Vous êtes sur la page 1sur 52

Club des Responsables dInfrastructures et de Production

LiVRE BLANC

LOBSERVATOIRE

des Directeurs dInfrastructures et de Production

CLOUD COMPUTING
PaaS, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

Patrick Joubert & Stphane Geissel Assistance Editoriale : Renaud Bonnet

Juin 2012

Table des matires


IntRoduCtIon 1. Le PaaS : dfInItIon, PRobLmatIqueS, uSageS
1.1. etats des lieux, dfinitions, typologie des services PaaS 1.2. gestion du cycle de vie : build et Run dans le PaaS 1.3. environnements spcifiques pour le build et le Run 1.4. quhberger en mode PaaS public ? 1.5. frameworks 1.6. grer les architectures Hybrides avec le PaaS 1.7. administration et exploitation des offres PaaS 1.8. modles conomiques et engagements de qualit de service 1.9. Rversibilit, portabilit entre plates-formes 1.10 Conclusion

4 6
7 9 10 11 11 12 13 15 16 16

2. SCuRIt et CLoud ComPutIng


2.1. Le Cloud vu par les RSSI 2.2. questions de scurit indiscrtes pour votre (futur ?) fournisseur de Cloud 2.3. Perspectives / Conclusion

18
18 21 21

3. LeS modLeS de SouRCIng et Le CLoud


3.1. typologie des modles de Cloud en fonction des types dapplications : quels Clouds pour quelles applications ? 3.2. Les apports principaux du rfrentiel eSCm aux pratiques de sourcing du Cloud Computing 3.3. Recommandations dordre juridique sur les Contrats portant sur les services Cloud, formules par deux avocats ayant contribu au livre blanc

23
23 24 27

4. faCtuRatIon et RefaCtuRatIon danS Le CLoud


4.1. Collecte des mtriques
4.1.1 4.1.2 4.1.3 mtriques techniques mtriques SLas mtriques mtiers ou business

28
28
30 31 32

4.2. Reventilation des cots : Showback ou Chargeback 4.3. Conclusion

33 34

5. CLoud et HIgH PeRfoRmanCe ComPutIng 6. RetouRS deXPRIenCe


6.1. 6.2. 6.3. 6.4. Valeo Vega Stime (Informatique des mousquetaires) uno orange-ft groupe

36 39
39 41 44 46

7. ConCLuSIon Le Cloud est une ralit dans nos socits a propos du CRiP

48 49
PAGE 3

Intro duction
Le Cloud, la concrtisation
Trois ans, trois Livres Blancs. Cest en effet dj la troisime production du Groupe de Travail Cloud Computing du CriP que vous lisez depuis 2010, anne de sa cration. Une fcondit due en particulier au dynamisme du domaine trait. Rduire le phnomne Cloud un effet marketing tait trs tentant... il y a trois ans. Mais aujourdhui, le Cloud a atteint sa phase de maturation, celle qui prcde le plein dveloppement et en dessine dj les grands traits. Et plus personne ne savise de nier la valeur et limportance du phnomne Cloud, dont nous rptons une fois de plus quil ne sagit pas dune technique, ou mme dune famille de techniques, mais dune nouvelle faon de produire et de consommer les services informatiques. Cette anne, le fruit des efforts Groupe Cloud Computing pour sa saison 2011 - 2012 est encore une belle russite collective, un travail dquipe et nous tenons remercier vivement les participants et contributeurs. Voici les sujets que vous allez dcouvrir dans ces pages : - Le PaaS, le jeune premier du Cloud, et pour entrer dans ce sujet aux contours encore flous nous poserons quelques jalons pour mettre en regard les problmatiques et les usages. - Nous avons ensuite souhait confronter les points de vue des membres du Groupe Cloud Computing avec ceux des RSSI (Responsables de la scurit des systmes dInformation) de plusieurs adhrents du CRiP sur le sujet de ladoption du Cloud dans les entreprises et administrations. Pour dcouvrir que finalement
Patrick JOUBERT Stphane GEISSEL

les avis ne sont pas si opposs ! Une check-list pratique vous permettra daborder sereinement le sujet de la scurit avec votre fournisseur prfr. - Notre troisime chapitre est issu du travail ralis avec le Syntec Numrique pour traiter des modles de Sourcing lheure du Cloud, un focus particulier porte sur les rfrentiels tels eSCM qui constituent un support pour une bonne mise en uvre de projets multi-sourcs. - Notre quatrime chapitre porte sur la facturation et la refacturation des services Cloud, des lments dimportance dans une dmarche de matrise des cots. Cest loccasion de mieux se pencher sur ce sujet pointu. - Le domaine du HPC, abord plus en dtail lan dernier, a connu des volutions ces douze derniers mois. Nous avons souhait vous en tenir inform dans un bref observatoire de tendances qui souligne les points-cls de la maturation de ce domaine complexe et encore mouvant. - Enfin, notre dernier chapitre illustre, par des exemples de la vraie vie, des rfrences de projets raliss par les membres : IaaS, PaaS, SaaS. Les 3 composantes du Cloud y sont reprsentes, encore merci tous pour vos tmoignages. Bonne lecture !

Pilotes du Groupe de Travail Cloud Computing du CRiP


PAGE 4

REMERCIEMENTS
Ce Livre Blanc a t rdig par les membres suivants du GT Cloud Computing du CRiP : Pascal Dechamboux Stphane Geissel Alain Huti Patrick Joubert Stphane Lafon Arnaud Lecomte Kathleen Milsted Pierre Oblin Michel Raulet Franois Stephan Arnaud Viselthier Jacques Witkowski Orange FT Groupe SFR EdF R&D CRiP Sanofi STIME Orange FT Groupe Orange FT Groupe PSA PEUGEOT CITRON CRiP EdF CRiP

Les contenus de ce Livre Blanc ont bnfici des changes, dbats, dsaccords, discussions, retours dexpriences et commentaires divers tenus au sein du Groupe de Travail Cloud Computing depuis septembre 2011. Que tous les participants soient chaudement remercis pour leurs contributions : Marc Bgu CNES Denis Descamps Publicis Claude Fauconnet Total Stephane Gilmer Publicis Jean Guyot Socit Gnrale Pierre Haslee Socit Gnrale Franck Honnecker CA-CIB Alain Roy Generali Nous remercions pour leurs tmoignages : Lamia Elias Pierre Faure Annelise Massiera Benjamin Rameix Cdric Siben Jean Roy Socit Gnrale Boost Arospace DISIC Uno Ministre de lEconomie et des Finances Valeo

Nous remercions les RSSI participants nos rencontres RSSI GT Cloud : Antoine Blign Alain Bernard Martine Hanin Valrie Zorzi PSA PEUGEOT CITRON LOral Total CNES

Nous remercions les membres du Groupe de Travail Sourcing Cloud du Syntec Numrique et tout particulirement Renaud Brosse Assistance et coordination ditoriale : Renaud Bonnet (CRiP)

PAGE 5

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

LE PAAS : DFINITION, PROBLMATIQUES, USAGES


Le PaaS Platform-as-a-Service constitue la famille de services Cloud la plus en rupture avec lexistant. En effet, dans le SaaS (Software-as-aService), tout le monde reconnait le modle ASP dvelopp au tournant du XXIme sicle. Et lIaaS ne fait que donner plus de souplesse et dagilit aux services de fourniture de serveurs prconfigurs par les hbergeurs que nous connaissons depuis les dbuts du Web.
Le PaaS prsente un visage nettement plus original. Plus riche que lIaaS, il ne se limite pas la machine nue ou juste quipe de son systme dexploitation. Moins troit que le SaaS, il ne fournit pas un service applicatif complet mais bien un environnement de dveloppement et dexcution dapplications plus ou moins complexe qui se compose de ressources systme, dun systme dexploitation et de diverses couches middleware : bases de donnes, rpartiteurs de charges, serveurs dapplications, serveurs dannuaires, etc. on pourrait allonger la liste sans fin.

En bleu : composants contrls par le prestataire En rouge : composants contrls par le client En hachur : composants fournis par le prestataire selon le choix du client.

PAGE 6

Ce schma rappelle que les diffrents types de services Cloud se distinguent par les composants de la pile informatique pris en charge par le prestataire pour leur exploitation et leur maintenance.

Le PaaS apparait certaines entreprises comme un prolongement naturel de lIaaS. Au fil des ans, le processus de fabrication des logiciels a beaucoup progress, sest structur, ce qui a provoqu une diminution des dlais de ralisation. Mais la mise en production de ces logiciels reste complexe, car elle demande de passer par de nombreux silos (dveloppement, tests, recettes, pr-production, production), et de raliser de nombreuses actions manuelles ou faiblement automatises. Il existe en fait un immense cart entre environnements de dveloppement et de production, le chemin qui va de lun lautre prend du temps, trop pour beaucoup dentreprises. Le PaaS serait le moyen de rduire cet cart, en mettant la disposition des dveloppeurs un environnement adapt leurs besoins mais en mme temps dj largement voire totalement conforme aux principes de la Production. Ainsi le cycle dveloppement-tests-recettes-prproduction-production se droulerait dune faon plus fluide, avec une moindre dbauche defforts. Une autre dimension doit tre souligne dans ce dsir de consommer du PaaS. La virtualisation et lIaaS ont dj apport un gain significatif dagilit dans la mise disposition de ressources. Mais savoir livrer une souche technique en quelques heures pour rpondre un besoin ponctuel ne suffit pas. Beaucoup dentreprises voudraient progresser dans lagilit en possdant un environnement daccueil qui en respectant un cahier des charges de dveloppement idoine soit capable de fournir une lasticit dexcution, une plate-forme capable de prendre en charge ellemme les problmes de dimensionnement de ressources en fonction de la charge dune application. La plate-forme PaaS devrait rapprocher les entreprises de ce mode de fonctionnement. On ne provisionne plus des serveurs, mais le comportement de lapplication dtermine la mise disposition de ressources par la plate-forme.

1.1 Etats des lieux, dfinitions, typologie des services PaaS


La dfinition du PaaS est moins unifie que celle de lIaaS, au point quil serait plus juste de considrer une famille de dfinitions. Ces variations dcoulent la fois du savoir-faire des offreurs et des besoins des entreprises, et peuvent mme dans le cas de Cloud PaaS internes correspondre la ncessit de dvelopper le PaaS en continuit avec lexistant de lentreprise. En effet, le besoin business dfinit les fonctionnalits dvelopper et par voie de consquence les composants logiciels ncessaires, ainsi que les modules applicatifs indispensables ou utiles pour dvelopper plus rapidement les fonctionnalits demandes. Or le PaaS possde une grande modularit, il commence ds que quelques briques intermdiaires (des composants middleware tels bases de donnes ou serveurs dapplications) sajoutent aux serveurs virtuels, mais peut atteindre un haut niveau de richesse fonctionnelle avec lintgration denvironnements de dveloppement complets par exemple, ou doutils perfectionns de gestion de charge. Il nexiste donc pas a priori de besoin unique identifiable dans ce domaine, du moins ce stade de maturit.

PAGE 7

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

Le PaaS a t abord en dtail par le groupe de travail Cloud Computing du CRiP lautomne 2011 en rponse avant tout une nette maturation du sujet la fois chez les membres du CRiP qui commencent des exprimentations dans ce domaine (voir le retour dexprience Orange-FT en fin de ce volume) et chez les fournisseurs qui multiplient les offres.

LiVRE BLANC

Dans loffre actuelle trs diversifie, deux tendances se dgagent ds prsent : 1. Des plates-formes IaaS enrichies parfois baptises IaaS+ : elles se composent de machines virtuelles unitaires avec diffrentes versions de systmes dexploitation et de logiciels de base (serveurs dapplications, serveurs de bases de donnes, middlewares, etc.) pr-charges. Avec ce type de service, le client doit composer lui-mme son architecture technique et dfinir le dimensionnement ncessaire son application. Il lui faut donc choisir chaque machine virtuelle avec les logiciels de base associs dans un catalogue. Notons cependant que les assemblages sont le plus souvent prdfinis et les versions disponibles limites en nombre, ce qui borne les combinaisons effectivement possibles (le nombre de ces combinaisons peut toutefois se montrer droutant pour les entreprises). Nous classons dans cette catgorie Amazon EC2 avec les Amazon Image Machines (AMI) (chacune pouvant embarquer au choix du catalogue un SGBD, et un serveur dapplication web en plus de lOS) et les offres IBM SmartCloud Application Services. 2. Des environnements dexcution PaaS complets fonds sur des architectures techniques prdfinies par le fournisseur avec plusieurs machines virtuelles sur lesquelles sont rpartis les composants logiciels de base. A ce niveau, le client ne choisit pas des machines individuellement, ni par exemple leur taille, mais choisit un environnement logiciel, cest--dire principalement un langage de programmation, un framework Web et un SGBD. Les packages sont prdfinis avec plus ou moins de flexibilit. Les diteurs de ces solutions proposent souvent des services logiciels complmentaires (ex. middlewares, composants logiciels rutilisables). La plate-forme prend en charge automatiquement la flexibilit et la scalabilit lors de lexcution de lapplication. On trouve dans cette catgorie Google App Engine, DotCloud, Cloud Foundry, Microsoft Azure, Amazon Elastic Beanstalk, CloudBees, RedHat OpenShift. On notera que dans cet cosystme cohabitent des acteurs connus et dj anciens (IBM, Microsoft), des entreprises ayant assis leur rputation sur leurs oprations Web (Google, Amazon) et de nouveaux acteurs. Bien quil soit pour le moment difficile de proposer un tableau gnral des clients de ce type de services, on notera lexistence dune premire gnration dadopteurs qui ont choisi de sappuyer sur des plates-formes PaaS pour rduire au maximum leurs dlais de mise sur le march et de se lancer avec un minimum de mise en uvre physique. En France, lentreprise dassistants la conduite Coyote, dont lApp sur iPhone a rencontr un immense succs, a dmarr ce service sur Google App Engine. Limitation du modle : comment intgrer des applications complexes au PaaS ? Envers du dcor, la plupart des offres PaaS actuelles ne supportent pas nativement les architectures logicielles complexes et relvent dun paradigme de type une application = une plate-forme PaaS. La mise en uvre dun systme informatique pour un domaine mtier, ou dune application elle-mme constitue de sous-applications ou de modules applicatifs nest pas facilite dans ltat prsent de loffre. En effet, les entits gres actuellement par les PaaS sont des applications, ou des modules applicatifs autonomes. Il sagit concrtement dapplications web, troitement associes

PAGE 8

un point dentre sur le web (url). La notion de systme informatique compos de plusieurs applications nest pas gre dans un tel modle. Les oprations de communication inter-applicatives doivent alors mettre en uvre des interfaces web qui ne possdent ce jour que des fonctionnalits de communication lmentaires. En rsum, les fournisseurs PaaS vont devoir voluer au-del du modle actuel qui fait quune application se rsume souvent lassociation dun point daccs web et dune base de donnes pour aller vers un modle ou une application fonctionne comme la combinaison dun ensemble dautres applications. Ces diffrents facteurs pousseront sans doute des entreprises se tourner vers des solutions de PaaS prives, en construisant en interne leur plate-forme. Lune des questions importantes se poser sera celle de la standardisation : quels composants et combinaisons de composants privilgier concernant les bases de donnes, les versions de moteurs et de langages, les frameworks ? De plus, ces PaaS privs risquent de se trouver en concurrence avec les PaaS publics, au sens o les quipes de dveloppement risquent de se tourner vers des plates-formes externes afin de dvelopper en toute autonomie, sans aucun contrle de la DSI. Or, cela posera un vritable problme de gouvernance lors de la r-internalisation des applications ou de leur ncessaire maintenance dans le temps.

