Journal de bord d'un DSI "l'ITSM dans le Cloud"

Un récent sondage réalisé par JDN/Club Décision DSI et IT Research a mis en avant que 19% des moyennes et grandes entreprises françaises se disent désormais prêtes à basculer l'ensemble de leur système d'information vers des applications en mode SaaS. Le Cloud devient donc incontournable sur de nombreux sujets métier et l’ITSM ne fait pas exception à la règle. Êtes-vous serein sur le sujet ou, comme notre DSI qui écrit chaque jour ses aventures dans son journal de bord, êtes-vous en proie à des interrogations concernant le passage de votre ITSM dans le Cloud ? C’est le moment de confronter vos idées avec celle de notre DSI, héros malgré lui…

Jour 1 : mon patron me demande de « dé-commissionner le bousin qui nous sert de ticketing... »

Ce matin, alors que je lis sereinement les dernières statistiques d’Alert Logic sur la recrudescence des attaques quotidiennes sur le Cloud, je reçois un message de mon manager qui m’explique en quelques mots que j’ai « 6 mois pour dé commissionner ce bousin qui nous sert de ticketing ! ». Comprenez : « Il devient urgent de trouver une solution ITSM (*) performante et adaptée à nos besoins et à ceux de nos clients internes ». Depuis que je suis DSI dans cette entreprise, j’en ai vu passer des demandes urgentes pour les Métiers mais pas encore pour l’ITSM. Il faut dire que, dans notre secteur d’activité - comme dans la banque, la santé ou l’e-commerce - l’IT devient de plus en plus critique pour la performance des Métiers. L’IT doit suivre ! Alors, avoir une solution ITSM adaptée à nos besoins n’est pas un luxe !

Jour 2 : l'ITSM dans le cloud, c’est séduisant…

Cela n’a pas tardé… Françoise, notre chère Responsable des Pilotages des Services est passée dans mon bureau triomphante : « Tu vois, finalement, on l’a eu ce budget ! » et, très fière, me dépose son cahier des charges sur le bureau. Bien évidemment, Françoise n’ose pas imposer de solution mais me suggère très clairement de regarder du côté des offres ITSM dans le cloud… Je savais bien qu’un jour où l’autre, ce système, il faudrait le refondre et sûrement le mettre dans les nuages !

Bien sûr, comme d’autres DSI, je sais que les meilleures solutions ITSM sont en mode SaaS et j’avoue être assez tenté, malgré les horreurs que se chargent de me remonter certains de mes collaborateurs, encore un peu bloqués dans les années 90. Après avoir lu et relu plusieurs articles et échangé sur les réseaux sociaux, j’en déduis que la flexibilité et l’excellent rapport qualité/prix des offres cloud jouent clairement en leur faveur. Franchement, le cloud est très séduisant sur le plan économique. Il influe clairement sur le business case. Et cerise sur le gâteau, il est carrément adapté pour la mise en place d’une solution ITSM en mode agile. Cela va, enfin, me permettre d’avoir plus de flexibilité ! Je suis DSI et on me demande de gagner en agilité et de répondre dans des délais très courts aux attentes des métiers. Finis les déploiements complexes qui durent des plombes avec des utilisateurs impatients de tester l’engin !

Allez ! Celui qui a peur est un peureux ! J’évoque rapidement avec mon RSSI la possibilité de basculer notre ITSM dans le cloud et lui suggère de travailler sur un RFI pour étudier le type de solution et l’environnement.

Jour 3 : Papy fait de la résistance !

J’étais convaincu par le Cloud – et donc serein dans mon approche de passage de l'ITSM dans le Cloud – et vlan! C’est là qu’entre en scène Charles-Albert, mon responsable de la production informatique, à qui j’avais parlé entre deux portes hier. Moi qui pensais plutôt avoir de la résistance du côté de mon RSSI, je n’avais rien vu venir du côté de la prod’. Évidemment, ça n’a pas raté, mon cher collaborateur qui se vante d’être arrivé dans l’entreprise avec les meubles, n’a pas manqué de me faire remarquer les risques inhérents au cloud. J’ai bien compris que sa remarque trouve plus sa source dans sa peur du changement que dans sa peur du cloud mais, bon, je suis poli et bien élevé, j’écoute ses arguments…

D’après lui, le cloud n’est pas un nuage tranquille : le rapport 2015 Alert Logic montre que plus des ¾ des attaques concernent le Cloud (78%), en comparaison des Datacenters d’entreprise (22% On premise). Le tout avec des conséquences financières pour les entreprises concernées non négligeables. J’ai évidemment droit au récit de la dernière cyber-attaque qui a fait 200.000 victimes. Je lui fais remarquer au passage que cette attaque n’a rien à voir avec le Cloud. Elle est liée à une faille de sécurité corrigée par une nouvelle version que les DSI avaient tardé à mettre à jour. Une chose qui ne serait peut-être pas arrivée avec un système Cloud, où les mises à jour sont effectuées plus rapidement et immédiatement opérationnelles…

La question qui tue arrive peu après : quid de la sécurité des données ? En un mot, comment résoudre la dualité entre le Time to Market et la Sécurité ? Je me dis que le cloud s’appuie essentiellement sur un contrat de confiance et qu’en tant que client, je n’ai pas vraiment de moyens de contrôle sur la gestion que va faire le fournisseur de mes données. Un de mes ex-collègues m’a raconté récemment les mésaventures de milliers d’utilisateurs de DropBox qui ont vu réapparaitre des fichiers effacés par leurs soins parfois depuis plusieurs années.

