Les migrations vers le cloud doivent faire l’objet d’un examen plus approfondi, estime Owen Rogers, Research Director for Cloud Computing, Uptime Institute.

Cloud, fin de la lune de miel ? La prudence l’emporte. Plus question de déplacer rapidement des applications vers le cloud, sans analyse complète des coûts, des avantages et des risques. La pression des CFO sur les CIO, souvent pressés d’en finir avec l’informatique sur site, est retombée. Les temps changent, estime Owen Rogers, Research Director for Cloud Computing, Uptime Institute. Les raisons sont multiples. « Les pannes de cloud très médiatisées, associées à un intérêt réglementaire croissant, encouragent certains clients à y regarder de plus près.»

Hier, on ne voyait que l’agilité. Aujourd’hui, la question de la résilience prend le dessus. De nombreux clients découvrent qu’ils en sont responsables… après avoir compris que les sociétés de cloud ne s’en chargent pas de facto. Des pannes, il y en aura toujours. Aux clients de réagir. Comment ? En répartissant les charges de travail sur plusieurs zones de disponibilité.

Attention ! surcoûts…

Or, c’est rarement le cas. Interrogés sur la question de la répartition des charges, peu d’entreprises en tiennent compte. Seulement 35 % des répondants pensent que la perte d’une zone de disponibilité entraînerait des problèmes de performances importants. Une double disponibilité serait idéale. Mais elle implique un surcoût. L’Uptime Institute l’estime à

43 % ! « Construire à travers les régions, ce qui améliore évidemment la résilience, coûte cher, observe Owens Rogers. L’opportunité doit être soigneusement étudiée. Certaines applications ne seront tout simplement pas éligibles compte tenu des dépenses supplémentaires… 

Les migrations réussies et entièrement fonctionnelles vers le cloud des charges de travail critiques entraînent des coûts supplémentaires souvent substantiels, un facteur qui commence seulement à être pleinement compris par de nombreuses organisations.

Ces coûts comprennent à la fois la phase initiale -lorsque les applications doivent être redéveloppées pour être cloud natives à un moment où les compétences sont rares et en forte demande- et les frais de consommation continus qui découlent de longues périodes de fonctionnement dans plusieurs zones. « Il est clair que le coût du cloud n’a pas toujours été pris en compte. Ce coût, aujourd’hui, est précisément l’une des principales raisons pour lesquelles les organisations rapatrient leurs charges de travail du cloud public vers leur propre site ! »

Lune de miel en trompe-l’œil

L’époque est aux économies. Hier, les cycles d’actualisation des serveurs agissaient comme un déclencheur pour la migration vers le cloud. Plutôt que d’acheter de nouveaux serveurs physiques, les responsables IT choisissaient de déplacer les applications vers le cloud public. Moins aujourd’hui. En 2015, 35 % des responsables interrogés par l’Uptime Institute maintenaient leurs serveurs en service pendant cinq ans ou plus ; cette proportion est passée à 52 % en 2022. Bref, on y réfléchit à deux fois !

De plus en plus pesantes et, surtout, mieux estimées, les dépenses de migration doivent être justifiées. Owens Rogers est formel : « De nombreuses organisations n’ont tout simplement pas la marge de manœuvre nécessaire pour gérer les coûts imprévus nécessaires pour rendre les applications cloud plus résilientes ou performantes ! Un accès limité au capital, associé à des budgets plus serrés, obligera les dirigeants à réfléchir attentivement à la nécessité de migrations complètes vers le cloud. Seules les migrations d’applications avec un retour sur investissement clair continueront à migrer vers le cloud ; ceux qui sont à la limite peuvent être mis en veilleuse jusqu’à ce que les conditions soient plus claires. »

Pression supplémentaire des régulateurs

Les gouvernements s’inquiètent également du fait que les applications cloud ne sont pas suffisamment résilientes ou qu’elles présentent d’autres risques. La domination des hyperscalers a soulevé des inquiétudes concernant le « risque de concentration » -une dépendance excessive à un nombre limité de fournisseurs de cloud- dans plusieurs pays et secteurs clés.

Les régulateurs prennent des mesures pour évaluer et gérer ce risque de concentration, craignant qu’il ne menace la stabilité de nombreuses économies. La loi sur la résilience opérationnelle numérique (DORA) récemment adoptée par la CE fournit un cadre pour confier la responsabilité de la surveillance des fournisseurs informatiques externalisés (y compris le cloud) aux acteurs des marchés financiers. La loi Gramm-Leach-Bliley (GLBA, également connue sous le nom de Financial Services Modernization Act) aux États-Unis, de longue date mais récemment mise à jour, exige désormais des évaluations régulières de la cybersécurité et de la sécurité physique.

La direction est claire. Davantage d’organisations seront tenues de mieux évaluer et planifier les risques découlant des fournisseurs tiers. Ce ne sera pas toujours facile ni précis. Les fournisseurs de cloud sont confrontés au même éventail de risques (problèmes de cybersécurité, pénurie de personnel, chaînes d’approvisionnement, conditions météorologiques extrêmes et réseaux instables, etc.) que les autres opérateurs. Et tout montre qu’ils sont rarement transparents sur les défis associés à ces risques.