1.2 Gestion du cycle de vie : Build et Run dans le PaaS


Le PaaS va exercer un impact organisationnel important sur lensemble des intervenants sur les diffrentes couches du SI dentreprise utilisateurs finaux excepts -. Il devrait aussi provoquer lapparition de nouveaux rles, exploitant dapplications PaaS par exemple. De ce point de vue, le PaaS prsente une dimension plus disruptive que le SaaS ou lIaaS car, comme expliqu plus haut, il affaiblit la frontire entre environnements de Dveloppement-Tests-Recette et environnements de Production, et ce au prix de la mise en place de nouvelles rgles de fonctionnement. La liste des mtiers impacts se compose de : Equipes de conception/dveloppement : elles devront intgrer les contraintes spcifiques lies au PaaS, par exemple de ne plus exprimer leurs demandes sous forme de spcifications techniques, mais de pures spcifications applicatives : accs Web, base de donnes, serveur, etc. Architectes techniques : leur rle diminuera ventuellement auprs des quipes projets, puisque le cadre darchitecture se trouvera inscrit en dur directement dans la plate-forme PaaS. Mais leur contribution reste essentielle. Dabord pour constituer larchitecture technique de loffre dune plate-forme PaaS (offre qui pourra ensuite se dmultiplier sans eux ou presque), ensuite pour constituer larchitecture dune application par assemblage de multiples serveurs dune offre IaaS+ (interne ou externe). Leur rle reste dactualit dans la gestion du cycle de vie des plates-formes.

PAGE 9

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

Architectes logiciels : Pour eux aussi une partie importante de larchitecture se retrouvera cadre directement par la plate-forme. Mais leur rle va samplifier au sein des projets. Dune part, ils devront assimiler les spcifications techniques et les rgles de fonctionnement des plates-formes, au service des projets candidats. Dautre part, ils devront valider auprs deux une conception logicielle et une mise en uvre conformes aux rgles et optimises sur le plan technique et conomique. Dans un autre contexte, leur rle reste essentiel pour constituer larchitecture logicielle de loffre dune plate-forme PaaS (quelle soit interne ou externe, aussi bien pour les architectes des entreprises utilisatrices que pour les architectes des fournisseurs). Intgrateurs techniques, aussi connus comme Intgrateurs dExploitation (cf. nomenclature cigref 2011, chapitre 4.6) : Eux aussi devront assimiler au minimum les spcifications techniques des plates-formes des projets et applications dont ils ont la responsabilit. Ils devront surtout assimiler les outils, les interfaces techniques et les processus imposs par ces plates-formes, pour la fabrication des applications et pour leur exploitation en vie courante. Exploitants en vie courante, Exploitants applicatifs, Exploitants dinfra PaaS, Exploitants dinfra IaaS, Pilotes dExploitation (cf. nomenclature Cigref 2011, chapitre 4.7).En phase de vie courante, ils devront exploiter les applications dployes sur des plates-formes PaaS au mme titre que les autres applications historiques. Ils devront assimiler les modes de fonctionnement, procdures et gammes opratoires imposes par ces plates-formes. Les plates-formes internes dveloppes sur mesure par une entreprise utilisatrice pourront respecter les standards dexploitation dj en vigueur. Les plates-formes acquises, hberges en interne ou les plates-formes externes imposent actuellement leur propre modle dexploitation auquel ces mtiers doivent sadapter ( ce jour, les premires plates-formes ne mettent pas en uvre de standards en la matire). Dveloppeurs de grands groupes, en Socits de services ou Indpendants : Quelle que soit leur origine, les concepteurs et les dveloppeurs doivent assimiler les composants logiciels proposs (middleware, plugins), leurs spcifications, et les interfaces programmatiques des plates-formes quils mettent en uvre afin de concevoir et dvelopper les applications. Socits marketing/vnementiel, Vendeurs de solutions SaaS : tout fournisseur qui souhaite proposer une offre de service sur Internet (quelle soit propose en mode SaaS ou non) btie laide dune plate-forme PaaS, doit assimiler la technologie de la plate-forme pour chacun des mtiers intervenant.

1.3 Environnements spcifiques pour le Build et le Run


Dans les premires offres de PaaS les outils de gestion de cycle de vie des applications taient peu rpandus. Cette situation volue actuellement. On observe deux tendances. Une partie des fournisseurs promeut un modle de dveloppement intgralement interne au Cloud. Ils proposent lquivalent dune suite dapplications de

PAGE 10

Dautres fournisseurs sorientent plutt vers une logique de dveloppement local avant chargement vers le PaaS, quitte fournir des outils additionnels pour communiquer avec le service PaaS. Par exemple Cloud Foundry propose une machine virtuelle faire tourner en local sous VMPlayer, Google propose un plugin Eclipse Google App Engine pour de la simulation. Dans lensemble, nous considrons que le lien entre outils de dveloppement et environnements dexcution PaaS reste faible et lacunaire. Notons aussi que certains fournisseurs proposent ds maintenant de piloter les oprations de dveloppement et dexploitation depuis une console unique. Ce mode de fonctionnement intressant reste rare.

1.4 Quhberger en mode PaaS public ?


Les fournisseurs de services PaaS assurent que leurs plates-formes sont totalement polyvalentes et adaptes au dveloppement, aux tests utilisateurs, la ralisation de Proof-of-Concepts (prototypes, maquettes, PoC), mais aussi capables de recevoir des applications en production. Et de fait, de leur point de vue, il nexiste pas de diffrence entre plates-formes de dveloppement et de production ; seul lutilisateur dcide de ce quil fait avec le service. Le problme qui se pose est ici exactement le mme quavec les plates-formes de type IaaS. Il nexiste pas dengagements de SLA comparables ce quune grande entreprise est en mesure dexiger dun hbergeur par exemple (ceci est souvent vrai pour lengagement sur la disponibilit de la plateforme, et pratiquement systmatique pour lengagement sur les performances). Il parat donc prmatur denvisager lutilisation de ces platesformes en production. Ladoption de ce type de solutions par les dveloppeurs sans consultation pralable de la Production, risque pourtant parfois dobliger la Production prendre en charge des applications PaaS dans des conditions encore prcaires. Le PaaS public constitue donc un bon candidat pour la cration de prototypes (PoC) et de pilotes. Pour le reste, le problme du passage en production nest pas encore rsolu, personne ne sait comment r-internaliser proprement un dveloppement effectu sur une plate-forme PaaS. Il y a l un point dattention que devront lever les fournisseurs.

1.5 Frameworks
Les plates-formes PaaS publiques rduisent souvent les possibilits de choix dun framework de dveloppement, puisquelles nen proposent quun ou quelques-uns. Le Framework nest toutefois pas systmatiquement impos, nanmoins, chaque PaaS comporte son propre cadre, avec des outils logiciels, des API, des composants spcifiques. Les entreprises savent que la normalisation des frameworks de dveloppement est une bonne chose, sauf quavec le PaaS les choix appartiennent plus loffreur du service qu lentreprise qui doit se plier aux dcisions de son

PAGE 11

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

dveloppement des applications en mode SaaS (des services de dveloppement tels un gestionnaire de versions et de contenus, un systme de gestion de droits, un serveur dintgration, etc.) en frontal de leur plate-forme PaaS. Cest par exemple le cas de CloudBees.

LiVRE BLANC

prestataire. Ne soyons pas caricaturaux, et reconnaissons certains fournisseurs une large ouverture. Mais dautres se montrent plus restrictifs : CloudFoundry impose par exemple dutiliser le Framework Spring ds lors que lon choisit la filire Java. Imposer des frameworks, et donc des normes aux dveloppeurs, constitue un moyen de raccourcir les dlais de dveloppement en rduisant la procdure de prise de dcision et en unifiant les dveloppements autour dun socle commun sur lequel capitaliser de lexprience et de lexpertise. Ceci tant, cette rationalisation impose ne convient pas forcment aux grands groupes qui possdent un historique important, voire mme une culture technique accumule au fil du temps, et qui effectuent des choix stratgique de normalisation sur des environnements de dveloppement quils dfinissent eux-mmes au plus prs de leurs besoins mtier.

1.6 Grer les architectures hybrides avec le PaaS


Le modle du Cloud public ne constitue pas une panace pour les grands groupes qui se montrent plus intresss par le fonctionnement sur un modle hybride o les applications rsultent de combinaisons de traitements internes et de traitements abrits sur le Cloud public. Ceci rsulte en particulier de la volont de rester matre de certaines donnes sensibles et de certains traitements critiques dont le dplacement vers lextrieur ne parat pas envisageable pour des raisons stratgiques, lgales et de politique technique interne. Cependant, le mode de fonctionnement hybride suppose de disposer de bonnes possibilits dinterfaage entre IT interne et Cloud, couvrant les diffrentes dimensions techniques mises en jeu dans ce mode de fonctionnement : interfaage logiciel par le biais dAPIs et de SDKs, interfaage de scurit par le biais doutils dIAM (Identity and Access Management), transferts de donnes, et mme interfaage des fonctions dadministration et de monitoring que nous traiterons plus bas. Voici une liste de points de vigilance et de constats sur les domaines Scurit, Identity and Access Management, Transfert de donnes : IAM : De faon gnrale, linterfaage des solutions PaaS avec les annuaires dentreprise pour la mise en place de chanes IAM est thoriquement largement faisable, mais dans la ralit mal pris en compte ce jour. Il est difficile dintgrer les annuaires dentreprise avec les plates-formes PaaS (y compris lorsquun mme diteur fournit les deux, comme dans le cas dActive Directory avec Azure !) Le protocole LDAP ne savre pas fonctionnellement suffisant pour la gestion du mode hybride. Connections / versions / NTLM ... des problmes techniques rendent cette feature Microsoft affiche difficile mettre en uvre au sein des applications (en effet, ce sont les dveloppeurs qui doivent la mettre en place, qui ne sont pas forcments des expertes IAM). Le protocole standard dchange dinformations de scurit SAML reste peu rpandu Lintgration dune PKI avec un service de Cloud public reste difficile Des protocoles dauthentification comme OpenID et OAuth sont encore rarement supports nativement par les offres PaaS.

PAGE 12

Relevons cependant quune meilleure prise en compte des fonctions de gestion dIdentits figure dans le calendrier dvolution de plusieurs fournisseurs. Scurit : Les souscripteurs un service PaaS ne disposent que de peu de visibilit sur les mcanismes de la plate-forme. Rien nest prvu pour leur permettre de descendre dans les couches basses du systme, et le niveau de contrle reste faible. Les garanties de service sont faibles ou inexistantes. Il y a donc encore un problme de scurit avec le PaaS alors que les quipes scurit ont commenc accepter lutilisation de services IaaS. La question des droits attribuer aux consommateurs de PaaS (administration complte, partielle, temporaire, etc.) reste ouverte en labsence de bonnes pratiques claires. Ces bonnes pratiques doivent en gnral tre tablies, appliques et surveilles par les quipes scurit des clients du PaaS . Transfert de donnes : De faon gnrale, nous constatons la faiblesse actuelle de la prise en compte des besoins dimport et dexport de donnes depuis et vers les plates-formes PaaS. Ce point est difficile adresser efficacement, en particulier du fait des importantes volumtries faire transiter entre infrastructures publiques et prives. Pour linitialisation de bases de donnes (du fait du volume initial) ou la rcupration de donnes, la mthode manuelle qui consiste envoyer un disque dur vers son prestataire de services reste trs efficace. Les outils et protocoles classiques et standards sont peu adapts au Cloud public et pas toujours intgrs ou intgrables. Le fonctionnement en mode changes de fichiers reste souvent impossible : - CFT pour les gros transferts de fichiers est inutilisable - la fiabilisation des changes ncessiterait de rinventer un mcanisme de scurit par-dessus http par exemple, sachant que ce protocole nassure pas de garantie dacheminement. Quelques vendeurs commencent proposer des solutions (appliances de transfert, logiciels ddis, partenariats) pour grer et optimiser les transferts. Sur lensemble de ces sujets, une offre de type Middleware-as-a-Service voit le jour afin de prendre en compte les problmatiques dacheminement et les connecteurs. Les fournisseurs Cloud ont compris quil y avait un march explorer.

1.7 Administration et Exploitation des offres PaaS


Ce domaine souffre lui aussi dune maturit peu avance au regard des standards auxquels sont habitues les grandes entreprises avec leurs outils internes. Deux tendances se dgagent actuellement, pas toujours mutuellement exclusives : La mise disposition dune console Web dadministration La mise disposition dun systme de commandes shell avec options (CLI pour le dploiement et ladministration).

