XaaS et stratégie d’entreprise

Magazine
Marque
MISC
Numéro
80
Mois de parution
juillet 2015
Domaines


Résumé
La mode va aujourd’hui au « X as a Service », tout ce qu’une entreprise peut bien vouloir utiliser pour son système d’information est transformé en service. Bien qu’il puisse sembler être intéressant de transformer les investissements en charge et ainsi de lisser les problématiques de coûts liés aux montées de version, il faut se poser la question de la différence fondamentale entre un bien et un service.Cet article espère donner des pistes de réflexions pour les TPE et PME devant un jour choisir. Les ETI et grands comptes ne sont pas pris en compte. Du fait de la masse, les réflexions liées aux dépenses sont très différentes. Ces entreprises auront plus tendance à réfléchir par coût unitaire par employé plutôt qu’en impact général.

Body

1. Définitions

Commençons par rappeler les définitions de base en s’aidant de Wikipédia [1]. Les biens et les services sont tous des produits économiquement parlant. Le résultat d’un processus de production. Ce qui distingue les biens des services c’est l’aspect tangible de la chose.

Un bien est tangible. C’est un matériel que l’on peut toucher, voir, stocker et surtout acheter. Un service de son côté est intangible, il ne peut pas être stocké ou acheté. On loue un service pour le consommer.

Un livre de code pénal est un bien que l’on peut acheter, une fois en notre possession, on peut le consulter autant de fois que souhaité sans surplus. Les services d’un avocat se louent, on ne peut s’en servir qu’en fonction de ce qu’on paye, chaque heure passée à lui poser des questions nous coûte de l’argent. Pour autant, si nous avons besoin de consulter de nouveau le rapport papier que nous a transmis notre avocat, il n’est pas besoin de payer de nouveau. La vente de services peut aussi inclure la mise à disposition de biens matériels sous forme de rapports, on dit souvent « pour que le client ait quand même quelque chose en main à la fin ».

2. Exemples types

Histoire de mettre du relief aux réflexions stratégiques pour l’entreprise, établissons quelques cas simples permettant de comprendre les différentes implications du XaaS.

2.1 IaaS

L’« Infrastructure as a Servce » est au final ce que l’on comprend le plus aisément : au lieu d’acheter du matériel spécifique à héberger, vous louez une caractéristique matérielle (puissance CPU, quantité de RAM, espace disque…) déjà hébergée et vous vous en servez directement.

C’est ici une évolution assez saine et évidente du métier d’hébergeur permettant de louer non plus des machines physiques, mais un quota de ressources spécifiques répondant au besoin du client.

Cela permet d’utiliser au mieux les ressources des machines occupant les centres de données et d’offrir une grille de prix théoriquement plus juste.

L’administrateur-système ne sait plus sur quel matériel il tourne et des problèmes de sécurité peuvent exister si l’étanchéité des environnements virtuels n’est pas correctement assurée, mais les capacités d’investissement des clients sont utilisées au plus juste en fonction des besoins réels.

Si vous n’êtes que trois dans votre famille, pourquoi louer une voiture cinq places ? Prenez trois places, et louez les deux autres au besoin avec une augmentation temporaire de vos loyers.

2.2 PaaS

La notion de « Platform as a Service » ne vise plus à fournir une infrastructure virtuelle comme précédemment, mais directement une plateforme applicative. Ainsi le client ne loue plus des ressources qu’il doit configurer d’une manière spécifique pour faire tourner son application, mais bien un système complet et déjà configuré pour permettre à son application de fonctionner.

Cela permet par exemple de mettre à disposition des environnements web type PHP, Python, Ruby, etc. déjà configurés, qui n’attendent plus que le code client. Un peu comme à la manière des hébergements mutualisés, mais avec une couche d’abstraction supplémentaire, permettant d’isoler les services les uns des autres et permettant de restreindre leur fonctionnement en fonction des caractéristiques louées par le client.

Comme pour les infrastructures, le client va pouvoir indiquer vouloir un service avec un certain ensemble de caractéristiques CPU, RAM, etc. pour son fonctionnement nominal, et au besoin va pouvoir augmenter ces ressources en fonction de l’usage.

