Cloud privé, cloud public : quelle solution d'hébergement pour votre entreprise ?

Préambule : Le DSI, ce chef d’orchestre

Les missions et les compétences du DSI ont évolué au gré des progrès technologiques et des besoins des entreprises. Le DSI n’est plus cet “homme à tout faire” capable de gérer l’ensemble du système d’informations de l‘entreprise. 

Désormais, un seul homme ne peut plus rassembler à lui seul l’ensemble des compétences techniques requises pour mener à bien la nécessaire digitalisation de l’entreprise et l’optimisation constante de ses ressources informatiques. 

L’externalisation n’est plus un choix, c’est quasiment devenu inéluctable, tout du moins lorsqu’on regarde de manière rationnelle les options possibles. Le rôle du DSI s’apparente dès lors plus à celui d’un chef d’orchestre chargé de définir la meilleure stratégie pour le développement de l’entreprise et de s’assurer au quotidien de son efficacité.

Quelles ressources externaliser et quelles compétences garder en interne ? Quels prestataires et quelles offres choisir ? Comment vont évoluer, à moyen et long termes, les besoins de l’entreprise ? Des questions incontournables que se posent aujourd’hui tous les DSI.

Parmi l’évolution des missions du DSI, une tâche s’est imposée comme majeure dans son travail : l’optimisation de la performance du S.I., et avec elle, la question de l’hébergement des données et applications de l’entreprise. Elle soulève, là encore, plusieurs questionnements : Cloud, On Premise ou hébergement externalisé ? Cloud privé ou public ? Pour quel type de données ou d’applications ? Dans quelles conditions de sécurité ? Avec quel hébergeur ? Comment rédiger le contrat ? 

1. Les différents types d’hébergement

1.1 Cloud Public

Le Cloud Public est une solution consistant à héberger ses données sur des data-centers industriels accessibles simplement et administrés par des sociétés privées comme Microsoft, Google, Amazon Web Services, IBM, OVH ou encore Salesforce. Ces serveurs sont accessibles publiquement, en libre-service, depuis n’importe quel terminal connecté à Internet. Ainsi, l’ensemble des ressources (serveurs, alimentation, éléments actifs de réseaux…) est mutualisé entre tous les utilisateurs. 

Le principal avantage du Cloud Public réside dans la simplicité et la rapidité de sa mise en oeuvre. Une carte bancaire et quelques clics suffisent pour stocker ses données sur un service de cloud public. Pour une entreprise, il est néanmoins nécessaire d’encadrer et professionnaliser cette démarche, notamment pour éviter le Shadow IT. C’est pourquoi de plus en plus de DSI font appel aux services de sociétés d’infogérance informatique.

La forte réactivité et adaptabilité du Cloud Public en font une solution très largement plébiscitée.

La mise en place d’une solution de Cloud Public est le meilleur moyen pour bénéficier d’un système d’information très vite opérationnel et efficace, notamment pour des services “clef-en-main” comme les suites bureautiques, le CRM, les suites RH... 

1.2 Cloud Privé

Le Cloud Privé est une solution consistant à héberger ses données sur des serveurs dédiés aux besoins d’une seule entreprise. Ces serveurs peuvent être physiquement installés dans les locaux de l’entreprise ou dans un data-center spécialisé. 

Par définition, le Cloud Privé est donc une solution sur-mesure garantissant souplesse et évolutivité. Le DSI et les équipes opérationnelles peuvent construire leur architecture avec infiniment moins de contraintes qu’avec un fournisseur de Cloud Public. 

L’autre point fort du Cloud Privé réside dans son haut niveau de sécurité. Puisque les données sont physiquement isolées, elles offrent logiquement une visibilité moins importante. Une solution qui convient particulièrement aux exigences des entreprises ayant des contraintes de confidentialité ou de protection des données élevées et voulant maîtriser la chaîne de sécurisation elles-mêmes. 

Les grandes entreprises construisent souvent leur Cloud Privé dans leurs propres data-centers, pour offrir à leur collaborateurs et à leurs partenaires la même souplesse, la même réactivité et la même évolutivité que les clouds publics, mais dans un environnement complètement maîtrisé. Généralement, la solution la plus simple reste néanmoins d’opter pour un cloud privé externe, qui permet à l’entreprise de s'affranchir des questions d’investissement matériel. 