PAGE 13

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

Les fonctions standards actuelles fournies par les prestataires PaaS sont : gestion du compte, upload, paramtrage, supervision, contrle de lusage (facturation), etc. De nombreuses faiblesses persistent concernant lintgration de ces outils avec les processus dexploitation des entreprises, ainsi que pour la gestion des oprations de sauvegarde et restauration. Linterface en mode CLI offre lavantage de pouvoir tre intgre assez aisment dans des automatismes existants, quil sagisse de scripts de pilotage prexistants ou construits pour loccasion, ou bien encore de logiciels de pilotage ou dorchestration ds lors quils disposent de la capacit dinvoquer des commandes externes. Mais dans ce contexte, si tout est possible, tout reste faire pour intgrer ladministration et lexploitation dune plate-forme PaaS dans un dispositif existant. A contrario, une console web dadministration offre lavantage dune prise en main plus rapide, avec des fonctions plus volues de pilotage et de gestion de la performance, mais elle impose alors un outil supplmentaire aux mtiers (intgrateurs dexploitation, pilotes dexploitation) ce qui nest pas souhait lorsque lon cherche optimiser son exploitation en rationalisant les outils.
Exemple ci-dessous : le dashboard de la console web Google App Engine

PAGE 14

En matire dadministration, un problme particulirement proccupant apparait. Les montes de versions des composants de la plate-forme PaaS ne sont pas ngociables, et parfois imposes sans information pralable et suffisamment claire du client. Cette faon de procder impacte le cycle de vie des applications, et en particulier le financement de leurs volutions par les mtiers utilisateurs. En effet dans un tel modle il devient impossible aprs un dveloppement initial de laisser fonctionner plusieurs annes durant une application sans lui apporter de modifications ; il y a contrainte de mise jour technique et donc de cots de mise jour avec une valeur ajoute mtier nulle.

Les fonctions de supervision, de gestion de performances et dmission dalertes restent limites. En conclusion : quelques fournisseurs en pointe proposent une console web avec un niveau fonctionnel qui permet de piloter et superviser la plate-forme. Dautres se contentent pour dmarrer du mode CLI. Pour une petite entreprise, une console web peut ventuellement suffire en ltat pour piloter une application en PaaS condition daccepter dintgrer un outil spcifique. Pour les entreprises plus cadres au niveau exploitation, cest le problme dintgration avec les outils existants et les processus dexploitation qui peut tre rdhibitoire. Ci-dessous quelques exemples de points dattention et questions oprationnelles se poser avant de se lancer dans le PaaS public : Alertes de disponibilit et informations de performance (capacity management) : qui les consomme et devrait les recevoir : dveloppeurs ? quipes de production ? qua-t-on rellement besoin de superviser sur une plateforme PaaS ( choisir judicieusement car superviser du PaaS est plus complexe que de lIaaS) ? doit-on installer des frameworks ddis la gestion et lanalyse des performances ? y en a-t-il de fournis dans les offres PaaS ? Backup : quel niveau sauvegarder les donnes: IaaS (basique, gnrique) ou PaaS (intelligent, portable, par objet mtier) ? doit-on utiliser les outils de sauvegarde du fournisseur (PaaS public) ou implmenter ses propres mthodes (ex snapshots)?

1.8 Modles conomiques et engagements de qualit de service


Les modles conomiques du Cloud restent complexes, et le PaaS nchappe pas la rgle. Les modles suivants se rencontrent tous, et parfois mme plusieurs dentre eux cohabitent chez un mme fournisseur : Facturation la ressource avec des niveaux de dtail trs variable dans la dfinition de cette ressource (puissance processeur, entres-sorties disques, critures dans des bases de donnes, mmoire vive, volume de stockage, etc.) Packs forfaitaires avec produits dappels et planchers, plafonds, seuils dutilisation. Facturation modulaire par services sous forme de plug-in payants ajouts sur une base.

PAGE 15

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

Cette complexit incite se poser la question de loptimisation des cots, ventuellement en prenant en compte les spcificits du modle de facturation pour les intgrer dans le dveloppement. Si un fournisseur facture les entressorties dune base de donnes un cot plus lev que celui quil ne facture pour de la mmoire vive, il faudra privilgier un fonctionnement de type en mmoire dans la conception des applications pour de simples raisons conomiques. Le mode de facturation pourrait dicter dans une certaine mesure larchitecture interne du dveloppement, ce qui serait contraire aux bonnes pratiques darchitecture. Larchitecte doit parvenir conserver sur le Cloud des principes darchitectures indpendants des modalits de facturation de ses fournisseurs, en raison de leur caractre hautement volatile en comparaison de la dure de vie des applicatifs. La complexit de cette tarification se double de risques de modifications unilatrales du modle conomique, peu de fournisseurs sengageant conserver sur des dures raisonnables un mode de facturation. Fin 2011, Google a par exemple dcid de modifier les paramtres de facturation de sa plate-forme App Engine (en passant du mode bta qui existait auparavant au mode actuel). Enfin, comme nous lavons dj soulign, les engagements de SLA et de disponibilit restent faibles, et les garanties en matire de scurit ou de temps de rponse quasi nulles.

1.9 Rversibilit, portabilit entre plates-formes


Comment en sortir ? Comment dplacer des applications dveloppes sur une plateforme PaaS vers une autre, ou comment les rapatrier en interne ? Pour le moment la situation nest pas rellement adresse par les fournisseurs. Dans certains cas, lutilisation dAPI et de frameworks propritaires, le manque de contrle sur les versions des composants utiliss constituent autant de freins la portabilit. Mme pour un PaaS fond sur une pile relativement standardise comme LAMP (Linux, Apache, MySQL, PHP) ou ses quivalents, le prestataire de services conserve la main sur les versions de socle quil met en uvre. Et pour des raisons de cot dexploitation il ne maintiendra probablement quune mince combinaison de socles. Dans ces conditions, il parat assez difficile ce jour dtre certain de trouver une plate-forme concurrente de celle sur laquelle a t effectu un premier dveloppement et qui offre une compatibilit suffisante pour autoriser un portage. La rcupration des donnes na pour sa part pas t prvue, il faudra donc traiter en mode applicatif ce type dopration, en dveloppant une passerelle spcifique. Il nexiste de fait aucun standard qui garantirait la portabilit entre plates-formes, mme si quelques initiatives commencent voir le jour. Nous ne pouvons quappeler un travail de la part dorganisations internationales qui seraient en mesure de dfinir un cadre de portabilit.

1.10 Conclusion
A ce stade, le PaaS apparat comme un domaine en pleine croissance, et de ce fait en qute de maturit. On oserait dire que le PaaS a la figure dun adolescent du Cloud : prometteur, mais pas encore totalement form, mme si certains lments se laissent deviner.

PAGE 16

Il monte en puissance la fois comme une extension logique de lIaaS, mais aussi comme une dclinaison du SaaS, puisque certains diteurs proposent des extensions PaaS leurs offres SaaS. Il porte plusieurs promesses. Acclrer radicalement la mise disposition denvironnements complets. Contribuer lagilit du cycle Dveloppement/Production, en rduisant en particulier les carts existant aujourdhui entre ces environnements. Une telle volution peut sinscrire dans une dmarche comme celle propose par le mouvement Devops. Il sagit au bout du compte de rduire les temps de Time-toMarket lors de la cration de nouvelles applications et de la mise disposition de nouveaux services. Automatiser les oprations de provisioning mais aussi de libration de ressources lorsquelles ne se trouvent plus sollicites. Ce point vise un double objectif : apporter une rponse calque au mieux sur les besoins des mtiers dune part, optimiser les cots en ajustant lusage des ressources de lautre. Le PaaS dessine et cadre de nouveaux patterns darchitecture technique et logicielle (web 2.0) qui amneront une volution des mtiers de linformatique chargs de sa mise en uvre. Intressantes promesses, mais qui restent baignes de beaucoup de flou. Loffre jeune, en phase de croissance, est encore trs diversifie, avec des acteurs majeurs et des challengers, pas stabilise ni standardise, et cette absence de standards lui nuit. De plus il sagit pour le moment le plus souvent doffres externes, de type public. Cela correspond ds maintenant aux besoins des petites structures, mais ne rentre pas dans les exigences des grandes entreprises qui exercent un contrle plus troit sur leurs environnements techniques. Et le modle conomique reste sinon confus du moins peu lisible. Il devra tre simplifi. Bien sr, les concepts du PaaS savrent ds maintenant en phase avec les besoins de certains projets, mais les offres ne correspondent pas une possibilit de mise en production matrise comme cela se pratique dans les grandes structures. Des fonctionnalits manquent : le fonctionnement en mode hybride, les outils de pilotage nous semblent les plus critiques, ainsi que labsence de rversibilit. Les fournisseurs promettent de prochaines dclinaisons de leurs plates-formes sous forme de PaaS privs, mais en attendant, les entreprises intresses doivent concevoir leur PaaS elles-mmes. Aujourdhui le PaaS constitue dj une plate-forme de choix pour la ralisation de maquettes, ou pour des applications cycle de vie rapide, jetables au bout de quelques mois, et qui ne rintgreront jamais pleinement le SI de lentreprise. Mais il ne semble pas encore mr pour une production pleinement contrle. Cela ne saurait quvoluer dans les prochains mois.

PAGE 17

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

SCURIT ET CLOUD COMPUTING


On sait que la scurit fonctionne transversalement toute dmarche dInfrastructure et Production ; tout projet demande donc de se poser une double question : Quels risques de scurit dcoulent de ce nouveau projet ? Quels moyens faudra-t-il mettre en uvre pour assurer la scurit ? Et quel cot ? La scurit se pense donc toujours sur deux fronts : une dmarche technique de scurisation et une dmarche de rflexion sur les impacts de lintroduction dun nouveau composant du Systme dInformation. Le Cloud Computing nchappe pas la rgle, on peut mme dire quil lillustre de faon excellente. Non seulement assurer la scurit du Cloud pose problme, mais en plus les effets de bord de ses usages sur la scurit restent encore difficiles apprhender.
Nous souhaitons ici exposer ltat de nos rflexions sur le sujet, mais aussi affirmer que la dfiance ne suffit pas. Le Cloud Computing provoque une srie de ruptures dans la Production comme dans la consommation des services informatiques. Ces ruptures affecteront les organisations et doivent saccompagner dune rflexion sur la scurit. De mme que le modle client-serveur a remis en cause les modles de scurit issus de lInformatique centralise, de mme que les architectures Web ont remis en cause les modles de scurit des architectures client-serveur, le Cloud Computing demandera une extension des paradigmes de scurit. Il ny va dailleurs pas que de la protection des avoirs numriques de lentreprise et de sa rputation, mais aussi de son futur fonctionnement et de sa future agilit.

2.1. Le Cloud vu par les RSSI


La pression mise par les utilisateurs et les mtiers sur les directions informatiques rend incontournable plus ou moins brve chance le recours au Cloud. Mais les questions de scurit et dintgration lexistant constituent un frein majeur une adoption rapide et massive de ces solutions. Les RSSI, dont cest la fonction, rappellent quil nest pas question de laisser leurs donnes circuler nimporte o, et en particulier dans des environnements tiers dont le contrle chappe entirement lentreprise. Lexigence de confidentialit doit sappliquer. Une premire solution consisterait trier, dfinir dans une politique de scurit dentreprise quelles donnes peuvent ou ne peuvent pas sortir de lenceinte numrique directement sous contrle de la RSSI. Plus facile dire qu faire, car comme le rappelle un RSSI : Passer sur le Cloud pose le difficile problme de la qualification des donnes. Comment dfinir ce qui est confidentiel et ce qui ne lest pas ? .

PAGE 18

Comme laffirme un autre RSSI : La scurit ne se juge pas seulement en termes de confidentialit des donnes, nous avons aussi une responsabilit dans leur disponibilit. Ce point na pas moins dimportance que le prcdent. Les problmes de confidentialit et de scurit se trouvent de plus en plus lis. Une faille de scurit risque trs souvent de se traduire par un problme dindisponibilit (sil faut remonter une base de donnes corrompue, faire le mnage dans des informations modifies hors de tout contrle, mettre fin une attaque par dni de service, etc.). La disponibilit nest que lautre face de la scurit. Or, les fournisseurs Cloud externes ne brillent pas par la qualit de leurs clauses contractuelles en matire de disponibilit. Nous pouvons tendre ce problme en considrant que le Cloud pose aujourdhui un problme global de contrle qui se manifeste dans de multiples objections son usage : contrle des politiques de scurit des fournisseurs au sein de leur Cloud, contrle de la disponibilit des services, contrle des changes entre lIT interne et les diffrentes formes de Cloud, contrle des conditions de cohabitation entre applications et entre clients. Dautre part, les DSI ne peuvent que constater que lutilisation du Cloud se propage au sein de leur cosystme via ladoption sauvage par les salaris de services proposs par des socits tierces telles Dropbox, Google Docs, iCloud, etc. Ces usages, difficiles bannir dans un contexte denvironnements de travail de plus en plus mobiles et connects, posent les mmes questions que ladoption du Cloud en interne : quid de la scurit des donnes ? Comment duquer efficacement les utilisateurs sans empiter sur leur vie prive ? Comment sensibiliser aux risques une population pour laquelle lusage du Cloud reprsente avant tout un gain de productivit ? a) Craintes lies au Cloud Les principales craintes voques lorsque lon parle de Cloud concernent la confidentialit, la disponibilit et ltanchit des donnes et des charges applicatives. Ce dernier point, celui de la promiscuit applicative, est particulirement critique. Lisolation des workloads sensibles et/ou critiques est une rgle rarement ignore en entreprise. Le Cloud, reposant sur un principe de mutualisation systmatique et pousse ne connat pas ce mode de fonctionnement. Lentreprise ne contrle pas le placement de ses applications, ce qui constitue une menace potentielle pour leur disponibilit comme pour lintgrit des donnes qui y rsident. Le premier lment de rponse rside dans le choix du type de Cloud adopter : priv ou public, interne ou externe. Il est noter que de par sa nature, ce choix nest le plus souvent pas du ressort du CTO, mais de la DSI et du RSSI.

PAGE 19

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

Ce problme possde lui aussi une double composante. Il nest pas toujours simple de savoir et de dcrire dans une politique dentreprise ce qui est confidentiel, si on en excepte les documents soumis rglementation. Mais il est encore moins simple dexiger des utilisateurs quils classifient tout document, tout fragment dinformation quils produisent, sur une chelle de confidentialit. Il faut donc atteindre le bon niveau dautomatisation, mais aussi de responsabilisation pour les informations qui ne peuvent se voir automatiquement catalogues.