Mon RSSI, qui passait partager un café avec moi, nous fait remarquer que la question de la sécurité est aujourd’hui une attente forte des clients comme des partenaires. Ils voient en elle, non plus un empêcheur de tourner en rond mais un accélérateur de confiance et donc de business. A condition d’accepter de passer du temps pour mettre le sujet sur la table et y travailler.

Je réfléchis à la question…

Jour 4 : le cloud ou la « menace fantôme »

J’ai le don de tomber sur les articles qui me mettent mal à l’aise… Moi, le garant du système d’informations, de sa disponibilité, de son intégrité, je lis que le Saint Graal du Cloud, autrement dit Amazon, est tombé en panne (**).

C’est clair, nos clients sont aveuglés par les strass du cloud et les promesses des éditeurs, mais finalement, pour eux, le cloud reste un concept obscur. Nos clients ne savent pas ce qui se cache derrière. Ils ne savent pas comment, où et par qui sont exploitées les infrastructures, les bases de données, et avec quelles garanties. Ils pourraient objecter « on s’en fiche » et ils auraient peut-être raison. Mais dans la vraie vie, ils ne tarderont pas à trouver chez qui réclamer en cas d’indisponibilité ou de fuites de données. Lorsque la solution est hébergée en interne, nous avons les rênes. Quand la solution est dans le cloud, c’est une autre histoire… Et d’ailleurs faut-il proposer à toutes les équipes de disposer d’une solution dans le cloud, sachant que de plus en plus d’éditeurs ne proposent plus qu’un seul modèle de déploiement : le cloud ? Ne vaudrait-il pas mieux mener notre étude avec l’aide d’un consultant spécialiste de la question, histoire d’éviter, comme à l’accoutumée, de faire appel à lui une fois le projet en route ?

Jour 5 : je décide de faire appel à un consultant (histoire de ne pas reproduire certaines erreurs du passé)

La nuit porte conseil. C’est décidé, je fais appel au cabinet conseil qui intervient régulièrement chez nous et qui m’a déjà parlé d’un projet similaire dans le même secteur d’activité que le nôtre. J’intègre le consultant - une fois n’est pas coutume – avant de commencer le projet, ce qui m’évitera, je l’espère, de galérer plus tard. Je me dis que le consultant peut me permettre de faire aboutir mon projet plus facilement car il aura un regard neutre et pourra de mettre tout le monde d’accord sur un projet qui risque de rencontrer de fortes résistances. Sur un sujet aussi sensible que l’ITSM, il ne s’agit pas d’avoir des pudeurs de gazelles. Je le laisse travailler et je prends la décision d’arrêter de lire des articles sur le cloud pendant 15 jours.

Jour 15: « Houston, we have a problem »

Mon consultant est sur le sujet depuis 10 jours. De mon côté, j’ai du boulot en perspective pour cette journée ensoleillée mais j’ai du mal à me concentrer. Je repense à la soirée des anciens de mon école qui a eu lieu hier et où, j’ai croisé Jean-Pierre, celui qui dormait toujours en cours. J’ai échangé avec lui sur le sujet du Cloud. Dans sa boîte, ils sont soumis à la Loi de Programmation Militaire, ce qui impose un hébergement des données au sein de l’Union Européenne. Du coup, le Cloud c’est bien mais seulement en Europe dans son cas… Il a dû négocier des conditions spéciales avec son fournisseur IT et un hébergeur français pour sa solution d’ITSM. Cela me fait réfléchir sur le « format Cloud ». Ce n’est pas forcément 0 ou 1, Full Saas ou solution on premise. Des solutions hybrides peuvent être envisagées. D’un côté, cela m’ouvre de nouvelles perspectives, de l’autre, cela me complique la tâche…

Vous me direz, je ne suis pas concerné par la LPM mais je suis tout de même contraint par la nouvelle réglementation européenne sur la protection des données personnelles, dite réglementation GDPR. Je dois rester le garant des données de mon entreprise. Pffff...