1.3 On Premise

La solution On Premise (“On prem” dans le langage des DSI) consiste à héberger physiquement les serveurs et donc l’ensemble des données de l’entreprise dans ses propres locaux. Elle se matérialise par l’investissement dans des équipements techniques en propre par l’entreprise. 

Le On Premise peut être une alternative au Cloud au niveau de l’infrastructure (IaaS : Infrastructure as a Service) mais aussi des logiciels et licences (SaaS : Software as a Service). L’entreprise acquiert ainsi ses équipements pour une durée illimitée. 

Le principal avantage du On Premise est d’avoir un contrôle total sur ses données. Le DSI ne compte que sur lui-même et ses équipes et n’est pas dépendant d’un prestataire externe. Puisque les données sont hébergées dans l’entreprise, elles sont toujours accessibles quelle que soit la qualité de la connexion internet. Enfin, le niveau de sécurité et de confidentialité est logiquement maximal.

1.4 Hébergement Externalisé (virtualisé) 

L’Hébergement Externalisé consiste à faire héberger ses serveurs dans un data-center professionnel, géré et managé par un prestataire de services numériques. 

Bien que certains d’entre eux vont proposer d’héberger des serveurs physiques, nous traiterons dans ce livre blanc uniquement de l’hébergement virtualisé, celui-ci offre davantage de souplesse et d’évolutivité que l’hébergement de machines physiques.

Techniquement, la virtualisation consiste à fractionner un seul serveur réel en plusieurs serveurs virtuels totalement indépendants. On utilise pour cela une solution logicielle de virtualisation généralement appelée Hyperviseur.

L’Hébergement Externalisé permet ainsi à l’entreprise de bénéficier des avantages d’un environnement dédié, sans avoir à en gérer toutes les tâches de maintien en conditions opérationnelles de cette infrastructure.

Toutes les opérations d’entretien du système de refroidissement, des éléments actifs de réseaux et de sécurité sont gérés par le prestataire. Dans la plupart des cas, ce fournisseur proposera également un certain nombre de tâches de maintenance sur le serveur, laissant la possibilité au DSI de se concentrer sur ces projets à plus forte valeur ajoutée.

La sécurité est un autre atout de l’externalisation. En effet, ces prestataires étant spécialisés dans l’hébergement de données investissent souvent davantage que la plupart des entreprises et disposent généralement d’experts en cybersécurité toujours au fait des dernières menaces, et des dernières réponses à apporter en cas d’attaques.

2. Les besoins à considérer

2.1 IaaS, SaaS ou PaaS ? 

Outre le choix du mode d’hébergement, le DSI va devoir définir le modèle de cloud qu’il considère comme le plus approprié aux besoins de son entreprise. Trois possibilités s’offrent à lui : l’IaaS (Infrastructure as a Service), le PaaS (Platform as a service) et le SaaS (Software as a Service). Ces trois types de cloud permettent de définir les usages qui en découlent. (En réalité, il existe de nombreux modèles en -as-a-Service qui ont vu le jour depuis, mais il ne s’agit que de déclinaisons de ces 3 modèles principaux !)

2.1.1 IaaS : L’hébergement de l’infrastructure dématérialisée

L’Infrastructure-as-a-Service est le “niveau 1” de l’externalisation cloud. Cette solution consiste à dématérialiser intégralement l’infrastructure matérielle. Sa gestion est assurée par un prestataire externe qui assure l’installation des serveurs de fichiers, les réseaux et le stockage des données.

Le principal avantage de l’IaaS est de supprimer les dépenses d’investissement inhérentes à l’achat de l’infrastructure matérielle. Une solution intéressante pour les start-ups, les entreprises en cours de création ou celles souhaitant réorganiser leur système d’information sans investir sur ce segment. Pour les plus grandes structures jusqu’ici en On-Prem, c’est un premier pas vers le cloud. Le DSI garde un rôle moteur au niveau opérationnel car il pilote l’hébergement de l’ensemble des données et applications.

2.1.2 PaaS : L’hébergement des environnements de développement d’applications

Platform-as-a-Service est une solution qui permet d’externaliser son environnement de développement pour gagner en souplesse et en réactivité. L’entreprise délègue complètement l’installation des serveurs, des systèmes d’exploitation, de l’environnement de programmation et du système de gestion de base de données. Tout est livré “clef en main” par le fournisseur de PaaS, qui se charge également du logiciel de serveur, du support, du stockage, de l’accès réseau, des outils de design et de développement, et de l’hébergement. 