LiVRE BLANC

Alors quun Cloud public-externe prsente priori un intrt financier plus grand quun Cloud priv-interne ou mme quun Cloud priv-externe, il ptit souvent du manque de confiance que les RSSI ont en leur prestataire et de limparfaite transparence dont font preuve ces prestataires quant aux garanties quils apportent leurs clients. Il existe avec le Cloud pour le moment un problme de confiance, on ne sait pas quel point faire confiance ces acteurs., confirme un troisime RSSI. Si le Cloud public convient certains usages (dveloppement, tests, recette), lutilisation dun Cloud priv externe offre davantage de garanties, notamment via la possibilit dauditer la plateforme ddie lentreprise. Cependant, certains RSSI naccordent que peu de crdit la pratique daudits : Je ne crois pas la clause daudit. On paie pour envoyer un auditeur, trs bien, mais finalement le prestataire peut trs bien ne pas respecter les recommandations que nous lui faisons. Certaines clauses contractuelles permettent cependant dengager le fournisseur mettre en uvre les mesures prconises. Alors que la certification apparat comme un recours possible, dautres rticences apparaissent : Les certifications telles quelles existent ne nous disent rien sur la scurit relle mise en place. Mme au travers dune certification, comment allezvous apprendre que votre prestataire a par exemple dplac ses administrateurs en Inde ?. Les RSSI saccordent partir de l considrer quun usage du Cloud modr - est acceptable pour certaines catgories de donnes, non-sensibles, ou dans un contexte de chiffrement qui lve les problmes de confidentialit. Mais comme le rappelle un membre du Groupe de Travail : Le problme avec les donnes nest pas tant leur isolement, leur protection, que leur slection avant de leur appliquer des politiques et traitements. De plus, les RSSI constatent que lapplication grande chelle des pratiques de chiffrement reste complexe, et dautant plus complexe que lutilisateur conserve la responsabilit de pratiquer ou pas ce chiffrement. Il faut garder lesprit que le point de vue dun responsable de production informatique dune PME qui remplit en gnral galement les fonctions de DSI/RSSI peut tre trs voire radicalement diffrent. En effet, certaines PME se considrent plus scurises sur un cloud opr par un grand fournisseur que lorsque cest la PME elle-mme qui opre linfrastructure (problmatique des comptences et de la masse critique des quipes). b) Avantages/Inconvnients Il est ncessaire de rappeler les avantages et les limites que le Cloud procure en raison de son modle de fonctionnement. Ces avantages sont principalement conomiques. En effet, le Cloud prsente de trs bons cots initiaux, mais qui voluent ensuite linairement; tandis quavec des plates-formes internes les cots initiaux levs tendent saffaiblir avec le volume dutilisation. La tarification lusage permet denvisager des gains importants sur les environnements de tests ou de recettes qui ne font pas lobjet dun usage intensif mais qui immobilisent des ressources de lentreprise.

PAGE 20

Le Cloud bnficie aussi des avantages de standardisation et de mises jour continues qui permettent de rsoudre les problmes de gestion de lobsolescence ou encore dapporter une rponse aux clients sur le no software (viter les fastidieux processus dinstallation et de mises jour de logiciels). Toutefois, certaines limites apparaissent dans ce modle. En particulier le fait que les mises jour soient dclenches par le fournisseur. Le client doit suivre, en esprant que la mise jour ne casse rien, ne provoque aucun dsordre. Notons au passage que ces problmatiques ne sont, en gnral, pas traites, vu des DSI ou RSSI, de faon satisfaisante et que le passage au cloud est, de ce point de vue, peru comme une vritable opportunit (on se dbarrasse du problme en passant au cloud).

2.2. Questions de scurit indiscrtes pour votre (futur ?) fournisseur de Cloud


A la lumire des changes du Groupe de Travail Cloud, voici une liste de questions poser un prestataire concernant la dimension scurit et disponibilit de son offre Cloud.
Vos politiques de scurit sont-elles crites et consultables ? Quels sont les indicateurs relatifs la scurit que vous publiez ? Quelle est votre politique dapplication des patches de scurit critique ? Le client a-t-il un droit de regard/veto sur ce type de mise jour ? Est-il inform du passage dun patch critique ? Proposez-vous des sauvegardes ? Les changes de donnes et les sauvegardes sont-ils chiffrs ? Vrifis ? Selon quelles procdures ? Comment faites-vous la gestion des cls de chiffrement ? Quels sont les dbits offerts en sauvegarde/restauration ? Votre solution complte est-elle certifie ? (ISO 27001, SAS 70, ...) Avant mise en production (dun nouveau palier sur linfrastructure Cloud), des tests dintrusion sont-ils raliss ? Si oui, ces tests sont-ils effectus par des quipes maison ou par des quipes tierces ? Quelle est votre politique de remdiation sur les failles rencontres ? Proposez-vous des modes dinterfaage avec les annuaires de vos clients ? Le client peut-il grer directement des pools de ressources mis disposition sur le Cloud ? (une rponse positive cette question indique lexistence daccs depuis lextrieur des interfaces dadministration de ressources qui constituent un danger potentiel de scurit lev, et donc aussi la question de leur scurisation) OUI OUI NON NON OUI OUI OUI NON NON NON OUI OUI OUI OUI OUI NON NON NON NON NON OUI NON

PAGE 21

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

Dans lestimation de ces gains, il faudra pour tre complet prendre en compte les cots de mise en place de linfrastructure de scurit permettant de faire dialoguer les serveurs mis sur le cloud et ceux qui restent dans lentreprise (les cas o on peut mettre des serveurs sur le cloud sans avoir ensuite besoin de dialoguer avec linterne sont marginaux).

LiVRE BLANC

Quels moyens de scurit mettez-vous en uvre en Interne ? Quelles remontes sur ces outils faites-vous vers vos clients (statistiques, logs partiels, au travers de quelles interfaces) ? Le client peut-il demander la mise en place de sondes IPS/IDS ? Comment grez-vous la mise disposition de firewalls vos clients ? Quel est le niveau de matrise par le client du filtrage de ports sur sa VM par exemple ? Idem pour les VLAN : quel est le niveau de dlgation de la gestion du rseau donn au client ? Les rseaux dadministration sont-ils spars des rseaux de fonctionnement normal comme cest la rgle dans une majorit de salles informatiques ? Le client peut-il demander sur une plate-forme IaaS la mise disposition dimages dOS durcies ou scurises ? Peut-il fournir ses propres images ? Quels moyens dinterconnexion offrez-vous entre les datacenters du client et votre Cloud ? Quels sont les moyens mis en uvre lors de la destruction dune VM ? Comment blanchissez-vous les donnes hberges sur votre infrastructure ? (cf. effacement scuris type DoD 5220.22-M) OUI NON

OUI OUI OUI

NON NON NON

2.3. Perspectives / Conclusion


Le concept de Cloud inclut de nombreuses nuances dont chacune peut tre un lment de rponse loptimisation de votre SI. Si lutilisation dun Cloud public externe pose de nombreux problmes de scurit, il peut savrer tout fait adquat pour lhbergement dune plate-forme temporaire lie un vnement ponctuel dont limpact nest pas clairement dfini (exemple : jeu concours, campagne marketing ponctuelle, besoin urgent dun serveur de dveloppement pour un PoC). La mise en uvre sera facilite si cette plate-forme prsente peu ou pas (cas idal) dadhrence avec le SI existant. A loppos, ladoption dun Cloud Priv interne, simple implmentation dune solution sur tagre propose par un diteur ou un constructeur, rduit considrablement limpact des questions de scurit tout en permettant de bnficier de beaucoup davantages du Cloud tels que la fluidification de la mise disposition de ressources, la simplification de la refacturation interne, lassainissement de la gestion des cycles de vie, etc. Mais pour certaines entreprises, ladoption de services Cloud externes et internes constitue galement une opportunit de repenser leur politique de scurit globale, en lappuyant notamment sur la forte standardisation quimplique son adoption et en visant une simplification. Les rflexions en cours sur lvolution des modles de scurit, pour passer en particulier une logique de prise en compte de contexte global de connexion (qui se connecte quoi depuis quel terminal et quel endroit ?), montrent que le Cloud fera aussi sentir son effet dans ce domaine.
PAGE 22

Cette volution se produit cependant sur un fond continu de problmatiques, dont celle de lapprovisionnement et de la contractualisation que les anglo-saxons rassemblent sous le terme de sourcing. En effet, ds lors quil nest plus strictement priv et internalis, le Cloud Computing se prsente sous la forme dune prestation extrieure comparable mais pas similaire des pratiques existantes comme linfogrance, lexternalisation, lhbergement, etc., ce qui pose la question des modalits dachat et de suivi de la prestation Cloud. En 2011, le CRIP et lAe-SCM (association de promotion des bonnes pratiques de sourcing et du Sourcing Capability Model, http://www.ae-scm.fr/) ont collabor avec le Comit Infrastructures du Syntec Numrique pour la rdaction de son troisime livre blanc consacr au Cloud Computing et intitul Cloud Computing : nouveaux modles ! Ce livre blanc, est accessible sur lurl : http://www.syntec-numerique.fr/Actualites/Livre-blanc-Cloud-ComputingNouveaux-modeles Il se compose de 6 chapitres allant des dfinitions de base et des modles conomiques aux consquences du Cloud sur le rle de la DSI. Il aborde en particulier les effets du modle Cloud sur le sourcing des services IT. Les lignes qui suivent prsentent une synthse de ce document sur les thmes suivants : typologie des modles de Cloud en fonction des types dapplications apports principaux du rfrentiel eSCM au mode de sourcing du Cloud Computing recommandations dordre juridique, formules par deux avocats ayant contribu au livre blanc

3.1. Typologie des modles de Cloud en fonction des types dapplications : quels Clouds pour quelles applications ?
Le Livre Blanc Cloud Computing Nouveaux Modles du Syntec Numrique dcrit divers modles de dploiement du Cloud : Priv internalis : les infrastructures et les rseaux sont proprit de lentreprise
PAGE 23

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LES MODLES DE SOURCING ET LE CLOUD


Le Groupe de Travail Cloud Computing du CRiP laffirme depuis plusieurs annes : le Cloud ne constitue pas une rupture technique mais dabord une nouvelle faon de produire et de consommer des services IT.

LiVRE BLANC

Priv externalis : les infrastructures et les rseaux sont ddis lentreprise mais ventuellement grs par un tiers Public : infrastructure et rseaux sont externes lentreprise et partags Hybride : un mlange des modles prcdents avec une partie interne lentreprise et une partie externe. Le livre blanc positionne sur un graphe le mode de dploiement actuellement privilgi des applications en fonction de leur degr de spcificit et de criticit. Ce graphe prend en compte quatre zones possibles de dploiement : le Cloud Public, le Cloud Priv (Internalis ou externalis), les zones de virtualisation (les serveurs quips dhyperviseurs qui permettent donc un certain degr de consolidation) et enfin les silos dapplications (qui sont les ressources IT les plus spcifiques et critiques de lentreprise, souvent issues de son hritage technique, et faiblement mutualises).

Ce graphe prsente des lignes directrices gnrales telles quelles sont constates aujourdhui, qui seront amenes voluer rapidement dans le temps. Il illustre bien le fait que le Cloud se caractrise dabord par sa capacit importante la flexibilit.

3.2. Les apports principaux du rfrentiel eSCM aux pratiques de sourcing du Cloud Computing
LeSCM (e-Sourcing Capability Model) est un rfrentiel de bonnes pratiques pour la gestion de la relation entre clients et fournisseurs de services utilisant les technologies de linformation. Il a t conu puis publi en 2002 par lUniversit Carnegie Mellon qui la ensuite confi sa spin-off lITSqc qui fournit des services de formation et assure la promotion de ce modle, lAe-SCM est lassociation qui favorise la diffusion et ladoption du rfrentiel eSCM par le plus grand nombre dentreprises en France.

PAGE 24

Dans cette dmarche, leSCM recommande en particulier dlaborer et de faire voluer dans le temps un modle conomique ( business case ) des Services Cloud en considrant : lvolution de la demande, en prenant en compte la monte lchelle et limpact de la tarification, les bnfices et cots, y compris indirects et internes, par exemple la rduction grce au Cloud de certains risques (disponibilit), ou bien laccroissement par le Cloud de cots indirects comme ceux des rseaux, etc. les bnfices et cots de transition, comme par exemple lallocation automatique des ressources, la rduction de la dure des cycles Projets, etc. eSCM recommande ensuite de prendre en compte les opportunits de cration de valeurs apportes par le Cloud pour les clients, en articulant ces opportunits autour dune liste de catgories : agilit/juste temps, optimisation des ressources, cots, conformit, qualit de service, cohrence technologique et interoprabilit, innovation par loffre, innovation mtier, diffrenciation.

PAGE 25

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

Le rfrentiel eSCM souhaite prendre place auprs des autres grands rfrentiels IT (ITIL, CMMI, etc.) avec lesquels il est compatible. Il prend en compte des modles de fourniture dIT de nature trs variable : outsourcing, hbergement, TMA, fourniture de services rseaux et autres. Le Cloud Computing comportant une dimension dexternalisation, cest tout naturellement que leSCM propose un rfrentiel pour le pilotage conomique du Cloud Computing et la gestion des relations entre clients et fournisseurs de Services Cloud, externes ou internes lentreprise.

LiVRE BLANC

En ce qui concerne la contractualisation de services Cloud, eSCM propose une liste de plus de 50 points de contrle, dont on citera les principaux :

PAGE 26

eSCM identifie le besoin mergent, ct Clients, dun rle de Contrleur de Services Cloud. Cette fonction pourrait tre tenues par des acteurs indpendants linstar des auditeurs financiers. Le Contrleur de Services Cloud aurait pour mission de sassurer de la bonne ralisation des clauses contractuelles.

Comme on le voit, ces lments de rflexion sinscrivent dans la continuit directe de nos remarques sur lvolution des Mtiers prsentes dans notre Livre Blanc 2011.