Le cas le plus parlant est celui du site d’e-commerce, capable d’augmenter ses capacités de réponses aux requêtes des internautes en temps de solde sans pour autant demander un investissement matériel colossal.

2.3 SaaS

Finalement, dans les PME, le cas le plus fréquent aujourd’hui est le « Software as a Service ». Le bien marchand d’origine est un logiciel. Par exemple, la suite Microsoft Office. Toutes les entreprises se sentent aujourd’hui dans l’obligation d’utiliser cette suite bureautique, essentiellement parce que l’informatique n’a jamais réussi à rendre les outils de base de données aussi « conviviaux » qu’Excel…

Jusqu’à peu, une mise à jour majeure et payante de la suite Office sortait en moyenne tous les 3 ans. Aujourd’hui, la « tendance » pousse Microsoft à proposer Office en SaaS. Les limites de versions majeures sont plus floues et l’utilisateur paye un abonnement mensuel permettant d’avoir la dernière version à jour d’Office.

Pour autant, Office reste disponible à l’achat pour ceux qui le souhaitent. Le choix est toujours présent.

Cela permet aux systèmes d’informations ayant besoin d’un fonctionnement à long terme en version validée de s’assurer une visibilité à long terme en achetant le bien (ce qui n’est pas si étonnant quand on considère Excel comme étant le système de « base de données » le plus répandu dans les PME) tout en laissant la possibilité à ceux recherchant toujours la dernière mise à jour de considérer leur suite office comme une charge de fonctionnement et non comme un investissement.

Du côté d’un autre éditeur qui a su se faire un nom en prise de tête d’informaticien, il y a Adobe et sa suite Creative Suite devenue Creative Cloud. La situation est la même que pour Microsoft à un détail près, il n’est aujourd’hui plus possible d’acheter la suite du logiciel, on ne peut que la louer.

3. Classification des besoins d’une entreprise

Une entreprise, quelle qu’elle soit, peut classer ses besoins métiers en différentes catégories. Que le besoin soit informatique ou non.

En simplifiant à l’extrême les besoins d’une entreprise, on retrouve les catégories suivantes :

- ce qui est impératif au fonctionnement d’une entreprise (imaginez un boulanger sans four) ;

- ce qui permet d’augmenter les capacités de l’entreprise (un tableur Excel qui évite des calculs manuels) ;

- ce qui sert à l’interface avec les clients et doit évoluer en fonction de la demande (un centre d’appel qui doit ajouter de nouvelles lignes d’appel simultanées) ;

- ce qui flatte l’égo, mais n’est pas vraiment utile la plupart du temps (une marque de voiture de fonction plutôt qu’une autre, Photoshop au lieu de Gimp pour annoter des images, etc.).

Cette classification est assez importante quand il est question de savoir s’il est mieux pour une PME de louer ou d’acheter.

4. Caricature de réflexion

Les exemples à suivre sont poussés suffisamment à l’extrême pour être des caricatures de choix. L’idée étant de donner des scénarios qui donnent à réfléchir plutôt que de faire une liste exhaustive de situations que peuvent rencontrer les PME.

4.1 Location ou achat d’un véhicule

Pour commencer cette série d’exemples, prenons quelque chose qui n’est pas lié à l’informatique : un véhicule de société.

Une entreprise de travaux publics a besoin de véhicules de chantier pour travailler, quelle que soit sa situation, si elle n’est pas capable d’amener ses ouvriers et son matériel sur un chantier, elle ne pourra pas gagner sa vie. De fait, il est assez impératif d’avoir un minimum de biens acquis pour qu’elle puisse fonctionner en temps normal. Elle peut acheter ses véhicules au fil du temps pour gérer sa capacité d’investissement au mieux, mais elle doit quand même en posséder. Bien entendu, en cas de montée en charge, elle peut louer des véhicules complémentaires, tout comme elle peut travailler avec des salariés et au besoin, embaucher des intérimaires ou des artisans pour répondre à la demande.

Une entreprise à géométrie variable, où les commerciaux vont et viennent assez fréquemment peut être intéressé par la location. Ainsi, la voiture, le téléphone et la tablette du commercial sont des charges stables dans le temps qui sont incluses dans l’objectif du mois. Si le commercial rapporte moins à l’entreprise que ce que coûtent son salaire et ses outils de travail, l’entreprise et perdante. Si le commercial quitte l’entreprise, les charges directes et indirectes disparaissent en partie avec.