Le PaaS est une solution pertinente pour les entreprises qui souhaitent garder une vraie marge de manoeuvre en interne. Le DSI et ses équipes peuvent ainsi se concentrer sur les données et applications les plus critiques pour l’entreprise et spécifiques à leur secteur d’activité, les développer et les faire tester aux différents collaborateurs puisqu’elles sont par essence facilement accessibles. Ces applications pourront, une fois développées, être publiées en SaaS. 

2.1.3 SaaS : L’hébergement externalisé

Software as a Service consiste à utiliser une application complètement hébergée dans le Cloud. Vous n’avez à vous préoccuper ni de l’infrastructure servant à héberger cette application, ni de sa maintenance. Vous ne payez qu’un droit d’usage, généralement sous forme d’abonnement.

Le SaaS est adapté aux structures qui ont besoin d’une solution “métier” qui a été développée spécifiquement pour ce besoin. Par exemple, on trouve sur le net, pléthore d’applications SaaS : des CRM (Hubspot, SalesForce, Soho…), des ERP (Netsuite, Divalto, Odoo, SAP…), des solutions de gestions RH (Hello Talent, Lucca, Talentsoft, PayFit…)...  

Celles-ci peuvent être paramétrées relativement simplement, sans forcément requérir des connaissances pointues en développement. On parle souvent de “Click & Deploy”, pour personnaliser les fonctionnalités de l’application aux besoins de l’entreprise.

De plus, de nombreuses applications SaaS sont interfaçables entre-elles ou parfois aux solutions hébergées dans l’entreprise. C’est pourquoi choisir les meilleures solutions SaaS pour les adapter aux besoins spécifiques d’une entreprise ne s’improvise pas et il s’avère pertinent de se faire accompagner par des prestataires spécialisés.

2.2 Quelle est la criticité des données hébergées ?

Efficaces et économiques, les solutions cloud se sont surtout heurtées à des craintes, légitimes, en matière de sécurité. Celles-ci tendent clairement à s’estomper. Les retours d’expérience prouvent que les pertes de données sont exceptionnelles et jamais totales puisque des procédures de sauvegarde sont mises en place. De plus, la technologie et la réglementation ont largement évolué ces dernières années pour garantir une meilleure protection des données sensibles.

Pour autant, il convient d’être particulièrement vigilant quant à la criticité des données hébergées sur le cloud et au choix du prestataire qui assumera cette lourde charge. *

Globalement, vous devez adopter les mêmes réflexes en matière de sécurité que si vous hébergiez vos données vous-mêmes. En effet, même si un certain nombre d’opérations de sécurisation de vos données seront effectuées par votre prestataire, vous devez vous assurer du professionnalisme et du savoir-faire de votre prestataire. Bien que celui engage sa notoriété, et qu’il va avoir tendance à bien sécuriser son infrastructure, cela risque de ne pas être suffisant, si votre machine est sécurisée par un mot de passe de type “1234” ou si votre machine n’est pas convenablement sauvegardée !

Vous devez également vous inquiéter du type de données que vous allez faire héberger.

D’un point de vue strictement réglementaire, l’article 23 du RGPD (Règlement Général sur la Protection des Données) somme l’entreprise qui dispose des données de conserver et traiter uniquement les données absolument nécessaires à l’accomplissement de ses fonctions. 

Concernant l’externalisation, les entreprises émettrices doivent également limiter l’accès aux données personnelles à ceux qui interviennent dans leur traitement via différents moyens : le cryptage des données personnelles, la capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services qui traitent les données personnelles, la possibilité de restaurer les données et d’assurer l’accès aux données en temps opportun en cas d’incident physique ou technique.

L’hébergeur doit quant à lui donner à l’entreprise la possibilité, dès la conception de l’application, de se conformer aux règles édictées par le RGPD. Un élément sur lequel le DSI doit être particulièrement vigilant et un paramètre central dans le choix de son prestataire. Le principal critère à prendre en compte concerne la localisation des données. Celles-ci doivent être physiquement hébergées en France et ainsi soumises à la législation française. Parallèlement, il convient d’assurer avec l’hébergeur un niveau de transparence et de sécurité permettant de répondre aux besoins légaux et techniques de l’entreprise.

