications legacy internes à un mode cloud ;
• interopérabilité entre prestations cloud.

Il est aussi possible que des montées de version du prestataire SaaS provoquent des effets de bord [2] dans le SI.

Ces coûts cachés découlent souvent des sujets régis par la réglementation de l’ externalisation [3] . Leur gestion est plus complexe que pour le service bureau classique, car les prestataires en SaaS public disposent d’architectures complexes, évolutives, marquées par un haut niveau de sous-traitance. Et leur démarche commerciale est souvent fondée sur la souscription « sur étagère » (quasi « contrat d’adhésion ») d’un service formalisé par de simples conditions générales (sous forme d’une GTC – General Terms & Conditions) et des bons de commande où le client coche les services souscrits en indiquant les quantités !

Les contraintes réglementaires

Les grands prérequis de conformité sont les suivants:

• réversibilité : si une messagerie Gmail sur le cloud, comme l’a fait BBVA début 2012 [4] , a bien des qualités d’agilité, tous les acteurs ne semblent pas convaincus de la réversibilité sur ce type de solution ;
• secret (notamment bancaire) et protection des données personnelles : les prestataires, souvent américains, n’avaient pas intégré dès le début les besoins de leurs clients européens issus de la directive européenne de protection des données personnelles ;
• sécurité, confidentialité et intégrité : un souci légitime en univers mutualisé virtualisé, renforcé par les peurs découlant de la législation USA Patriot Act ;
• droits d’audit et maintien du niveau de contrôle permanent/risque opérationnel : difficiles à mettre en œuvre dans une architecture mutualisée et virtualisée que le prestataire ne tient pas à vraiment dévoiler ;
• continuité : les établissements financiers ne peuvent se satisfaire d’engagements contractuels de disponibilité ; ils doivent comprendre pourquoi ces engagements sont crédibles.

En pratique, les établissements se doivent de démarrer les diligences de gestion des risques dès les préprojets. L’intérêt est d’éviter les déconvenues ultérieures : contraintes non identifiées à temps qui mènent à la perte des économies et gains de temps attendus, voire à des arrêts de projet après plusieurs mois de travaux. Ces diligences passent par une cartographie détaillée de l’architecture de service du prestataire, qu’il s’agisse de la localisation des composants ou du recours à la sous-traitance. Les architectes IT interviendront pour identifier les difficultés à prévoir – par exemple les bases Oracle sont souvent peu compatibles avec le recours au chiffrement des données. Et face à la probabilité que le prestataire décide d’optimiser son dispositif de prestation dans un sens « non conforme », l’établissement a vocation à toujours disposer d’un plan B.

Vers la maturité

Le cloud computing est une évolution technologique prometteuse, y compris pour la gestion financière de l’IT. Bien sûr, selon Gartner, après le stade des « attentes excessives », nous avons atteint le « creux de désillusion » ; mais le « début de maturité » suit, avec en perspective le « plateau de productivité » !

Pour tirer le meilleur du cloud public, une méthodologie et une gouvernance de projet rigoureuses s’imposent pour éviter les déconvenues, et ce même pour des utilitaires.  Quant au cœur de métier, le passage au cloud privé est sans doute la direction, sachant que la compatibilité des applications legacy avec un mode cloud ne va pas de soi, et qu’un passage au cloud constitue aussi un challenge culturel, pour les DSI comme pour les utilisateurs et les financiers.

1 Dans un projet informatique traditionnel, le coût du pilote comprend l’achat de licences pour les postes concernés et des coûts fixes de projet et d’intégration ; par poste utilisateur, le coût du pilote est élevé, mais le coût unitaire lors du déploiement de la solution est plus faible, car les coûts fixes ont été intégrés dans le pilote. En revanche, dans un projet de cloud computing Saas, le pilote se fait au prix de la prestation unitaire normale, sans les coûts fixes spécifiques d’un projet classique, mais le déploiement ultérieur se fait alors au même tarif. 2 En informatique, une fonction est dite « à effet de bord » si elle modifie un état autre que sa valeur de retour. 3 Cf. Règlement 97-02 du CRBF. 4 Début 2012, BBVA a annoncé la bascule de ses systèmes internes de messagerie (utilisant Internet Explorer) vers une prestation Saas Gmail de Google. Voir, par exemple, http://blog.cloudassist.com.au/2012/google-apps-for-business/google-apps-fuels-bbva-email-for-110000-employees.