Un libéral qui passe sa vie sur la route peut aussi bien prendre l’une ou l’autre des solutions selon sa sensibilité. Le choix stratégique pour son activité serait d’acheter un véhicule et de l’user jusqu’au bout. Au bout d’un moment, il aura un véhicule pas très attrayant, qui fait peine à voir par rapport à sa concurrence, mais qui ne lui coûte rien sinon l’essence et l’entretien. D’un autre côté, il peut aussi considérer que son véhicule est beaucoup plus vital qu’une vision long terme et qu’il ne peut pas se permettre de tomber en panne ou d’avoir un véhicule qui « marque mal » auprès de ses clients. Dans ce cas, l’option de la location avec remplacement tous les deux ans du véhicule est intéressante. Des loyers connus d’avance, le véhicule garde de la valeur, car revenu avec un kilométrage encore acceptable et donc une capacité de négociation sur le prochain contrat.

4.2 Location ou achat d’une infrastructure

Prenons le cas d’une infrastructure maintenant.

Une entreprise souhaite numériser sa manière de travailler. Elle passe d’un fonctionnement papier à un fonctionnement informatique. Pour stocker ses données de travail, elle a deux choix, héberger ses données chez un prestataire qui va lui mettre à disposition les ressources demandées ou acheter ses ressources, et éventuellement les héberger chez elle.

Dans le cas où elle choisit d’héberger ses données, elle en perd le contrôle. Elle en reste propriétaire bien entendu, mais leur existence est conditionnée par un accord commercial généralement imposé par l’hébergeur. L’entreprise dans cette situation se retrouve ainsi en position de dépendance face à son hébergeur. S’il est bien plus gros, elle n’aura jamais la force de négociation nécessaire le jour où l’hébergeur n’agit plus dans son intérêt (changement tarifaire, arrêt du service, etc.).

De même, si l’hébergeur est plus petit, le risque qu’il ferme boutique ou qu’il ne soit pas capable d’assurer sa montée en charge est bien réel.

Bien que ce service d’hébergement soit pratique en terme de coût d’accès au service et de mobilité, il représente un risque réel pour l’indépendance de l’entreprise et la question doit être posée : que fait l’entreprise si son prestataire ferme boutique ou perd l’ensemble de ses données demain ?

Elle pourra peut-être se retourner contre le prestataire devant un tribunal pour espérer une compensation financière, si tant est que le prestataire ait encore de quoi payer. Mais au final, notre entreprise se retrouve sans outils et sans données de travail. Elle doit retourner temporairement à la méthode papier et potentiellement sans historique permettant de travailler (mais quelle idée de faire confiance !).

Dans ce genre de situation, l’investissement en bien propre est tout de même plus judicieux.

Autre exemple, celui d’un centre de formation spécialisé en informatique. Il doit toutes les semaines disposer de matériels divers et variés pour que les stagiaires des formations disposent du nécessaire pour les travaux pratiques. Quand c’est un simple ordinateur, ça va, mais dès qu’il faut du matériel de réseau ou de stockage spécifique, pour des formations coûteuses, mais rares, c’est beaucoup plus complexe. Dans ce genre de cas, la location de l’infrastructure nécessaire est extrêmement pratique. De même pour les entreprises ayant besoin de « lab » pour que leurs employés puissent tester des solutions techniques avant de décider de les mettre en œuvre.

Pour toutes ces situations où les infrastructures évoluent du tout au tout, l’option de la location est intéressante.

4.3 Location ou achat d’une plateforme

Le cas de la plateforme applicative est intéressant également.

Comme dit plus haut, le scénario du e-commerce est le plus typique. Dès que l’outil hébergé est placé en intermédiaire avec les clients et que les besoins peuvent évoluer du tout au tout, il est important de disposer d’un service malléable. Un service qui nous permet de traiter plus de demandes en payant plus lors des temps de charge, et cela de manière automatique est tout à fait intéressant. L’entreprise n’a pas à consacrer du temps de réflexion et de travail pour savoir s’il y a besoin de nouvelles ressources et pour les mettre en place. Le choix est effectué à l’avance et le déploiement est automatique, de même que la mise hors service. Ici, la location de la plateforme avec ses options les plus modernes permet une meilleure réactivité au changement de besoin. Et lorsque ce besoin influe sur le chiffre d’affaires, il est important d’y répondre.