2.3 Quels risques d’indisponibilité pour les données hébergées ?

Des données indisponibles et c’est l’ensemble des services de l’entreprise qui tournent au ralenti. Pour certaines, notamment les pure player, une telle situation est même synonyme d’arrêt complet de l’activité. Si les conséquences sont donc inégales d’une entreprise à l’autre, toutes ont la même exigence : pouvoir accéder à leurs données partout et tout le temps.

Ainsi, la disponibilité des services en ligne est déterminante. Cette disponibilité dépend de la qualité des composants de la chaîne d’hébergement, ainsi que du taux de disponibilité de chacun de ces composants. Si chacun d’entre eux est redondé, la disponibilité globale s’en trouve naturellement améliorée.

Mais évaluer les engagements de disponibilité (SLA, pour Service Level Agreement) d’un fournisseur de Cloud n’est pas chose aisée. Vous devez ainsi challenger :

• La robustesse des datacenters (classifiés en plusieurs Tiers : I, II, III et IV, qui indique que la redondance des éléments sensibles vont de manière croissante) ;
• La disponibilité des équipements. Vous mesurerez ainsi leur fiabilité (MTBF = Temps moyen entre 2 défaillances) et leur maintenabilité (MTTR = Temps moyen pour réparer) ;
• L’organisation des équipes et la documentation de leurs procédures : plus ces procédures sont automatisées et traçables, moins le risque d’erreur humaine peut intervenir (sans pour autant être complètement exclue).

Pour éviter une défaillance, il est nécessaire d’étudier, avec le prestataire qui héberge les données, les éventuelles failles du système d’information. Cela passe par un audit poussé visant à définir le cheminement des données et les points d’échanges entre les différentes applications. Un classement des données, notamment en fonction de leur criticité, peut également permettre de les cloisonner et d’atténuer les conséquences d’une avarie technique. Enfin, il est nécessaire de bien définir les droits d’accès des différents utilisateurs en fonction de leurs besoins et responsabilités.

Malgré toutes ces précautions, les données peuvent être indisponibles suite à un problème technique. Evidemment, c’est toujours au moment où l’on pense en avoir le plus besoin (en réalité on en a toujours besoin !). Le DSI, qui va devoir gérer la crise, doit pouvoir s’appuyer sur la réactivité et les compétences de l’hébergeur. Premier critère indispensable : un service client disponible 24h/24. Une solution possible sans surcoût grâce au modèle “Follow the sun” consistant, pour l’hébergeur, à disposer d’équipes réparties sur l’ensemble du globe terrestre et donc toujours actives. 

7j/7 ou 5j/7 selon les besoins et exigences de l’entreprise, cette solution permet à l’hébergeur, dont les équipes sont formées pour répondre à ce type de situation urgente et sont dotées des meilleurs outils d'IT Operation Management, de résoudre immédiatement le problème. Le DSI est ainsi en mesure d’assurer la totale disponibilité des données aux collaborateurs de l’entreprise même en cas de défaillance technique et tout en garantissant un niveau de sécurité optimal.

2.4 Quelles évolutions pour les données ou applications hébergées ? 

Réactivité, flexibilité, adaptabilité, des termes entrés dans le langage courant de l’entreprise et qui reflètent une incontestable réalité. Des termes en forme d’impératifs qui s’appliquent à l’entreprise et donc à son système d’information. Pour le S.I., on parle même de scalabilité. La scalabilité, c’est la capacité d’un dispositif informatique à s’adapter aux besoins en ressources de l’utlisateur-client et donc à être performant et efficace.

La scalabilité est clairement une des caractéristiques majeures du Cloud. On distinguera deux types de scalabilité : 

• la scalabilité horizontale, qui consiste à ajouter ou retirer des ressources semblables à celles déjà en place dans l’instance utilisée (par exemple, ajouter de l’espace de stockage sur une machine virtuelle, du CPU ou de la mémoire vive…), pour adapter l’application au nombre réel d’utilisateurs
• la scalabilité verticale, qui consiste en la modification des caractéristiques de la ressource, en y adjoignant des fonctionnalités supplémentaires. Google, avec sa suite applicative, rajoute par exemple de nombreuses fonctionnalités sans modifier ses tarifs.

Avec ces deux notions d’élasticité et de scalabilité le DSI peut ainsi adapter sa configuration à son usage réel et ne payer que ce qu’il consomme réellement. Le paiement à l’usage est la conséquence directe de cette scalabilité. Il est même possible d’automatiser l’adaptation de ces ressources fournies pour qu’elles épousent toujours les pics d’activité du client, avec des mécanismes d’auto-redimensionnement. Votre prestataire doit pouvoir vous aider à les définir.