3.3. Recommandations dordre juridique sur les Contrats portant sur les services Cloud, formules par deux avocats ayant contribu au livre blanc
Le Livre Blanc du Syntec numrique fait un point sur les considrations juridiques affrentes aux contrats de services Cloud. Nous en isolons les points suivants, qui nous semblent les plus saillants. - Veiller aux garanties sur les donnes caractre personnel en application de la loi Informatique et Liberts pour les donnes hberges en France ; clause spcifique couvrant la confidentialit et lintgrit des donnes confies, avec des dispositions (audits de scurit) afin de sassurer de leffectivit des garanties offertes en matire de protection des donnes. Point dattention particulier pour les entreprises : savoir si le prestataire propose ou non les model clauses dcides par la Commission Europenne en 2010. Privilgier les contrats comprenant cette garantie importante. - Le contrat doit aborder de manire prcise la question des niveaux de service aussi bien dans leur description que dans les procdures attaches leur suivi : primtre dengagement, mcanismes de calcul de respect ou de non-respect de ces niveaux de service, conservation des lments de preuve, consquences en cas de non-respect de ces engagements, mcanismes descalade en cas de dsaccord entre les parties.

PAGE 27

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

Enfin, eSCM identifie une volution concernant les activits de pilotage oprationnel, tactique, ou stratgique des services Cloud, amenant une nouvelle Gouvernance de lexternalisation. Ce tableau rsume les lments cl de ce paysage du pilotage oprationnel en environnement Cloud :

LiVRE BLANC

- Il ne faut pas oublier la question de la rversibilit : comprendre la fin du Contrat et dfinir les modalits de reprise de ce qui a t fourni en mode Cloud. - Il importe de prparer la conclusion dun contrat de service Cloud avec des quipes de travail transverses impliquant notamment les DSI, les mtiers, les achats, ainsi que les juristes et les avocats.

FACTURATION ET REFACTURATION DANS LE CLOUD


La facturation lusage est un des piliers du Cloud Computing : cela se comprend simplement. Si nous voulons linformatique la demande , nous voulons que son impact financier apparaisse la demande aussi !
Le principe tabli, restent quelques questions : Dans le cadre du dploiement dun Cloud de type priv, comment mettre en place une facturation des services lusage, quels sont les critres pertinents sur lesquels fonder cette facturation ? Ce Cloud priv peut-il tre une tape vers un service de refacturation interne ? Comment aborder le Cloud public en terme de refacturation et mtriques dans les usages budgtaires dune socit ? Sans oublier des approches qui peuvent tre diffrentes ds que lon parle de IaaS, PaaS ou SaaS Toutes ces questions ont t discutes lors des runions du Groupe de Travail Cloud Computing. Ce document reprend les thmatiques abordes et propose des pistes dinvestigation.

4.1. Collecte des mtriques


Dans un contexte de rduction des cots IT, proccupation permanente des directions Infrastructures, les projets de consolidation et de mutualisation de la Production informatique, en sappuyant sur une virtualisation de plus en plus pousse, ne sauraient tre mens sans une gestion des capacits approprie. La virtualisation des infrastructures se gnralise, elle exige effectivement ce type de dmarche : connatre la capacit disponible, optimiser le taux dusage, anticiper laccroissement des ressources en fonction des besoins, pour ne citer que les points cls.

PAGE 28

Avant mme la transformation dune infrastructure de production en Cloud priv, lidentification des indicateurs signifiants pour la matrise du Capacity Management constitue une tape essentielle. A titre dillustration, le schma capacitaire ci-dessous, reprsente les diffrents indicateurs et leur niveau dagrgation :

Au-del des mtriques techniques, qui correspondent lusage effectif des ressources dinfrastructures (Processeurs utiliss, mmoire, stockage, bande passante rseau, nombre de requtes, etc.), il convient aussi de mesurer le niveau de service (taux de disponibilit, temps de rponse, etc.) et des indicateurs sur la nature mme de lactivit mtier (nombre de transactions ralises, nombre dutilisateurs dun service, quantit de flux changs, etc.)

PAGE 29

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

4.1.1 Mtriques techniques Les premiers indicateurs sont des mtriques techniques qui mesurent lutilisation et la disponibilit des infrastructures, par exemple : Taux dusage des serveurs : CPU, Mips, nombre de serveurs virtuels, etc., Occupation de la mmoire : RAM, Stockage : espace allou, taux dutilisation (nombre dI/O), taille des blocs, type de supports utiliss (high-end, mid-range, archivage), Rseau : taux dusage de la bande passante, (Mo entrants, Mo sortants). Dans cette classe dindicateurs, la mise en quivalence des taux dusage des serveurs (taux CPU) permet dintroduire une unit duvre indpendante de la nature et de la puissance individuelle des diffrents serveurs. Cette unit de mesure quivalente 1 constitue ainsi un indicateur dusage de la puissance serveur consomme, quelle que soit la puissance spcifique du type de processeur utilis et de loperating System (Linux, Windows, Unix). Ce type dunit duvre est effectivement utile pour mesurer et refacturer lusage des serveurs en fonction des projets ou des applications. Pour les fournisseurs de service IaaS , la facturation se calcule gnralement en fonction du trafic, du stockage et de la puissance des processeurs utiliss. Selon le type et le nombre de machines virtuelles mises disposition, le fournisseur dtermine la puissance processeur utilise. Dans le cadre de services PaaS , des variables complmentaires peuvent tre prises en compte, en complment des mtriques propres lusage IaaS . Cette seconde classe de mtriques sadresse lusage des middlewares par exemple : Nombre de requtes SGBD (Oracle, Mysql, etc.), Nombre de requtes HTTP, Temps de traitement des requtes transactionnelles (Tomcat, Jboss). Cette classe de mtriques rend possible la ventilation des cots logiciels Middlewares, en fonction de leur usage, par application ou projet. Le cot prvisionnel dune infrastructure IaaS , voire PaaS , compte tenu de la variabilit des indicateurs retenus, peut savrer complexe dterminer. A titre dexemple, lhbergeur Amazon propose une grille dvaluation pour estimer le cot mensuel dhbergement2 sur ses infrastructures :
1

A titre dexemple, on peut citer des units de mesure standardises comme celles que propose le Transaction Processing Performance Council (TPC-C, TPC-H, etc) ou le Standard Performance Evaluation Corporation (SpecCPU, SpecVirt, etc.) ou des units propritaires comme le SMIPS propos par Systar Amazon Simple Monthly Calculator (http://calculator.s3.amazonaws.com/calc5.html)

PAGE 30

On pourrait imaginer, linstar de lusage de llectricit, que les services Cloud deviennent une commodit dont la facturation fasse abstraction de la complexit et de la nature des composantes dinfrastructures sous-jacentes. Ainsi, la facturation pourrait tre consolide sur la base dun cot fixe (CAPEX) et dune unit duvre (OPEX) inspire de lnergie : [ABO > accs au service Cloud] Cot fixe (~abonnement) [CUH > Cloud Unit per hour] Cot variable (~consommation) 4.1.2 Mtriques SLAs Cette catgorie de mtriques permet de mesurer le niveau de service et dappliquer ensuite une facturation en fonction dune grille adaptative, par application et selon la nature du contrat SLA. Cette catgorie de mtriques comprend par exemple : Le taux de disponibilit, Le temps de reprise sur incident, Le temps de rponse, Systme de pnalits en cas de non-respect des clauses du SLA, Etc. Une unit duvre incluant les mtriques SLAs ou impactant le total par un coefficient de pondration permettrait dtablir une facturation en fonction des engagements de service et impliquerait par consquent de la part du fournisseur dinfrastructures (hbergeur ou Cloud priv) un engagement sur les moyens mis en uvre et sur les rsultats.

PAGE 31

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

4.1.3 Mtriques Mtiers ou Business Pour le responsable de projet, les mtriques techniques ne parviennent pas forcment qualifier de faon pertinente la nature des flux qui auraient plutt du sens dun point de vue mtier . Lengagement sur le rsultat importe plus du point de vue mtier que lengagement sur les moyens. Ce constat sapplique en premier lieu aux solutions de type SaaS , o lutilisateur achte un service final comme une boite mail, une feuille de paie Pour bien comprendre : la garantie dun taux de disponibilit (engagement de moyens) de 99,999 % pour des serveurs en mode IaaS rassure le mtier. Mais cela ne garantit pas que les pages Web se chargeront dans un dlai raisonnable pour linternaute lors de pics de trafic, ni que la gestion de capacit associe aux infrastructures permettra la livraison effective du service, notamment dans un mode SaaS (exemple : un site vnementiel mis en place pour une dure dfinie et coupl une campagne marketing : le site doit tre en mesure dencaisser une forte monte en charge, qui peut dpasser les prvisions). Lalignement des services dinfrastructure sur les indicateurs mtiers plutt que sur les indicateurs techniques implique aussi la mise plat des composantes du contrat de service et des indicateurs pris en compte pour facturer lusage. Ces mtriques devraient constituer galement autant dindicateurs pertinents en fonction de la nature du mtier et de lapplication. Pour un site de e-commerce par exemple, le nombre de transactions rellement abouties est plus critique que le nombre de pages vues. Dans ce cas, baser la facturation lusage sur ce nombre de transactions suppose effectivement que les mtriques techniques, qui restent significatives pour suivre et adapter lusage de linfrastructure sous-jacente, soient suffisamment efficientes pour adapter linfrastructure en fonction du trafic. La mise en place dune solution BAM3, permettant la collecte et lagrgation dindicateurs cls (KPI4) correspondant lactivit relle des processus mtiers, pourrait tre dploye pour mesurer lactivit mtier supporte par linfrastructure Cloud et par suite intgrer ces mtriques mtiers dans le systme de facturation. Ladoption dun modle de facturation align avec les indicateurs mtiers ne prsente pas a priori dobstacle technique. Elle implique cependant un profond changement de culture et dadaptation pour rpondre aux exigences des mtiers, en termes de commodit dusage des services Cloud (hbergs ou via un cloud priv ) et de transparence des cots (payer au juste prix ce que lon consomme !).

PAGE 32

Business Activity Monitoring Supervision des activits de lentreprise Key Performance Index ou Indicateurs cls de performance

4.2. Reventilation des cots : Showback ou Chargeback


La collecte des diffrentes mtriques (techniques, SLAs, Mtiers), via un ou plusieurs logiciels appropris, permet de constituer une base dindicateurs destination dusages divers : Gestion de capacits, Etudes de performances, Tableaux de bords, Planification budgtaire, Etc Sur lesquels il convient dajouter la composante financire (Opex / Capex & amortissement) dont la source doit-tre la DAF : Contrle de gestion In fine, cette base dindicateurs permet la ventilation des cots vers les diffrents clients (hbergeur de services Cloud) ou aux clients internes de lentreprise (Business Units, mtiers) dans le cas dun Cloud priv. Cest gnralement lentit pilotage conomique de la direction technique ou DSI qui porte le sujet et possde la matrise des calculs, tout en y associant de prs le Contrle de gestion afin dobtenir le tampon financier, ssame souvent indispensable pour la diffusion des cots vers les clients internes. La facturation des services lintrieur de lentreprise, pour lusage dun Cloud priv ou pour lensemble des services dInfrastructure, reste un problme complexe. Dans la plupart des cas, les entreprises sont structures en silos autonomes avec pour chacun leurs budgets propres et peuvent ainsi facturer les services entre les diffrents silos ( Cross-Sharing ). Le fait de facturer les services en fonction des ressources utilises, pour les organisations qui ne possdent pas de systme de refacturation interne, constitue un changement important. Avant de passer la phase de facturation effective des services ( ChargeBack ), il est prfrable dadopter une phase ducative vis-vis des clients, visant afficher les cots facturer en fonction des ressources utilises (solution de ShowBack ). Le ShowBack peut aussi tre utilis pour mettre au point un systme de tarification adapt, vrifier son impact en fonction de lusage des ressources, avant de le gnraliser dans le systme rel de ChargeBack De plus, larrive de toute nouvelle technologie (i.e. le Cloud Computing au sein dune entreprise) impose une pnalit au premier qui sengage : la premire entit

PAGE 33

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

qui a un besoin paie gnralement tout ce socle ou cette phase dinstallation ! Les projets complmentaires ont alors le bon rle, pouvant sappuyer sur lexistant et demander une facturation dite incrmentale (les cots supplmentaires lis la mise en uvre uniquement) en faisant abstraction de lutilisation gratuite dune quote-part du socle existant. La mthode ABC5 constitue par ailleurs une mthode danalyse des cots par processus ou activits, qui peut savrer judicieuse dans lapplication dune matrice de ventilation des cots, en tenant compte des mtriques collectes. Nanmoins, cette facturation devient un tat de fait dans le cas dun Cloud public : du fait de sa nature de service externe achet (une sorte d utility ), lutilisateur connat alors directement sa consommation et le montant des cots associs en OPEX / CAPEX qui se trouvent directement imputs sur son budget. La complexit se dplace alors vers la maitrise du budget global transverse lentreprise afin de garantir que la somme des petites facturations ne savrera pas prohibitive par rapport une solution interne ou ne ncessite pas un plafonnement contractuel que les achats pourraient prvoir, sans oublier la gestion du parc et son dcommissionnement.

4.3. Conclusion
La construction de la facturation lusage du Cloud Computing se dcline suivant 2 axes : la mtrique la facturation Axes sur lesquels le type de Cloud (priv, hybride, public) et le mode de service (IaaS, PaaS, SaaS) se rpartissent. Ce graphique rsume la tendance actuelle :

PAGE 34

Activity Based Costing, prise en compte dans le modle dvelopp par le Groupe de Travail Analyse des cots de la Production.

De plus, le tableau ci-dessus illustre les natures de mtriques envisageables :


Priv IaaS Hybride Public Priv PaaS Hybride Public CPU, Go de RAM et To de stockage CPU, Go de RAM et To de stockage Configuration petit-moyen-large : CPU, Go de RAM et To de stockage CPU, Go de RAM et To de stockage + requtes http, serveur dapplications et SGDB Non dfini Requtes http, serveur dapplications et SGDB + taux de disponibilit et temps de rponse http (qui garantit la mont en charge) Capacit http, serveur dapplications et SGDB + taux de disponibilit et temps de rponse applicatif Non dfini Nombre de services (type boite mail) avec nombre doptions (collaboratif 10)

Priv SaaS Hybride Public

Nb. : le Cloud Hybride sans existence industrielle date, reste dfinir ainsi que les mtriques qui permettront, par exemple, davoir avec un mme sous-traitant un Cloud priv en interne exploit par ce sous-traitant connect son Cloud externe.