D’un autre côté, ce genre de service n’est réellement utile que si le besoin est amené à changer fréquemment d’intensité. Ce n’est par exemple pas le cas d’une application métier développée en interne. Une TPE ou une PME connaît sa masse salariale. Elle ne va pas faire un x10 d’un coup sans prévenir. Dans ce cas, la location de la plateforme n’est plus intéressante, surtout si nous revenons sur la question de stratégie à long terme. Si l’application-métier est faite en interne, l’entreprise la contrôle entièrement. C’est le scénario parfait pour l’avenir, tant que ses besoins n’évoluent pas, elle n’a pas besoin d’investir dedans. Dans ce cas, aucun intérêt à héberger la solution sur une plateforme applicative qui n’est pas sous contrôle et qui coûte chaque mois.

4.4 Location ou achat d’un logiciel

Enfin, le cas du logiciel.

Certaines agences de com’ utilisent la suite Adobe dans son intégralité et ont besoin de rester à jour en termes de fonctionnalités pour garder leur qualité de service à travers le temps. Dans ces situations-là, la location du logiciel est intéressante, car ce n’est pas le logiciel qui présente une valeur pour l’entreprise, mais la dernière version du logiciel dans les mains de ses employés experts. L’un sans l’autre n’aurait pas la même valeur sur le marché.

D’un autre côté, d’autres peuvent avoir des besoins beaucoup plus primaires d’un logiciel comme la suite Adobe. Effectuer de petites retouches, lire et annoter les fichiers de travaux transmis par les prestataires. Bref, rien de très poussé. Un consultant réseau peut par exemple avoir à utiliser Adobe Illustrator pour lire un plan d’architecte avant un déploiement WiFi, ou un développeur d’applications iOS peut avoir à utiliser Photoshop pour extraire les images d’une maquette d’une future application. Ces gens-là n’ont pas besoin des dernières versions. Malheureusement pour eux, Adobe ne prend plus en compte cette situation.

Un autre cas où la location de logiciel ne serait pas cohérente. Dans le cas d’une application métier hébergée sur une infrastructure appartenant au client, iriez-vous louer le moteur de base de données ?

5. Oui, mais ça coûte cher

Lorsqu’il est question de choix entre achats ou location, la question du coût est faussement avancée comme un argument. Il est admis que le XaaS est moins cher du fait que les mises à jour sont intégrées et du panel de services qui va autour (Office 365 en tête de liste).

Quand il est question de prix, la comparaison doit se faire en fonction de ce dont l’entreprise a besoin à court et moyen terme. Les options inutiles à l’entreprise ne rentrent pas en ligne de compte. Ensuite, le calcul doit être fait en comparant sur la durée d’amortissement des investissements ou sur les intervalles habituels de mise à jour des logiciels. À une époque, une mise à jour majeure d’Office sortait tous les trois ans, est-ce que 36 loyers représentent plus ou moins que la version d’Office que vous aviez l’habitude d’acheter ? Sous Mac, Office 365 coûte plus cher qu’une licence d’Office 2011 au bout de quatre mois…

6. À qui devoir de l’argent ?

Là est toute la question lorsqu’on cherche à posséder et non à louer. Quand une entreprise a besoin d’un nouvel outil pour son système d’information, elle n’a pas forcément l’argent disponible pour l’acheter comptant. De fait, nombre d’éditeurs proposent des solutions assez opaques, entre la location et le crédit.

Si votre objectif est de posséder votre informatique, il est important de vous rappeler que le seul avec qui vous avez une chance de pouvoir négocier, c’est votre banquier, et non celui du vendeur. En empruntant auprès de l’organisme qui gère vos finances au quotidien, vous vous assurez un dialogue censé en cas de vache maigre. Quelqu’un qui vous connaît depuis des années sera beaucoup plus enclin à vous accepter des délais de paiement exceptionnels en cas de pépin qu’une entreprise qui ne connaît pas votre activité et pour qui vous ne représentez pas tant que ça.