3. Les questions à se poser avant de choisir son hébergeur

3.1 Quelle est la solidité du prestataire ? Comment est sa notoriété ?

Avant de choisir un prestataire ou un partenaire, on essaie forcément de le connaître au mieux. C’est la même démarche lorsqu’il s’agit d’externaliser son hébergement. Avant d’entrer dans des considérations plus techniques, il est utile de se renseigner sur le modèle d’affaire de l’entreprise. Depuis quand est-elle active ? Quel est son coeur de métier ? Quelle est sa principale activité et qu’est-ce qui assure sa rentabilité ? Quels sont ses derniers résultats financiers et ses projections ? Enfin, quelle est sa réputation dans son secteur d’activité et quelles sont ses références et ses clients ?

Voici les premières questions que se pose un DSI avant de choisir un hébergeur. La solidité des réponses apportées et des références que possède la société d’infogérance doivent permettre d’avoir un premier avis, favorable ou non. C’est seulement dans un second temps qu’on s’attache à la prestation en elle-même.

3.2 Quels sont ses engagements de service ?

Votre prestataire doit vous détailler les engagements qu’il prend par rapport à la solution que vous lui confiez :. 

• Quelle sera la disponibilité de la solution : 24h/24h, 7j/7j, heures ouvrées, à la demande… ?
• En cas de problème sur la solution, en combien de temps la solution sera t-elle à nouveau disponible ?
• Quelle garantie y a-t-il sur les données : risque de perte, périodicité des sauvegardes… ?

Ces "engagements" ou "SLA" Service Level Agreement) représente votre "Contrat de service". Evidemment, plus le SLA est contraignant, plus le prix de la solution proposée par l'informatique est élevée.

3.3 Quelle est la disponibilité de son infrastructure ?

Cette infrastructure, pour être sûre et efficace, doit proposer un minimum de redondance matérielle. Ainsi, en cas de défaillance d’un élément actif système, les services continuent de fonctionner normalement et sans interruption car l’équipement défaillant est automatiquement relayé par un autre. On parle alors de haute-disponibilité. Selon la criticité de vos données ou de vos applications, vous allez pouvoir exiger un niveau de service plus ou moins élevé.

En cas d’arrêt du système d’information suite à une défaillance, un plan de reprise d’activité peut également être prévu (voir partie 3.8). Si vous ne pouvez pas souffrir de la moindre période d’interruption de service, vous pouvez alors exiger que le système d’exploitation, les données et les applications soient répliqués dans un data-center tiers. Ainsi, en cas d’incident, il suffira de démarrer ces serveurs de secours pour relancer le système d’information et permettre l’activité normale de l’entreprise.

Pour aller plus loin, vous pouvez mettre en place un PRA (Plan de reprise d’activité), ou d’un PCA (Plan de continuité d’activité). 

• Le PRA est un ensemble de protocoles à suivre permettant de reconstruire le système d’information et d’assurer la remise en route des applications nécessaires aux activités de l’entreprise suite à une crise majeure. 
• Dans la même logique, le PCA permet d’assurer la continuité des activités de l’entreprise en garantissant un accès au système d’information sans rupture d’exploitation ou presque. 

La déclinaison peut-être faite sur le seul pan informatique avec le PRI (Plan de Reprise Informatique) ou le PCI (Plan de continuité informatique).

3.4 Quelle est sa connectivité ?

Le lien entre votre entreprise et le data center de votre prestataire hébergeur est un point clef. Si votre hébergeur dispose généralement de tuyaux très importants, et que votre tuyau qui vous relie au monde est sous-dimensionné, vous condamnez vos collaborateurs à une expérience-utilisateurs fortement dégradée. 

La bande passante correspond à la vitesse limite à laquelle les données peuvent être transférées entre les serveurs distant et le poste qui le consulte. Elle est mesurée en mégabits par seconde (Mb/s) ou gigabits par seconde (Gb/s). La bande passante est une donnée importante puisqu’elle détermine le volume de données maximum qui peut être transféré dans un temps donné. Dans l’esprit des utilisateurs, il s’agit de la rapidité avec laquelle ils accèdent à des informations en ligne.

