Accueil Astuces et Informations Multicloud : la gouvernance de A à Z

Multicloud : la gouvernance de A à Z

3
0
sécurité multicloud Microsoft

L’utilisation du cloud continue de s’accélérer d’année en année. Gartner confirme que d’ici 2025, plus la moitié des dépenses informatiques se feront dans le cloud. Le nombre d’entreprises n’ayant pas encore franchi le pas ne cesse de réduire, les crises successives ayant clairement joué un rôle dans l’accélération de ce mouvement.

Les entreprises doivent adopter des stratégies leur permettant de fournir leurs services, livrer des logiciels, le plus rapidement possible et avec un maximum d’agilité, tout en garantissant une sécurité optimale et un contrôle des coûts.

Avec des cyberattaques plus développées mais aussi plus sophistiquées, l’enjeu de sécurité se retrouve au cœur de la stratégie cloud. La multitude de fournisseurs et d’offres cloud complexifient la quête du juste équilibre entre vitesse, sécurité et finance.

Le nuage en 2022

D’après le 2022 State of DevOps Report, en 2022, seules 10% des entreprises n’utilisent pas le Cloud (-50% par rapport à 2021). Plus de 76 % utilisent un ou plusieurs fournisseurs de cloud public (+36 % par rapport à 2021), 33 % ont déployé uniquement un cloud privé (+12 % par rapport à 2021) et enfin plus de 42 % des entreprises sont hybrides ( +25% par rapport à 2021).

Pourquoi tant d’entreprises ont adopté plusieurs fournisseurs de cloud public ?

En tête des motivations à l’adoption de multiples fournisseurs à plus de 63% : la disponibilité. Elle assure une continuité d’activité, même en cas d’incident technique majeur d’un fournisseur. Vient ensuite à 52 % la capacité à tirer profit de la spécificité de chaque fournisseur.

Enfin, à 44 %, la confiance est répartie entre plusieurs acteurs. Un critère qui se rapproche du premier, mais avec une nuance plus politique : la répartition des risques et des données sur plusieurs acteurs.

L’utilisation du cloud a résolu un impact positif sur la performance globale de l’organisation. Les entreprises qui utilisent le cloud étaient 14 % plus susceptibles de dépasser les objectifs de performance organisationnelle que leurs homologues ne l’utilisant pas.

Les cinq caractéristiques du nuage

Le National Institute of Standards and Technology (NIST) a déterminé les cinq caractéristiques du cloud qui servent de point de départ d’une longue chaîne qui mène à la performance organisationnelle.

> Le libre-service à la demande : le consommateur peut provisionner des ressources cloud, selon ses besoins, automatiquement et sans interventions humaines sur la partie fournisseur.

> Le grand accès au réseau : les capacités sont largement disponibles et les utilisateurs peuvent y accéder via plusieurs canaux tels que les téléphones mobiles, les tablettes, les ordinateurs portables ou les postes de travail.

> La mise en commun des ressources : les ressources du fournisseur sont mises en commun dans un modèle multi-locataire, avec des ressources physiques et virtuelles activées dynamiquement et réaffectées à la demande. Le client n’a généralement aucun contrôle direct sur l’emplacement exact des ressources fournies, mais peut définir un emplacement à un niveau d’abstraction plus élevé, tel qu’un pays, un état ou un centre de données.

> La souplesse rapide : les capacités peuvent être provisionnées et libérées de manière élastique pour être évaluées rapidement avec la demande. Les capacités disponibles pour l’approvisionnement semblent être illimitées et peuvent être adaptées en n’importe quelle quantité à tout moment.

> Le service mesuré : les systèmes cloud contrôlent et optimisent automatiquement l’utilisation des ressources en exploitant une capacité de mesure à un niveau d’abstraction approprié au type de service, tel que le stockage, le traitement, la bande passante et les comptes d’utilisateurs actifs. L’utilisation des ressources peut être surveillée, contrôlée et signalée pour plus de transparence.

Les métriques de livraison et de performance opérationnelle

On peut imaginer 5 grandes mesures à appliquer au DevOps :

> Le délai du changement : c’est-à-dire le temps entre la modification du code et sa mise en production. Quel est votre délai pour les modifications ? Autrement dit : combien de temps faut-il pour passer du code validé au code réalisé avec succès en production ?

> La fréquence de déploiement : à quelle fréquence votre organisation diffuse-t-elle du code en production ou le livre-t-il aux utilisateurs finaux ?

> Le temps pour restaurer un service : après un incident par exemple. Combien de temps faut-il généralement pour rétablir le service lorsqu’un incident de service ou un défaut affectant les utilisateurs se produit (par exemple, une panne imprévue ou une défaillance du service) ?

> Le taux d’échec du changement : quel pourcentage de modifications diminuées à la production ou diffusées aux utilisateurs entraînent une dégradation du service (voir une interruption du service) et restent ensuite une correction (que ce soit un correctif, une restauration, un patch…) ?

> La fiabilité : c’est-à-dire dans quelle mesure vos services répondent aux attentes des utilisateurs, telles que la disponibilité et les performances.

Il n’y a pas de bonne ou mauvaise réponse à chacune de ces questions, mais une réponse acceptable pour les équipes ou les utilisateurs. Une bonne pratique serait de déterminer ces métriques par application ou par criticité de service et de créer des clusters avec des outils dédiés et adaptés au pilotage de chaque objectif.

Dévops 2.0 ? Ou DevSecOps ?

Face à ces accélérations et nouveaux enjeux, les équipes DevOps cherchent maintenant à mettre en place des outils offrant la capacité de gérer les 2 grandes phases du développement :

> La boucle intérieure : il s’agit des tâches liées au développeur (coder, tester, construire).
> La boucle extérieure : elle concerne les activités d’intégration, de déploiement et de mise en production.

Cette première phase correspond aux outils et moyens utilisés par le développeur. Les risques y sont limités, car, à ce stade, les actions n’affectent que l’environnement du développeur (sous-entendu que les jeux de tests soient anonymisés pour garantir une sécurité complète et que les postes des développeurs soient correctement identifiés et protégés ).

Le premier enjeu réside en réalité au moment du transfert d’une « modification du code » vers la boucle extérieure : le développeur va insérer le nouveau code dans l’espace commun. Ce qui aura pour résultat de lancer toute la chaîne d’intégration, de tests et de déploiement. Cela aura un impact sécurité, financier ou de disponibilité, jusqu’au consommateur final.

Les équipes qui combinent le contrôle de version et la livraison continue sont 2,5 fois plus susceptibles d’augmenter leurs performances de livraison de logiciels que les équipes qui ne se concentrent que sur un seul. (source : Rapport sur l’état du DevOps 2022 – Google)

Après une phase de découverte, puis d’hyper croissance, nous arrivons à une phase où les risques s’accumulent et peuvent devenir explosifs (fuites de données, incidents techniques majeurs…).

Plus que jamais, ce qui fait que l’essence du cloud doit être mesurée pour être maîtrisée et assurer ses performances. L’ensemble des acteurs du Cloud peut s’assurer du respect des politiques de sécurité, financière et de la bonne gouvernance du cloud à travers la mise en place et l’analyse des bons indicateurs,