Aujourdhui les questions de facturation et de refacturation restent peu dveloppes dans de nombreuses entreprises, et de ce fait rarement utilises. Les mtriques mtiers pour leur part manquent presque partout car elles ne correspondent pas aux faons traditionnelles denvisager loutil informatique. Cette situation devrait rapidement voluer sous leffet du Cloud Computing : En premier lieu parce que le Cloud gnralise le principe de la consommation dinformatique sur un mode service. En second lieu car le Cloud incitera de plus en plus les fournisseurs internes imposer aux mtiers lutilisation de services refacturables, et donc comparables ceux du march. Encore mergent, le sujet de la facturation et de la refacturation des services Cloud devrait rapidement progresser.

PAGE 35

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

O nous retrouvons logiquement le IaaS en mode Cloud priv sur des mtriques techniques en facturation ShowBack pour aller jusquau SaaS en mode Cloud public sappuyant sur des mtriques plutt mtiers li une refacturation directe des utilisateurs.

LiVRE BLANC

CLOUD ET HIGH PERFORMANCE COMPUTING


Le Livre Blanc Cloud Computing 2011 du CRiP comportait un chapitre consacr au sujet Cloud et HPC (calcul scientifique et technique) appuy sur les rflexions en cours chez quelques membres du Groupe de Travail engags sur ce sujet.
Aprs avoir pos quelques lments de qualification des plates-formes HPC, ce chapitre dressait le tableau suivant de la situation : Une offre en souffrance : il existait un manque dacteurs nationaux, europens ou mondiaux sur le territoire franais. Un modle Cloud pas toujours adapt au HPC et ceci aussi bien dans ses lments techniques quconomiques. Des points de rsistance spcifiques : la scurit, le problme du transfert de forts volumes de donnes, le respect des modes dexploitation spcifiques au HPC. En labsence de progrs rels dans ladoption des solutions de Cloud HPC par les membres du Groupe de Travail, nous navons pas jug utile de rdiger un nouveau chapitre sur le sujet. Cependant, nous voulons ici rendre brivement compte de quelques faits marquants intervenus au cours des douze derniers mois, et particulirement de quelques volutions importantes. La question de la constitution dune offre bien reprsente sur le territoire franais reste pose, et la situation ne progresse que lentement. Cependant, mi-mai 2012, nous apprenons le lancement du projet NumInnov qui vise la cration dun oprateur indpendant de services de calcul intensif en mode Cloud lchelle europenne. Le projet, port par Bull et la Caisse des Dpts, disposera dune trentaine de millions deuros de financement. Une faon de rpondre lactivit forcene dAmazon Web Services, qui, avec la mise en production de son service de HPC Cloud Cluster Compute Eight Extra Large a atteint la 42me place du classement Top 500 des super calculateurs. Lutilisation de services de HPC Cloud commerciaux tels quil en existe dj quelques-uns constitue dsormais une alternative conomiquement rentable la construction dun cluster interne pour des utilisations temporaires. Le Cloud HPC parvient donc dj se substituer dans certaines conditions aux clusters HPC, mme sil ne peut encore prtendre fournir les performances des plus puissantes plates-formes traditionnelles. Une tude mene par lUniversit de Berkeley indique que les oprations de base conduites dans un Cloud reviendraient de 5 7 fois moins cher que les mmes oprations effectues sur une grille ou un centre de donnes classique.

PAGE 36

Une autre approche du calcul HPC dans le cloud, adopte par la socit Vcodyne, consiste adapter le modle Cloud Computing (utilisation de ressources informatiques externalises en mode service) aux exigences du monde du calcul intensif (performance et scurit). Lide est de mettre disposition des utilisateurs des nuds de cluster physique grs avec les principes du cloud computing. Il est possible, selon ce modle, davoir un accs scuris des ressources HPC physiques ddies (cpu, stockage, rseaux) avec un contrle total sur ces ressources. Il est possible de redimensionner dynamiquement le cluster en fonction de la charge (intgration avec lordonnanceur local inclus). Comme pour les autres services de Cloud le paiement seffectue lusage. Vcodyne a choisi de dvelopper son offre sur des data-centers (certification SAS70 llb Sox) en France ou en Allemagne. Le problme de laccroissement des volumes de donnes, et partant celui de leurs mouvements a connu un renforcement ces derniers mois o il fut beaucoup question de Big Data. En rponse ces problmes, un membre du CRiP a initi un projet pour la mise en place dune plate-forme de stockage, de traitement et de partage de donnes base sur Hadoop MapReduce, soit un type de Cloud interne HPC. Les obstacles restent importants : complexit du dveloppement, difficult paramtrer efficacement les schedulers pour viter lengorgement sur les nuds, quasi impossibilit de sauvegarder efficacement des quantits de donnes normes, et dfaut de support. Le problme de la confiance et de la scurit des donnes reste largement en suspens. Plusieurs dmarches visent remdier cet tat de fait. LENISA (European Network and Information Security Agency) sassocie ainsi la dmarche CAMM (Common Assurance Maturity Model), une mthode qui vise mettre en place des indicateurs de scurit partags concernant le niveau de scurit des diffrentes plates-formes Cloud. Pour le moment, la seule dmarche scurise consiste mettre en uvre un Cloud de type priv.

PAGE 37

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

Parmi les fournisseurs, Cycle Computing, diteur spcialis dans les outils et services dadministration des flux de calculs sur fermes HPC, commercialise dsormais une offre de Cloud HPC baptise Cycle Cloud appuye sur le Cloud dAmazon. Cycle Computing a ainsi mis en uvre pour un client de lindustrie pharmaceutique lt 2011 un cluster compos de 30 000 curs, 26,7 To de mmoire et 2 Po de disques au prix de 1 279 dollars de lheure. Depuis, Cycle Computing a ralis un cluster de plus de 50 000 curs. La particularit de Cycle Cloud est dutiliser des instances Amazon standard (et non pas des instances HPC plus coteuses), instances rparties dans plusieurs datacenters pour des questions de disponibilit, et doffrir ses clients un guichet unique tant pour ladministration (et la scurit) que pour la facturation de la ressource. Le prix atteint, environ 1 000 euros de lheure, savre trs comptitif pour des besoins ponctuels, mme si les performances obtenues sont probablement moindres que celles attendre dun cluster HPC traditionnel interne du fait des surcouches de virtualisation et dautomatisation utilises.

LiVRE BLANC

Le problme de la gestion des licences dans le Cloud HPC appelle des rponses originales car les modles traditionnels, souvent lis des identifications physiques de machines ne fonctionnent plus. Des architectures de type Licenceas-a-Service devraient voir le jour pour assurer la distribution temporaire de droits de licence un utilisateur par Internet, avec une scurisation renforce des cls logicielles pour viter les risques de craquage. Comme nous le voyons, en particulier en matire de scurit, le Cloud HPC rencontre des problmatiques gnrales au Cloud. La grande particularit du domaine reste ses exigences importantes en termes de bande passante et de rduction de la latence, domaines dans lesquels les infrastructures publiques actuelles ne semblent pas mme dapporter de solution satisfaisante.

PAGE 38

entreprise : Secteur : type de Cloud : mise en service : Le contexte

Valeo Industrie, quipements automobiles public SaaS 2009

Entreprise de dimension internationale 124 sites dans 28 pays et plus de 60 000 collaborateurs , avec de forts objectifs de dveloppement dans les pays mergents, Valeo se trouve confront en 2006 au besoin de remplacer sa plate-forme de communications interne. Base jusquici sur Lotus Notes, cette infrastructure se dirigeait alors vers sa fin de vie, tandis que de nouvelles attentes des utilisateurs se profilaient. La question se pose donc : quels besoins pour la future plate-forme ? Comment y rpondre ? Valeo distingue alors quatre axes stratgiques prendre en compte : Besoin mtier : mettre plus de temps rel dans les changes entre les quipes, savoir grer des interactions et partenariats multiples de type entreprise tendue, savoir rpondre aux besoins de communication des utilisateurs multiples dont le nombre et la diversit culturelle augmente rapidement. Flexibilit : augmenter lagilit du systme en le rendant plus ractif, mais aussi introduire un modle de paiement lusage, et respecter les standards ouverts pour faciliter les volutions futures. Matrise des cots : une constante de cette industrie qui sait que son volution se joue sur sa capacit innover dune part et sur sa capacit matriser et rduire ses cots dautre part. Amlioration continue : gagner en agilit dans la fourniture de nouvelles fonctionnalits en conformit avec les besoins des mtiers, dpasser les limites des outils jusquici en place, simplifier les process. Enfin, Valeo a la conviction que linnovation se tient ce moment du dveloppement des techniques informatiques plutt dans le domaine grand public que dans celui des solutions pour entreprises. Lentreprise se fixe quelques principes : Universalit du client : laccs aux outils devra se faire par de simples navigateurs du march Universalit de laccs : tous les utilisateurs devront pouvoir accder au service de faon identique de partout depuis tout type de terminal.

Le Cloud

La solution dploye se nomme VeGa pour Valeo empowered by Google apps. Elle se compose dun ensemble de services Cloud de diverses origines, mis disposition de lorganisation La suite Google Apps (messagerie, chat, calendrier, Google Docs, outils de cration de sites, de partage de vidos, etc.) Une couche de scurit et darchivage fournie par Google Postini Une plate-forme de dveloppement dapplications de Workflows administratifs fournie par Cordys Process Factory Et un cur de systme dintgration et de gouvernance de lensemble qui comporte les services dauthentification, les annuaires, le Master Data Management la gestion du support et le pilotage des interfaces avec le Systme dinformation. Ce cur de systme est fourni en partenariat avec Cap Gemini
PAGE 39

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

RETOURS DEXPRIENCE

6.1. Valeo Vega

LiVRE BLANC

Ce quil faut savoir

VeGa est actuellement utilis au quotidien par 35 000 collaborateurs dans 28 pays. La chane de gestion dun compte utilisateur a t compltement automatise, le systme RH (PeopleSoft) la pilote directement : provisionnement et gestion du cycle de vie de lidentit numrique de lemploy Valeo VeGa fonctionne selon une logique dindpendance de plate-forme : toute plate-forme cliente, tout navigateur, doivent pouvoir accder aux services. Ce qui ne signifie pas que lutilisateur possde le choix inconditionnel de son terminal daccs, mais que la dcision de standardisation ct client revient lentreprise : elle nest pas dicte par le fournisseur. Pour le premier cycle dutilisation, Valeo retient le navigateur Firefox, install sur tous les postes de travail de lentreprise, et Android comme plate-forme mobile. Ces choix ne traduisent pas un sacrifice du principe dindpendance de plate-forme, mais seulement une dcision temporaire de standardisation de ses clients. Une migration vers Google Chrome est prvue en 2012 pour bnficier de certaines fonctions avances des Google Apps que seul ce navigateur procure. Conceptuellement, le systme se compose de quatre couches. Trois dentre elles sont fonctionnelles et prennent en charge les usages personnels, dquipe, dentreprise. En dessous se tient une couche technique aux mains de lentreprise pour la dlivrance de services gnriques fondamentaux : lauthentification, le Master Data Management, la gestion des interfaces avec les applications business SAP BW, Peoplesoft, le PLM, etc. Un service de migration a t mis en place pour faciliter, le plus automatiquement possible, les ncessaires transferts de donnes entre lancien systme et le nouveau. Ce projet incorpore une forte volont de concentrer lIT sur laxe accompagnement des mtiers plus que sur laxe technique et de gestion des infrastructures, et de rduire la part dactivit consacre ce dernier (intrt du mode SaaS). Les profils dutilisation du rseau ont t compltement transforms par ce projet. Les changes notoirement internes ont maintenant migr sur Internet. Il a, ainsi, fallu sparer les flux mtiers (VeGA ou autres SaaS) des flux sociaux (autres), ces derniers ayant toujours tendance occuper beaucoup de bande passante. Les solutions mobiles, prcdemment bases sur Blackberry, passant sur Android, ont fait exploser les charges de roaming en mobilit. Cela a entrain des ngociations muscles avec les oprateurs mobiles. La scurit a t centre sur les terminaux des utilisateurs. Mais les comportements des utilisateurs restent la plus grande source de soucis.

Points positifs

Performances, volutivit, disponibilit, scurit Il y a un retour IT (remplacement dun systme vieillissant) mais surtout un retour mtier avec une meilleure diffusion de linformation et une collaboration tendue Le systme permet la mise disposition rapide de nouveaux environnements selon un modle de paiement lusage Les services sont standardiss au niveau de lentreprise et voluent rapidement avec la puissance de la plate-forme du fournisseur Simplicit dutilisation

Points de vigilance

PAGE 40

Attention la consommation rseau La gestion de la rversibilit reste problmatique Le fournisseur se trouve en situation quasi-hgmonique (imposition de Chrome) Les comportements des utilisateurs engendrent des risques accrus de scurit Ce systme est sensible aux risques politiques : dans certains pays du monde, Google nest pas le bienvenu et ses services sont difficiles daccs Etre bien arm pour accompagner le changement auprs des utilisateurs, en termes techniques, mais surtout en termes dusages mtier (formation des utilisateurs) Respecter les standards Internet et ses choix darchitecture (REST)

6.2. Stime (Informatique des Mousquetaires)


entreprise : Secteur : type de Cloud : mise en service : Le contexte groupement des mousquetaires grande distribution IaaS priv interne 2011

Le Groupement des Mousquetaires est un acteur majeur de la grande distribution en Europe : 3 500 points de vente, 130 000 collaborateurs, 37 milliards deuros en 2011. Sa filiale Stime est en charge de la conception, du dploiement, de lexploitation et du support des tous les projets informatiques. Elle emploie 750 collaborateurs dont 200 au sein de sa Direction des Oprations Amont qui exploite quatre datacenters pour un total denviron 1 000 serveurs (MVS, AIX, Linux, Windows). En 2010, la Direction des Oprations Amont dcide dajouter une offre Cloud IaaS son catalogue de services. Lobjectif est de disposer dune offre agile pour rpondre aux demandes urgentes ou temporaires de mise disposition denvironnements serveurs, demandes que les processus existants ne permettaient pas de traiter dans des dlais satisfaisants. En effet le squenage des intervenants dans le droulement de ces processus de mise disposition de serveurs engendrait un dlai habituel dune plusieurs semaines. Dans ces conditions, le risque tait fort de voir les demandeurs se tourner vers des services externes, ou renoncer certaines oprations. Lorientation retenue consiste crer un Cloud priv interne afin de prenniser et doptimiser les investissements existants dans les datacenters. Quelques lments de cadrage ont t tablis : La Stime doit rester libre de ses choix de fournisseurs de serveurs, rseaux, stockage et hyperviseurs La solution devra grer des serveurs Windows, Linux et, ultrieurement, Unix Les serveurs grs seront principalement des machines de dveloppement et de recette. La solution doit toutefois permettre de grer des serveurs de production La solution devra automatiquement mettre jour la CMDB Stime existante et proposer une interface avec loutil de facturation dj en place

Le Cloud

La solution mise en uvre repose sur loffre ISDM dIBM (IBM Service Delivery Manager). Elle permet la Stime de crer des serveurs Windows ou Linux en moins de 30 minutes. Lutilisateur choisit le systme dexploitation, le nombre de CPUs, la quantit de RAM, la surface disque, la localisation rseau et dtermine le client (Business Unit par exemple) facturer. Il peut choisir linstallation automatique de packs logiciels additionnels. La solution permet de modifier, la demande, la configuration des serveurs dj crs. Elle permet aussi denregistrer limage dun serveur des fins de restauration ultrieure (pour un retour arrire aprs une opration choue par exemple). Les utilisateurs accdent la solution au travers dun portail intranet. Ce portail sappuie sur un moteur de workflows, un orchestrateur qui pilote les oprations techniques et un outil de comptabilisation. Les serveurs demands sont fournis par une plateforme VMWare dploye sur plusieurs datacenters afin de garantir un plan de reprise dactivit. Cette plate-forme a t dimensionne et voluera de manire disposer en permanence de ressources disponibles pour respecter laspect la demande de loffre Cloud.