Pour estimer au mieux vos besoins en bande passante, il se peut que vous deviez vous rapprocher des éditeurs de vos solutions métiers, pour avoir la bande passante minimale par utilisateurs, et l’adapter à vos besoins. Votre prestataire hébergeur peut également vous assister à calibrer au mieux les tuyaux dont vous avez besoin.

Si vous optez pour une solution de type cloud privé externe ou d’hébergement externalisé, assurez-vous que votre hébergeur soit multi-opérateurs télécoms. Cela vous permet de conserver votre fournisseur telecom actuel, et/ou vous offre la possibilité d’en changer si vous le souhaitez plus tard, sans avoir à déplacer votre infrastructure. 

3.5 Quel type de Disque ?

Parmi les paramètres techniques à prendre en compte lorsqu’on externalise l’hébergement de ses données et application, il y a le type de Disque sur lequel elles seront stockées. Comme un ordinateur de bureau, un serveur peut fonctionner avec un disque dur SSD ou HDD. 

Logiquement plus chère, la technologie SSD est beaucoup plus performante. En terme de vitesse notamment. Grâce à la mémoire flash, le chargement des données est beaucoup plus rapide avec un disque SSD. Au début réservée aux ordinateurs de bureau, cette solution se généralise donc progressivement chez les hébergeurs. 

Un modèle intéressant consiste à stocker les données les moins utilisées sur des disques HDD et celles nécessitant une structure de stockage plus complexe sur SSD. Ainsi, le SSD sert de support aux bases de données, applications ou systèmes CRM nécessitant davantage de vitesse. 

3.6 Quelles sont les mesures de sécurité en vigueur ?

La sécurité des données est un enjeu central dans toute solution d’hébergement. Avant de choisir un hébergeur, il est donc impératif de s’intéresser aux différentes procédures et normes de sécurité qu’il applique aux données qu’il héberge. 

Premier point, les protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Il s’agit des protocoles les plus répandus et consistent à créer un canal sécurisé entre deux infrastructures connectées. Ils sont notamment utilisés lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web. Ces protocoles sont aujourd’hui des standards, et doivent constituer un prérequis indispensable. 

Vous pouvez vous assurer que votre prestataire applique également le référentiel des bonne pratiques en matière de sécurité informatique, s’il est détient la certification internationale ISO/CEI 27001. Cette norme est la plus aboutie en matière de sécurité de l’information. Elle consiste à mettre en place un système de management de la sécurité des informations (SMSI), englobant les personnes, les processus et les systèmes de technologie de l’Information. Elle est une garantie certaine si vous souhaitez vous adosser à un partenaire de confiance.

Les procédures de sécurité indispensables à une bonne protection des données peuvent être regroupées en trois pôles : surveillance, évaluation, sensibilisation. La surveillance passe par des scans de vulnérabilité réguliers et un protocole établi de réponse à incidents. 

L’évaluation se matérialise par des pentests, audits, diagnostics ou encore analyses de risque et business impact analysis. Enfin, la sensibilisation consiste à former et informer le DSI et ses équipes via différents moyens : e-Learning, campagnes de sensibilisation ou campagnes de faux Phishing. 

3.7 Quel type de sauvegarde ?

La sécurité des données passe aussi par des sauvegardes. Aucun système n’est parfait et aucune structure n’est donc à l’abri d’une perte de ses données. Seules des sauvegardes régulières et complètes peuvent permettre de se protéger contre une perte totale des données aux conséquences catastrophiques et bien souvent rédhibitoires pour l’avenir de l’entreprise. La fréquence des sauvegardes est donc le premier critère à prendre en compte.

Par ailleurs, ces sauvegardes doivent être effectuées via une architecture de serveurs redondante et réalisées sur des serveurs spécifiques et isolés. Ainsi, ils sont abrités d’une défaillance contagieuse du système. La localisation des données est d’ailleurs un autre paramètre important puisqu’il est recommandé que les serveurs soient physiquement installés sur le territoire français et dans un environnement adapté et protégé, si vous souhaitez éviter des complications en cas de litige ou de défaillance.

Enfin, il est important, en plus de la fréquence et de la planification des sauvegardes de définir avec votre hébergeur le nombre de sauvegardes que vous souhaitez conserver et la durée de cette conservation en fonction de vos besoins. 