7. Et la technique dans tout ça ?

Avec ces réflexions liées à la dépendance induite par toute stratégie d'externalisation, se pose également un certain nombre de questions liées à l'informatique en elle-même.

En reprenant les critères de sécurité classiques que sont la disponibilité, l'intégrité, la confidentialité et la traçabilité, quelles questions se poser ?

7.1 Disponibilité

La première réflexion lorsque la question du XaaS se pose est celle de la disponibilité du service. Question en apparence anodine, mais aux interrogations multiples.

En externalisant votre service, avez-vous pensé à votre lien WAN ? Est-il suffisamment bien dimensionné pour supporter le nouveau trafic ? Et d'ailleurs, quelles sont les garanties de services que votre opérateur vous apporte ? Vous vous souvenez bien avoir choisi un forfait avec « GTR 4 h 7 j/7 », mais qu'est-ce qui se passe si l'opérateur manque à son devoir ? Quels sont les compensations auxquels il s'est engagé ? Il est assez rare que ce genre de contrat rembourse vos pertes sèches.

Pour remédier à cela, il est coutume de doubler les accès Internet. Si possible, en passant par deux opérateurs distincts (et si vous êtes joueurs, avec des adresses IP Provider Independant).

En augmentant ainsi le débit et le nombre de connexions, la facture réelle du XaaS s'alourdit encore un peu. Tout comme la gestion de crise le jour où la panne arrive.

Pour autant, en externalisant certains services, votre entreprise peut gagner en mobilité. Vos locaux sont inondés ? Il n'y a plus d'électricité dans le quartier ? La préfecture interdit les déplacements sous prétexte de virus H1N1 ? Aucun problème ! Les outils de travail de vos employés sont accessibles très facilement de l'extérieur. Chacun emporte sa machine de travail et le premier accès Internet venu vous permet d'accéder à votre comptabilité, votre gestion commerciale, votre base client, votre calendrier de production… Bref ! Tout le nécessaire pour continuer à travailler en attendant le retour à la normale.

7.2 Intégrité

Un informaticien a deux rôles principaux : faire que ça marche et anticiper le moment où ça ne marchera plus.

Vous avez externalisé votre logiciel de comptabilité, vous ouvrez un nouveau poste à la comptabilité et la personne fait une erreur : toutes les données du mois en cours sont supprimées. Ça arrive, c'est humain.

Jusqu’ici, vous auriez simplement restauré la sauvegarde de la veille.

Mais maintenant que vous n'avez plus la main sur le serveur, vous ne pouvez pas automatiser cette sauvegarde, malheureusement pour vous le logiciel comptable en SaaS ne permet pas de faire des sauvegardes automatiques, il permet seulement des sauvegardes manuelles sous forme d'export, et les utilisateurs l'ont encore oublié !

Ce genre de scénario est tout à fait probable dans le cadre d'une externalisation de service. Il n'est pas rare que ce genre de services ne permette tout simplement pas de sauvegarder vos données. Toutes les entreprises ayant utilisé des services e-mail mutualisés s'en sont malheureusement rendu compte un jour ou l'autre.

Cependant, le service étant mis à disposition par des professionnels et les coûts de sécurisation étant mutualisés entre tous les clients, il est fort probable que la résistance à la malveillance soit bien meilleure que celle de votre serveur d'entreprise hébergé dans la cuisine de vos bureaux.

7.3 Confidentialité

C'est le point qui fait souvent la une de l'actualité généraliste en ce moment. Les stars qui se font dérober leurs photos privées, la NSA qui serait connectée en direct sur les serveurs de Google, etc.

Vous externalisez les donnés métier de votre entreprise. Potentiellement des secrets de fabrication qui doivent être protégés à tout prix des regards indiscrets de la concurrence.

Il est plus qu'impératif dans ce genre de situation de se renseigner sur le détail des options de sécurité disponibles. Chiffrement des échanges ? Certificate pinning ? Chiffrement des données sur les serveurs ?

Si, lorsque vous hébergez vos propres services, vous avez toute la latitude nécessaire pour choisir votre niveau de sécurité, en externalisant vous réduisez le champ des possibles. Mais si vous n'êtes pas un expert, il y a plus de chance que le peu disponible, soit mieux fait.