PAGE 41

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

Conserver le contrle des paramtres-cl du fonctionnement du service : par exemple les rgles de partage Assembler et intgrer mais viter voire proscrire le spcifique sur les parties conserves dans lentreprise Prendre la mesure de limpact sur les comptences internes. Un tel projet demande de la maturit en ce qui concerne le pilotage de contrats dexternalisation, un haut niveau dexpertise sur les solutions cloud et larchitecture

LiVRE BLANC

Lusage du portail est rserv aux Chefs de projets techniques. Ceux-ci vrifient lligibilit de chaque demande avant de souscrire un service Cloud. Divers critres entrent en jeu dans ce processus : support de la virtualisation, versions des OS et des logiciels, flux rseaux, adquation du SLA aux capacits de la plate-forme, contraintes sur les licences ajouter... Les Chefs de projets techniques agissent donc comme un filtre dexpertise pour aiguiller les Clients vers la meilleure solution rpondant leurs besoins. Selon le cas dusage, les serveurs crs sont soit directement fournis au client (hbergement sec), soit administrs par les quipes de la Stime (hbergement avec exploitation).

Ce quil faut savoir

Le projet a inclus deux grandes phases : la recherche de la solution logicielle idoine puis son dploiement. Comme expliqu plus haut, la Stime souhaitait conserver la totale matrise de ses approvisionnements en matire de matriels informatiques ainsi que le choix de ses hyperviseurs. Ladoption dune solution tout-intgre matriel + orchestrateur et outils dadministration + hyperviseurs - ne convenait donc pas son cahier des charges. Le planning a t le suivant :

La phase de rdaction du cahier des charges a t importante. Une formalisation prcise et exhaustive du service attendu constitue un facteur cl de russite. Lintgration a t mene par IBM avec formation et transfert de connaissances auprs de lquipe Stime. Au cours du projet, certaines demandes fonctionnelles ont t adaptes afin de se rapprocher du fonctionnement standard du produit. Cette faon de procder a permis de matriser la part de personnalisation et ainsi dallger les futurs cycles de maintenance. Toutes les fonctions importantes pour la Stime ont t maintenues et implmentes. Le pan scurit a port sur la mise en uvre de rgles renforces de routage rseau, de contrle de conformit et de gestion des mots de passe ainsi que sur le dploiement dune technologie disolation de bas niveau sur le rseau virtuel (Private VLAN Cisco).

PAGE 42

Le service est oprationnel depuis fin 2011. Il vient en complment des prestations habituelles de la Direction des Oprations Amont. Les premires offres du catalogue comportent quelques contraintes techniques : disque virtuel unique et seulement trois versions dOS proposes. Ces contraintes vont tre leves et le catalogue stoffera dans le cadre de la maintenance de la solution. Le Cloud Interne Stime compte au printemps 2012 une vingtaine dutilisateurs habilits. Sur les quatre premiers mois dusage, 62 serveurs ont t crs et 49 supprims. Il sagissait principalement de systmes de maquettages, de PoC ou bacs sable. La dure de vie moyenne constate dun serveur sur ce Cloud est de 10 jours ouvrs.

Points positifs

Lagilit obtenue, pour les demandes ligibles au Cloud, est trs bien perue par les clients Loffre a cr un processus de traitement rapide des demandes simples ou urgentes Rduction de la charge et du dlai de fourniture dun serveur standard Rcupration en hbergement interne de demandes qui, auparavant, partaient en externalisation du fait des dlais Permet de proposer des serveurs usage saisonnier. Ces serveurs ne sont activs que pendant les priodes utiles. Leur facturation nest plus annuelle mais seulement pour leur dure dactivation. Cela se traduit ct Production par une mutualisation des moyens et ct client par une facture plus lgre

Points de vigilance

Il faut adresser tous les aspects du projet ds son lancement : technique, organisationnel, scurit, juridique, financier et SLA. Le projet concentre des thmatiques parfois dissocies Pour laccompagnement au changement, il faut communiquer et impliquer les services impacts afin demporter ladhsion. Le projet peut transgresser certaines organisations en silos Veiller au capacity planning des ressources physiques Veiller ce que les utilisateurs ne provisionnent quau bon moment et librent les ressources quand ils ne les utilisent plus. Ce changement dattitude est ncessaire pour optimiser le taux dusage du datacenter Prvoir lvolution de certains profils Systmes qui vont dvelopper une expertise sur la solution retenue et vont en assurer la maintenance et le dveloppement Prvoir une procdure dassistance Systmes pour les clients qui sannoncent administrateurs de Windows ou Linux mais ont finalement besoin daccompagnement

PAGE 43

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

6.3. Uno
entreprise : Secteur : type de Cloud : mise en service : Le contexte groupe uno assurance SaaS externe public 2012

Uno est une mutuelle de la fonction publique, plus particulirement tourne vers les personnels militaires et leurs familles. Issue de la fusion en 2008 de lactivit sant des trois mutuelles des militaires existant auparavant, Uno bnficie dun rfrencement par le ministre de la Dfense. Cette mutuelle assure plus de 90 % des militaires en activit (en France, Outre-mer et ltranger) et 70 % des militaires retraits, soit 630 000 adhrents pour 1,2 millions de personnes protges. Uno compte 450 salaris et 100 dlgus bnvoles. Le projet Cloud prend naissance dans le contexte qui suit la fusion en 2008 de la Caisse Nationale du Gendarme (CNG), de la Mutuelle Nationale Militaire (MNM) et de la Mutuelle de lArme de lAir (MAA) au sein dUno. La solution de messagerie qui simpose alors en interne lensemble des personnes repose sur IBM Lotus Notes Domino et un serveur Blackberry pour laccs en mobilit. Cette configuration ne fait pas lunanimit. Le nombre dincidents lev et la complexit perue de lusage engendrent un problme dacceptation. La gestion des annuaires laisse dsirer. Les diffrences dergonomie entre linterface client lourd et client lger posent problme. Il faut ragir. Une tude dopportunit de migration vers une plate-forme de messagerie Microsoft met en vidence une facture juge trop importante. Dans le mme temps, dbut 2010, le phnomne Cloud commence faire beaucoup parler de lui. Tellement quen janvier, la DSI dUno, sans possder encore de projet nettement formul, souhaite prparer les quipes au fait que larrive du Cloud constitue un facteur de changement important pour les annes venir. Une prsentation des principes du Cloud Computing a lieu durant une runion du Club des managers Uno, et suscite des retours encourageants. En consquence, ds mars 2011, dcision est prise dexprimenter une solution de messagerie Cloud.

Le Cloud

Uno retient la solution Google Apps pour cette exprimentation qui porte sur deux lots : la messagerie et les smartphones dans un premier temps, lIntranet ensuite. La dimension environnement de travail, la possibilit dutiliser des outils bureautiques en ligne, fait lobjet dun examen, mais une migration semble prmature. Uno souscrit aussi aux services de passerelle de scurit Postini de Google. Les rgles antrieures fixaient les volumes des boites aux lettres 250 Mo par boite, avec 500 Mo ou 1 Go darchives. Une fois arrivs sur le Cloud Google, les utilisateurs disposent de 25 Go despace. Une phase de tests est conduite de juin septembre 2011. Le dploiement a ensuite t organis sous ses aspects techniques (prparation de la migration des terminaux mobiles) et humains (organisation de sessions de formation). Le dploiement gnral a t conduit de janvier mars 2012. Les serveurs Lotus seront arrts lt 2012.

Ce quil faut savoir

Le projet a dabord t lanc sous la forme dune exprimentation, dun protocole dvaluation totalement rversible pilot par un Groupe Projet associant la Communication interne, la Matrise douvrage et des Infrastructures, la Direction Gnrale Adjointe et le DSI qui occupe le rle de chef de projet. Le projet a t accompagn dune campagne de communication et daccompagnement mthodique et systmatique, multi-canaux, diffrents niveaux de lentreprise. Un gros travail a t fourni du point de vue de la gestion du changement, avec des sries de messages, de newsletters, dinterventions dans le journal interne de lentreprise.
PAGE 44

Pour la phase de tests, un appel candidature interne a mobilis 10 % de la population de lentreprise,

des volontaires. Ils ont t forms la nouvelle solution, et ont rempli des valuations la fin de la phase de tests. Lopration a suscit une forte adhsion la solution, et une envie de migrer, alors quil ne sagissait encore officiellement que dune exprimentation et non pas dun projet de migration. Par la suite, tous les salaris de lentreprise ont t forms. La bascule de leur messagerie vers la nouvelle plate-forme seffectue durant leur session de formation afin qu la sortie de la salle ils disposent du nouvel outil. La migration des contenus existants des messageries vers Google Apps reprsente un volume global denviron 250 Go. Une des difficults a consist dans la reprise des boites partages et des processus mtiers inscrits dans la messagerie. En effet, cette dernire servait en particulier rcuprer les formulaires saisis par Internet. Des alternatives ont d tre dveloppes pour la gestion des courriers clients entrants en les dplaant vers les outils de Gestion de la Relation Client (CRM). La migration a t accompagne par Revevol qui a fourni certains outils. Le RoI de lopration est estim infrieur un an, le cot annuel factur par boite aux lettres savrant infrieur au cot de la maintenance technique de la plate-forme de messagerie interne. Le serveur Notes sera teint en Juin 2012, une fois les dernires migrations de processus mtier effectues.

Points positifs

Le service de messagerie est plus apprci des membres de lentreprise Les tches de maintenance se trouvent allges De nouveaux usages apparaissent avec la demande de configuration des terminaux personnels pour quils accdent la messagerie dentreprise Fiabilit de la solution Extension massive de la taille des boites aux lettres Grande facilit partager des agendas, ce qui tait plus compliqu avant Les services Google ntaient pas bien grs sur Blackberry au moment de cette opration Les offres Google manquent encore dintgrateurs et de distributeurs La question de la rversibilit reste pose

Points de vigilance

PAGE 45

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

6.4. Orange-FT Groupe


entreprise : activit : type de Cloud mise en service : Le contexte orange-ft groupe Services de tlcommunications PaaS interne en cours de cration

Oprateur de tlcommunications de taille mondiale, et fournisseur de services associs, Orange-FT Groupe dveloppe de nombreuses applications pour ses besoins. Or, si le processus de fabrication des logiciels a connu une acclration significative depuis deux dcennies, la mise en production reste complexe. Il existe de nombreux silos techniques que chaque logiciel doit traverser avant son passage en production, ce qui entraine des dlais pouvant atteindre plusieurs semaines. Ce constat conduit une rflexion sur les moyens mettre en uvre afin de simplifier la vie des Projets en leur permettant de demander eux-mmes la ressource dont ils ont besoin, sans que la Production doive construire cette dernire chaque fois. Ce qui implique que les projets parviennent formaliser leurs contraintes de faon fonctionnelle, au travers dune ingnierie standardise, qui nait pas besoin dtre r-exprime in-extenso pour chaque projet. La solution devra donc : Permettre darriver une expression de besoins simplifie Offrir un outil partag entre acteurs du Build et du Run Assurer un dploiement 100 % automatique des applications

Le Cloud

Orange-FT ne dispose encore dune plate-forme PaaS totalement intgre telle que lentreprises souhaiterait la mettre en place terme. Cependant, certains lments mergent dj trs nettement. Les composants techniques du PaaS sinscrivent dans une dmarche de rationalisation et de gouvernance technique qui consiste dgager un jeu rduit de socles techniques au-dessus desquels dvelopper Ces socles sont anims principalement par Linux (RHEL) et Windows Java Enterprise Edition constitue la filire de dveloppement. Pour les composants Middleware, lopen source prvaut avec Apache, le serveur dapplications Jonas, MySQL et PostgreSQL sur Linux. La virtualisation x86 repose sur vSphere de VMWare

Ce quil faut savoir

Le PaaS a vocation mettre en place un modle unique de fourniture des ressources sur lensemble du processus qui va de la chane de dveloppement au passage en Production. Le modle PaaS impose une normalisation du format des applications et des donnes : les dveloppeurs doivent apprendre travailler avec ces formats normaliss. Lutilisateur (ct Projets) naura qu gerer son code et ses donnes. La mise en place des ressources techniques, la souscription des services communs, le dploiement et lintgration de lapplication, la supervision et le traitement des logs applicatifs, sont entirement pris en charge par la PaaS. Lun des points de difficult tient au besoin de modifier les faons de penser des quipes de dveloppement : elles ne demandent plus un socle technique compos de serveurs, OS, bases de donnes, briques intermdiaires, etc., mais une srie de fonctionnalits ou de SLAs. La Plate-forme PaaS doit prendre en charge le bon dimensionnement automatique des ressources Lvolution vers le PaaS sinscrit dans une tendance gnrale de passage des architectures orientes services (SOA) vers les Infrastructures Orientes Services (SOI).
PAGE 46