Définissez avec lui la nature des sauvegardes à effectuer : souhaitez-vous une sauvergarde des fichiers avec ou pas de versionning, ou souhaitez-vous des clones (ou snapshots) de tout le serveur à un instant T ? 

Assurez-vous également que des tests de restaurations soient régulièrement effectués, afin de valider l’intégrité des données sauvegardées. Vous limiterez les mauvaises surprises en cas de coup dur. Sauvegarder sans tester ses sauvegardes revient quasiment à ne pas sauvegarder.

3.8 Quel support technique ?

Un hébergeur propose un service. Un service que l’entreprise utilise au quotidien. L’accompagnement, l’assistance et tout ce qui compose le support technique associé à ce service sont donc au moins aussi importants que la solution en elle-même. Nous avons déjà expliqué l’intérêt d’un service-client en mode “Follow the sun” pour bénéficier d’une assistance 24h/24 en cas de défaillance du système d’information (voir partie 2.3).

Disponible à tout moment, le service-client doit surtout être en mesure de solutionner très rapidement le problème. Des process établis et efficaces doivent permettre à l’entreprise de retrouver quasiment immédiatement un système d’information opérationnel (voir partie 3.2). 

Idéalement, ces process sont régulièrement améliorés, notamment grâce aux différentes procédures de traçabilité des actions. Un portail client adossé à un outil d’ITSM (Information Technology Service Management) vous assurera que les meilleures pratiques en matière gestion des services informatiques et de traçabilité des actions sont mises en œuvre.

4. Comment rédiger le contrat avec son hébergeur ?

4.1 Besoins de l’entreprise et engagements du prestataire

Le contrat qui lie l’entreprise (le client) à son hébergeur (le prestataire) va définir le cadre réglementaire de la prestation de service. Mais il s’agit en réalité bien plus qu’une simple “contractualisation”. L’élaboration du contrat doit permettre de définir avec précision le service et les différentes conditions dans lesquelles ce service est assuré. Indirectement, la rédaction du contrat est un moyen de s’assurer que la prestation correspond aux besoins de l’entreprise tels qu’ils ont déjà été définis par le DSI.

Dans le cadre d’un contrat d’infogérance informatique, nous l’avons vu plus haut, le niveau de service est établi par le SLA (Service Level Agreement). Le rôle de cette convention est de définir l’ensemble des services à fournir par le prestataire mais également les ressources disponibles chez le client. Il est généralement annexé au contrat d’infogérance.

Le SLA est l’élément le plus important d’un contrat d’infogérance car c’est une forme d’engagement de résultat pour le prestataire. Celui-ci s’engage à la fois sur des objectifs de performance et de qualité, et sur le respect de certaines clauses liées aux délais d’intervention et de résolution des défaillances techniques. Le SLA prévoit également les modalités d’évaluation du service et de contrôle des prestations.

Enfin, dernier point particulièrement important, vous devez exiger que soient rédigées explicitement les clauses et les mesures de sécurité. Le document doit ainsi mentionner la garantie de la sécurité d’accès au système mais également prévoir une procédure de récupération des données et des copies de sauvegarde.

4.2 Les conditions du renouvellement

Les contrats d’infogérance informatique fonctionnent selon les mêmes modalités que tout autre contrat de prestation de service. Le client s’engage sur une durée, généralement un an mais bien souvent de manière pluriannuelle, et le contrat peut ensuite être renouvelé autant de fois que nécessaire.

Concernant les conditions de renouvellement, il existe deux possibilités : le renouvellement tacite ou le renouvellement explicite. Dans le cadre d’un contrat prévoyant un renouvellement explicite, le client doit expressément informer le prestataire de sa volonté de renouveler le contrat par lettre recommandée et dans un délai imparti. 

Inversement, des contrats d’infogérance informatique peuvent contenir des clauses de tacites de reconduction. Dans ce cas, lorsqu’il arrive à échéance le contrat est automatiquement reconduit pour une période identique à la précédente (sauf clause précisant une autre période en cas de tacite reconduction).

Pour mettre fin à un contrat comportant une clause de tacite reconduction, le client dispose d’un délai de préavis au cours duquel il peut informer le prestataire, par lettre recommandée, de sa volonté de mettre fin au contrat. Notez que, depuis peu, la loi oblige les émetteurs de contrats à tacite reconduction à avertir leurs clients de la date d’anniversaire du contrat afin que ceux-ci puissent anticiper une éventuelle non-reconduction.

