Migration vers le Cloud : quels écueils et pourquoi ?
De plus en plus d’entreprises sont désormais convaincues de l’apport en agilité et en performances de l’usage de ces technologies « Cloud ». Elles intègrent et développent une expertise interne en matière de migration vers le Cloud, mais sont parfois confrontées à certains défis inattendus, les empêchant d’aborder les projets de façon optimale…
Dépasser le cap du ‘drag and drop’
Dans de nombreuses organisations, le manque de stratégie et de planification est dès le départ assez symptomatique d’un défi plus large : il n’y a pas de réflexion globale vis-à-vis du Cloud, mais seulement des efforts stratégiques à court terme. Le choix du Cloud semble parfois à l’initiative d’un Exec séduit par l’atelier d’un Cloud provider auquel il a participé et l’ayant convaincu d’adopter ce modèle en interne.
Ce dernier définit alors une stratégie Cloud First sans même évaluer ni la difficulté de la tâche, ni son intérêt, ni même sa nécessité dans l’entreprise.
Ces difficultés sont aggravées par l’organisation en silos de nombreuses entreprises. En effet, plus la structure est vaste et étendue, plus les équipes sont susceptibles d’être nombreuses, et plus la communication devient un défi majeur. Même si l’entreprise dispose de spécialistes du Cloud pour travailler sur le projet, il arrive souvent qu’elle n’intègre pas à cette réflexion les acteurs internes en charge du développement des applications ou de la sécurité, par exemple.
Il en résulte une migration des outils, des applications, des politiques établies directement des environnements on-premises vers le Cloud. Cela devient incroyablement coûteux car les organisations ne sont pas adaptées en conséquence. Un intermédiaire supplémentaire est ajouté, sans s’appuyer sur les avantages des outils natifs Cloud tels que les micro-services, les containers et les applications serverless.
Souvent, les déploiements dans le Cloud n’offrent ni visibilité, ni contrôle. Les organisations n’appréhendent par exemple pas la nécessité de verrouiller tous leurs containers et de « désinfecter » les API.
De plus, les équipes Cloud ont souvent peu d’autorité en matière de gouvernance, de gestion des coûts et d’attribution des politiques, et les équipes historiquement en charge de ces sujets ont quant à elles peu d’informations sur les « usages » Cloud de l’entreprise… les choses peuvent alors échapper à tout contrôle. Souvent, la responsabilité partagée n’est pas bien comprise par les entreprises, surtout dans le nouveau ‘monde’ des pipelines DevOps : la sécurité n’est alors pas appliquée aux bons endroits et le risque s’amplifie de fait.
Faire les choses bien
Toutefois, il n’est pas aisé de résoudre cet ensemble de points. Il est indéniable que les acteurs de la sécurité ont encore beaucoup à faire pour éduquer le marché et les parties prenantes sur le partage des responsabilités dans le Cloud, en particulier lorsqu’il s’agit de technologies récentes, telles que les containers et les applications serverless. A chaque nouvelle façon de déployer une application, les mêmes erreurs sont bien souvent reproduites, chacun partant du postulat que les fournisseurs / éditeurs / services providers sont responsables de la sécurité du Cloud.
L’automatisation est également un élément-clé de la réussite de toute migration. Il est important d’automatiser aussi les politiques et la gouvernance, tout en intégrant la nécessité de refonte des applications et un changement des outils jusqu’ici utilisés, de façon à déployer et gérer ces applications correctement. C’est de la sorte qu’elles apporteront davantage de cohérence aux projets et s’assureront de la maîtrise de leurs coûts.
La migration des applications vers le Cloud peut s’opérer en quelques clics. Mais la gouvernance, la politique et la gestion de la sécurité, qui doivent aller de pair avec une migration, sont souvent reportées, négligées, voire oubliées.
D’où la nécessité d’objectifs stratégiques clairs et d’une planification minutieuse pour atteindre les meilleurs résultats possibles. Si cette approche apparait peu attrayante, elle reste pourtant la meilleure façon de faire progresser l’entreprise dans sa démarche de transformation numérique.