Le Cloud et le PaaS constituent de grands enjeux dorganisation, parce quaujourdhui lentreprise a dj conquis une efficacit par silos, mais beaucoup moins dagilit transversale. Le PaaS saccompagne du passage un processus de continuous delivery : la mise en Production devient un phnomne naturel et frquent, et non pas une tape exceptionnelle et difficile franchir

Points positifs

Temps gagn dans les cycles de Dveloppement-Production Simplification des tches de dploiement et de supervision Forte standardisation des plates-formes allant dans le sens dune meilleure gouvernance technique et dune urbanisation renforce Les problmes de dimensionnement sont traits par la plate-forme plutt que par anticipation selon des scnarios de consommation de ressources

Points de vigilance

La gestion de linterfaage entre les systmes dexploitation et la couche Middleware reste trs complexe du fait de la fragmentation du domaine Faible maturit des solutions PaaS commerciales non-publiques, manque de standards, forte htrognit des modes de fonctionnement Ncessit daccompagner les dveloppeurs depuis une dmarche de demande technique vers une dmarche de demande fonctionnelle

PAGE 47

CLOUD COMPUTING : Paas, Scurit et Cloud, Sourcing, facturation et refacturation des services Cloud, Observatoire HPC

LiVRE BLANC

CONCLUSION LE CLOUD EST UNE RALIT DANS NOS SOCITS


Aprs vous avoir laiss dvorer ce livre blanc, nous souhaitions partager trois constats sur le march, le Cloud et les perspectives que cela engendre pour le Groupe de Travail.
Premier constat : cest parti ! Les projets Cloud, au-del des premires implmentations de SaaS sont une ralit au travers des projets IaaS et PaaS engags chez de nombreux adhrents du CRIP. Deuxime constat : le Cloud bouleverse les modes de fonctionnement classiques. Cest une vraie rupture, et comme tout changement il devra tre accompagn au sein de la DSI mais aussi au-del, dans les directions mtiers ou business. Troisime constat : ce nest que le dbut. Au-del des sujets dj traits, de nouvelles problmatiques simposent, numrons-en quelques-unes : - Assurer lUrbanisation du SI lors de lintroduction dapplications Cloud - Examen des conditions de mise en uvre dun Cloud Hybride - Bonnes pratiques de migration des applications existantes dans le Cloud - Modles dengagement dployer pour les nouveaux contrats Cloud - Gestion du cycle de vie des composants du PaaS - Quest-ce que le Patriot Act ? Dans quelles circonstances devient-il problmatique de de tourner vers un prestataire soumis au Patriot Act ? - Emergence dun Cloud Europen : inventaire des services et des prestataires, raisons de se tourner de prfrence vers un prestataire national ou Europen. - Mise en place dune gouvernance pour raliser un mouvement stratgique vers le Cloud. - Cloud et Big Data : dfinitions, usages, convergences. - Accompagnement du changement des mtiers impacts par le Cloud et perspectives RH. - Cloud et PRA Bref, le voyage continue vers ce nuage tonnamment concret. Partis dune perception thorique concrtise par les premires crations de pilotes, nous en sommes venus au Build , la construction de solutions grandeur nature, et voil que nous entrons prsent rapidement dans le concret des nouvelles problmatiques de Run , de lexploitation dans la dure de ces solutions Cloud qui se multiplient. Parmi ces questions, celle de lachat de prestations Cloud fera lobjet dune runion de travail commune entre le GT Cloud Computing du CRiP et le GT Cloud du CRAI, le Club des Responsables dAchats Informatiques. Autant de nouveaux sujets qui augurent une anne venir riche pour le Groupe de Travail Cloud du CRiP ! Que les passionns dInfrastructures et de Production voulant vivre de lintrieur cette rupture, soient les bienvenus notre saison 4 ds la runion de rentre en septembre prochain ! Patrick Joubert / Stphane Geissel Pilotes du groupe de travail Cloud Computing du CRiP.

PAGE 48

A propos du
Le Club des Responsables dInfrastructures et de Production

Les Livres Blancs


Chaque groupe de travail apporte une contribution importante dans llaboration de documents de rfrence. Lanalyse des enqutes renseignes par les membres du CRiP permet de mesurer et dobserver lvolution des enjeux des CTOs et de leurs infrastructures. En outre, elle met en relief les grandes tendances lies aux principaux challenges des productions informatiques. Tous ces ouvrages deviennent inluctablement une rfrence importante pour les CTOs et leurs quipes, ils constituent des outils reconnus pour lamlioration de la performance oprationnelle et stratgique.

Les Essentiels & Executive Notes


Depuis fin 2011, les CRiP Thmatiques sont suivies par la publication de leurs synthses, les Essentiels , distribues lensemble de la communaut du CRiP. Enfin, le CRiP publie rgulirement, depuis dbut 2012, des Executive Notes qui sont des synthses de vulgarisation destination des dirigeants. Elles ont pour objectif de prsenter de faon synthtique et stratgique certains des grands thmes qui animent le domaine des Technologies de lInformation.

Une relation privilgie avec itiforums


Vritable associ du CRiP, ItIfoRumS est charg de la communication, de la production et de la diffusion des documents et vidos issus des travaux du CRiP, de lorganisation des vnements (Convention, CRiP thmatiques, CeRCLe i), du rfrencement fournisseurs, de la relation avec les partenaires stratgiques du CRiP, et de la relation avec les partenaires fournisseurs du CRiP (prsence de porteparole aux vnements propritaires, voyages dtude, etc..)

Le rseau social des professionnels de lInfrastructure et de la Production


Itiforums interconnecte et informe les diffrents groupes utilisateurs, membres du CRiP, fournisseurs de services et de technologies qui composent la communaut de lInfrastructure et de la Production.

Retrouvez les contenus produits par le CRiP sur www.itiforums.com

PAGE 49

Le Rseau Social des Responsables dInfrastructures et de Production IT


La Mission du CRiP : Rendre ses membres plus performants dans leur mtier
Un Cercle de confiance pour : Partager visions et retours dexpriences Echanger et travailler collectivement sur les technologies, les ressources humaines, les organisations et processus, les approches financires des projets, les relations avec les offreurs Pousser un projet en interne en sappuyant sur les travaux du CRiP Promouvoir les fonctions dInfrastructure et de Production au sein des Entreprises Crer un rseau de communication rapide et efficace entre dirigeants

Acclrer ses projets


Le CRiP est un lieu dchanges trs efficace o se partagent les bonnes pratiques sur nos sujets de tous les jours. Participer activement un groupe de travail ma permis davancer rapidement sur des projets de mon dpartement, mvitant ainsi de longues tudes de cadrage pralables. Les interactions directes de mes quipes, avec leurs pairs, chez dautres adhrents, ont souvent permis dacclrer des projets en interne. Enfin, le CRiP Toulousain que jai fdr en 2011, a cr une dynamique dchanges et de partages entre entreprises et entits utilisatrices de la Rgion sans prcdent, avec des interactions trs riches avec lensemble des activits du CRiP. Marc BEGUE Sous-directeur Exploitation & Architecture, CNES Prsident du CRiP Toulouse Vice-Prsident du CRiP France

Les valeurs du CRiP : Indpendance et Partage

Philippe SERSOT Prsident du CRiP CTO CA-CIB

Le CRiP (Association Loi 1901) compte +170 Grands Comptes, Entreprises et Administrations utilisatrices des technologies de linformation, adhrentes ou en cours dadhsion. Il rassemble une communaut de plus de 1500 membres, responsables dinfrastructure ou de production. Le CRiP est un cercle de confiance, lieu dchanges et dinformations entre les diffrents membres confronts aux mmes dfis financiers, technologiques et organisationnels.

Le Bureau excutif du CRiP


Le bureau est constitu de CTOs et de DSI (Directeurs Infrastructures et Production Informatique) de grandes entreprises et administrations franaises, lus lors de lAssemble Gnrale. Philippe Sersot, CTO de Crdit Agricole-CIB en est le Prsident. Philippe SERSOT - CREDIT AGRICOLE CIB
CTO - Prsident du CRIP CTO - Trsorier du CRIP

Frdric DIDIER - ARVAL

Daniel JONDET - GENERALI Jean-Paul AMOROS - GDF SUEZ

DSI - Directeur Infrastructures et Production Vice-Prsident du CRIP

Thierry DESVIGNES - CNP ASSURANCES


CIO - DSI - Vice-Prsident du CRIP

Marc LIMODIN - LA BANQUE POSTALE

David DECOVEMACKER

Philippe MICHON - GIE ALLIANZ INFORMATIQUE


CTO - Directeur de la Production Informatique Vice-Prsident du CRIP

CTO - Directeur de la Production Informatique Vice-Prsident du CRIP

CTO - Directeur des Infrastructures Groupe Secrtaire du CRIP

AUCHAN INTERNATIONAL TECHNOLOGY CTO - Directeur de la Direction Technique Informatique - Prsident NORD-PAS-DE-CALAIS

Lionel VERLAINE - ORANGE FT GROUPE

Jean-Philippe MURE

Francis ROBERT - AP-HP

Olivier HEITZ - BOUYGUES TELECOM

CTO - Directeur de lAgence Technique Informatique - Vice-Prsident du CRIP

CTO - Directeur des Oprations et de la Qualit de Services - Vice-Prsident du CRIP

CTO - Directeur de la Production Informatique Vice-Prsident du CRIP

Directeur de lIngnierie et de la Gouvernance des Infrastructures et Outils de lExploitation IT Vice-Prsident du CRIP

Jean Pierre DUMOULIN - PSA PEUGEOT-CITRON


CTO - Vice-Prsident du CRIP

Patrick DURIEZ - GROUPE CASINO

Marc BEGUE - CNES

CTO - Sous-Directeur Exploitation Architecture Vice-Prsident du CRIP - Prsident CRIP TOULOUSE

CTO - Directeur Infrastructure et Production Prsident CRIP Rhne-Alpes

Pierre AUGUSTE - SFR

CTO - Directeur de lIngnierie des Infrastructures Vice-Prsident du CRIP

Plus de 170 adhrents, grands Comptes, entreprises et administrations


ACCOR ADP GSI AEROPORTS DE PARIS AROPORT TOULOUSE BLAGNAC AG2R LA MONDIALE AIR FRANCE AIR LIQUIDE AIRBUS S.A.S ALLIANZ GIF ALLIANZ INFORMATIQUE ALSTOM AMUNDI APHP AREVA ARKEMA ARVAL AUCHAN AVIVA AXA IM PARIS AXA Luxembourg BANQUE DE FRANCE BANQUE PALATINE BIC BNF BNP PARIBAS BONDUELLE BOUYGUES CONSTRUCTION BOUYGUES TELECOM BUREAU VERITAS CA CIB CAISSE DES DEPOTS ET CONSIGNATIONS CANAL+ CARREFOUR CA-SILCA CEA (Commissariat dEnergie Atomique) CFAO CG CNAV CNES CNP ASSURANCES COFACE COFIDIS COFINOGA CREDIT AGRICOLE S.A CREDIT IMMOBILIER DE FRANCE DANONE DARTY DARVA DASSAULT SYSTEMES DCNS DECATHLON DEXIA CREDIT LOCAL DEXIA TECHNOLOGY SERVICES DIRECTION DE LAVIATION CIVILE DISIC DISNEY EAU DE PARIS EDF EIFFAGE ERAMET ERDF ESSILOR INTERNATIONAL ETABLISSEMENT FRANAIS DU SANG ETAM ETAT DE GENEVE EULER HERMES EUROMASTER GCETECH - CAISSE DEPARGNE GCS D-SISIF GDF SUEZ GEMALTO GENERALE DE SANTE GENERALI GICM ARKEA GIE AGIRC ARRCO GIE AXA TECH GIE CHOREGIE GIE EUROPEX - MAAF GIE ISS SERVICE GIE PROD GMF GROUPAMA SI GROUPE ADEO GROUPE AGRICA GROUPE CASINO GROUPE PREVOIR GROUPE PUBLICIS I-BP INA ING Luxembourg INSERM KEOLIS KIABI KPMG Luxembourg LA BANQUE POSTALE LA FRANCAISE DES JEUX LA POSTE LAFARGE LATCORE LEGRAND LOMBARD INTERNATIONAL LOMBARD ODIER LOREAL LVMH MACIF MACSF MANPOWER MATMUT METEO France MICHELIN MINEFI MINISTERE DE LA DEFENSE MINISTERE DE LINTERIEUR MINISTERE DE LA JUSTICE MINISTERE DES FINANCES MINISTERE DES TRANSPORTS MIPIH (Midi Picardie Informatique Hospitalire) MUREX NATIXIS NEXTER OCDE ORANGE FRANCE FT GROUP TELECOM PIERRE FABRE PLASTIC OMNIUM PMU POLE EMPLOI POMONA POULINA PRAXIS SERVIER PSA PEUGEOT CITRON RATP RBC DEXIA RCBT (Rseau Clubs Bouygues Telecom) RENAULT RESEAUX FERRES DE FRANCE RHODIA RIO TINTO RSI (Rgime social des indpendants) RTE SAFRAN SAINT-GOBAIN SANOFI AVENTIS SCHLUMBERGER SCOR SFR SI2M SIMPLY MARKET SNCF SOCIETE GENERALE SODEXO SPIE STEF STIME SUPERMARCHES MATCH SYSTALIANS SYSTEME U TARKETT THALES THALES ALENIA SPACE TOTAL UNEO UNIBAIL-RODAMCO UNIVERSCIENCE VALEO VALLOUREC VENTE PRIVEE VEOLIA VOLVO IT
PAGE 50

Contacts
Club des Responsables dInfrastructures et de Production contact@crip-asso.fr www.crip-asso.fr
En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion de ce livre blanc que ce soit mcanique ou lectronique, intgralement ou partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation du CRiP.

Cration : fred.lameche - www.anousdejouer.fr

www.crip-asso.fr

15 rue vignon 75008 PAriS