7.4 Traçabilité

Que vous soyez dans le bancaire, dans la pharmacologie ou tout simplement dans une entreprise où même les murs disent « c'est pas moi », il est souvent utile, voire obligatoire, de disposer de journaux d'opérations.

Ces journaux doivent normalement contenir l'ensemble des opérations en rapport avec votre service.

Les questions à se poser avec le XaaS sont d'une part de savoir si ces journaux sont disponibles, et s'ils le sont, de savoir si les opérations du fournisseur sont elles aussi tracées et accessibles.

C'est peut-être là le point le plus difficile à mitiger du côté du XaaS. Sauf à proposer l'envoi en temps réel des journaux vers un autre serveur sous contrôle d'un autre prestataire, un vendeur de XaaS ne peut que vous demander de le croire quant à l'exactitude des journaux mis à disposition.

Si de fait vous pouvez être certain que vos utilisateurs n'ont plus aucune chance de modifier les journaux d'opération en soudoyant un administrateur de votre entreprise, la question reste valable pour le prestataire en lui-même.

Lorsqu'il y a contrat avec dédommagement, il est tentant de chercher à se dédouaner en « perdant » les preuves.

Il est important de comprendre l'importance de point. Le jour où vous serez en conflit avec votre prestataire pour une faute qu'il aura commise, il sera le seul à avoir la main sur les données qui l'incrimine.   

8. Une question au lecteur

Enfin, une petite question pour laisser réfléchir le lecteur. En informatique, il est coutume de dire qu’il n’est pas question de « si ça plante un jour », mais de « quand ça va planter ».

Dans cette optique-là, préférez-vous que toutes les entreprises utilisant du XaaS sur le territoire plantent en même temps ou chacune à leur tour ? Car au-delà de la dépendance d’une entreprise à un prestataire, se pose la question de la dépendance d’une majorité d’entreprises d’un pays à un prestataire unique, qui n’est éventuellement pas sous notre juridiction…

Référence

[1] http://fr.wikipedia.org/wiki/Biens_et_services_marchands




Articles qui pourraient vous intéresser...

CVE-2020-3433 : élévation de privilèges sur le client VPN Cisco AnyConnect

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Cet article explique comment trois vulnérabilités supplémentaires ont été découvertes dans le client VPN Cisco AnyConnect pour Windows. Elles ont été trouvées suite au développement d’un exploit pour la CVE-2020-3153 (une élévation de privilèges, étudiée dans MISC n°111). Après un rappel du fonctionnement de ce logiciel, nous étudierons chacune de ces nouvelles vulnérabilités.

Introduction au dossier : Sécurisez vos serveurs et votre réseau local

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

2020 aura été une année marquante pour nos vies et nos sociétés. Il aura fallu se réinventer, trouver des solutions à des situations exceptionnelles. Dans les entreprises, l'Éducation ou la Santé, la mobilisation des ressources informatiques aura été maximale. Nos infrastructures auront ployé, tangué, parfois presque craqué, mais au final, cela aura tenu.

Passez à nftables, le « nouveau » firewall de Linux

Magazine
Marque
Linux Pratique
Numéro
122
Mois de parution
novembre 2020
Domaines
Résumé

Le firewall est un élément important pour sécuriser un réseau. Il est prouvé que la sécurité par l’obscurantisme ne fonctionne pas. Ce n’est donc pas une bonne idée d’utiliser une boîte noire en priant pour que tout se passe bien. Un bon firewall est donc installé sur un système d’exploitation libre. Linux fait évoluer le sien d’iptables vers nftables. Nous montrons dans cet article comment débuter avec la nouvelle mouture.

Introduction au dossier : Sécurité de l’orchestrateur Kubernetes

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Ce dossier s’intéresse à un système de plus en plus déployé aujourd’hui, à savoir l’orchestrateur Kubernetes. Au-delà de l’effet de mode évident dans son adoption actuelle, l’intérêt croissant pour ce projet nous amène forcément à nous poser une question essentielle : qu’en est-il de sa sécurité ? Devenu un standard de facto pour l’orchestration de conteneurs, Kubernetes, qui signifie gouvernail en grec, présente une architecture complexe et les possibilités de se tromper avec des conséquences importantes pour la sécurité d’un cluster sont nombreuses.