Vous pouvez bien sûr, lors des discussions menées avec votre futur hébergeur, demander à bénéficier d’une clause de reconduction tacite ou explicite. La clause explicite est plus “sécurisante” mais oblige à faire la démarche de renouveler à chaque fois le contrat ce qui peut, également, permettre de le renégocier. La tacite reconduction permet de ne plus du tout se soucier de l’échéance du contrat mais il faut être particulièrement vigilant si l’on souhaite y mettre fin ou le renégocier.

4.3 La propriété des données

Les données informatiques d’une entreprise représentent son patrimoine numérique. Ce patrimoine vous appartient, et ne peut en aucun cas être exploité par votre prestataire infogéreur ni même consulté, sauf si vous le mandatez pour, et que vous définissez précisément le périmètre et les conditions de son intervention (maintenance applicative, optimisation de la base de données, développement de connecteur ou d’API…). 

Mais le cas échéant, votre prestataire n’est pas censé pouvoir ne serait-ce que consulter ces données. C’est une question non seulement de déontologie, mais également de sécurité qui doit être à la fois physique et logique. Il engage sa confiance. 

4.4 L’accord de confidentialité

Un contrat d’infogérance informatique prévoyant des solutions d’hébergement de données et d’applications peuvent nécessiter un Accord de confidentialité et de non divulgation dit : NDA (Non Disclosure Agreement). Cet accord engage les deux signataires à ne pas divulguer un certains nombre d’informations considérées comme sensibles et strictement confidentielles.

L’accord de confidentialité doit faire apparaître une obligation de résultat clairement stipulée comme telle. Même si la loi prévoit différentes obligations de confidentialité selon les situations, contractualiser cette obligation permet de sécuriser et d’encadrer celle-ci. L’accord doit permettre de bien délimiter le périmètre de l’obligation de confidentialité et notamment quelles informations sont strictement confidentielles.

Autre point important, cette obligation de confidentialité doit interdire au prestataire de révéler les informations confidentielles sur la nature ou le contenu de vos relations avec lui, mais également d’exploiter ces informations pour son compte ou par toute personne interposée. Dernier point à aborder, la possibilité pour l’hébergeur de mentionner l’entreprise dans ses références. Si vous y êtes opposé, pensez à faire insérer une clause stipulant l’interdiction de publicité autour du contrat.

4.5 La clause de réversibilité

Gouverner, c’est prévoir. Lorsqu’un DSI s’engage avec un nouveau prestataire pour héberger les données de son entreprise, il doit anticiper le moment où ce contrat prendra fin. Qu’il contractualise avec un autre prestataire ou choisisse d’internaliser l’hébergement, il devra quoi qu’il en soit récupérer les données. Cette procédure porte un nom : la réversibilité.

Une notion simple mais qui peut s’avérer particulièrement compliquée sur le plan opérationnel. D’où l’importance d’intégrer au contrat de prestation de service une clause de réversibilité encadrant sa mise en action. L’enjeu est important : récupérer et exploiter à nouveau ses données dans un délai suffisamment court pour que l'activité de l’entreprise ne souffre pas d’une période de transition et de ralentissement.

La clause de réversibilité prévoit, c’est une obligation, que les données soient rendues dans leur intégralité et dans leur intégrité par l’hébergeur à l’issue du contrat. Point particulièrement important, ces données doivent être à nouveau exploitables. La clause de réversibilité doit donc prévoir expressément : le délai de mise à disposition des données, le format, le support de restitution et la date jusqu’à laquelle il est possible d’obtenir la restitution des données.

Autres éléments prévus par la clause de réversibilité, les conditions de restitution des données. L’objectif est de mettre en place une procédure complète et transparente comprenant : un plan d’avancement faisant l’objet d’une documentation et de points d’étapes réguliers, ainsi que l’utilisation d’équipements standards et régulièrement mis à jour.

Conclusion

Quels services externaliser, à qui et dans quelles proportions ? Voilà comment l’on pourrait résumer, en une question, la complexité de la tâche d’un DSI.

Il n’y a évidemment pas de réponse toute faite et il convient de prendre en compte la situation particulière de chaque entreprise pour prendre les bonnes décisions… 

Vous souhaitez emporter tous ces conseils avec vous ? Téléchargez gratuitement notre livre blanc : "Cloud Cloud privé, cloud public : quelle solution d'hébergement pour votre entreprise ?".