Du coup, me voilà obligé de répondre à la question, soulevée maintes fois par le consultant et que je faisais semblant de ne pas entendre : quelles données ITSM seraient hébergées dans le Cloud ? Après avoir épluché le cahier des charges et repensé à mon ami Jean-Pierre, je « skype » mon consultant : « Houston, we have a problem… »

Jour 16 : je (re)replace les données au cœur de mon analyse

Le consultant, toujours diplomate, évite le terrible « Je vous l’avais bien dit ». OK ! Il a souvent raison mais je ne vais quand même pas le lui dire ! Comme me le rappelle mon consultant, les données ont une valeur à géométrie variable selon les organisations et les contextes. Donc pas de recette toute faite pour analyser les risques … La sécurité concerne surtout le sujet que l’on souhaite protéger, et plus que la donnée, l’information qu’elle contient.

La solution ITSM va stocker des données mais va également en produire. Ces données seront peut-être plus sensibles que les données initialement stockées. Avec le durcissement de la loi sur la gestion des données, leur sécurité et leur confidentialité, je ne vais donc pas jouer à l’apprenti sorcier avec mes données !

Bref, on planifie d’urgence une réunion, pour demain, avec tous ceux qui sont concernés pour faire le point sur la valeur et la sensibilité que l’on veut accorder à nos données. A savoir, à minima : les utilisateurs de la solution, le responsable de la production informatique (le fameux Charles-Albert), le RSSI, le chef de projet et le consultant.

Jour 17 : tempête sous un crâne

Comme prévu, la réunion se concentre sur l’analyse de risque. Et du coup, nous voilà en train de plancher sur une longue liste de questions…

• Quelles sont les données que je voudrais protéger des accidents et des malveillances ?
• Question indisponibilité, quelles seraient les conséquences pour mon entreprise si ces données étaient inaccessibles, indisponibles ou fonctionnaient mal ?
• En matière d’intégrité, quelles seraient les conséquences si les données utilisées étaient altérées, inexactes, incohérentes, manquantes ou modifiées de manière accidentelle ou malveillante ?
• En termes de confidentialité, quelles seraient les conséquences si les données et savoir-faire utilisés étaient divulgués à des personnes non autorisées ?
• Quelles seraient les conséquences pour mon entreprise si les traces des opérations réalisées dans le contexte étaient manquantes, inexactes ou incomplètes, quelles conséquences auraient un manque de traçabilité ?
• Quelles seraient les conséquences si les traitements réalisés dans le contexte de mon application n’étaient pas conformes aux lois et règlementations en vigueur dans le pays où ils sont utilisés ou dans le pays où ils sont exécutés ou qui s’appliquent à mon domaine d’activité ou qui sont contractuels avec mes fournisseurs ou mes clients ?

Charles-Albert fait du lobbying à mort contre le Cloud, je vois bien qu’il n’est pas vraiment rassuré. Si nous parvenons à répondre à ces questions (et ce ne sera pas fait en une heure), nous pourrons évaluer l’impact d’un problème survenant sur un des critères confidentialité, intégrité, disponibilité, traçabilité. Cela devrait le rassurer.

Il faut ensuite s’intéresser aux mesures et contrôles qui permettent de réduire la probabilité que le problème survienne et/ou l’impact s’il survenait (mesures de prévention, de détection, de remédiation).

Le grand patron me rappelle alors, lors d’un passage éclair pour prendre des nouvelles du projet, qu’il veut une même solution pour l’ensemble du groupe. Avec les spécificités de nos filiales, cette analyse est encore plus cruciale.

J’ai la tête farcie de bonnes idées et d’interrogations et j’envisage sérieusement de regarder le foot à la télévision avec une bonne bière ce soir pour me détendre !

Jour 18 : où je me rends compte que certaines données sont plus égales que d’autres

Pendant le match de foot hier, j’ai eu une illumination : savoir quels types de données sont concernées par le Cloud (ou pas !) va m’aider à y voir plus clair. Après un bon café et une conf call très intéressante avec le consultant, je m’aperçois qu’elles sont finalement de deux natures : les données qui vont être stockées, manipulées, transformées dans le système hébergé (les données entrantes ou les résultats produits par le système) et les données qui vont transiter entre mon SI et le Cloud. Plus tard dans la journée, je « skype » encore mon consultant qui me propose alors de classer mes données selon trois types : les données personnelles et de contact, les données référentielles et organisationnelles et les données métiers.

J’ai bien conscience qu’il va me falloir évaluer les impacts pour mes données identifiées sur deux aspects principaux : la confidentialité et, bien sûr, l’intégrité dans le cas d’une fuite ou d’une corruption de données.

Je commence par me faire violence et je fais immédiatement abstraction des moyens employés et de l’origine de l’incident de sécurité. Qu’il soit malveillant ou non. De toute façon, les méthodes d’intrusion évoluent et sont toujours plus performantes, je vais donc remettre à plus tard la réflexion sur les technos.

Une chose est claire : dans le cadre de ce projet, nous travaillons sur de la data qui est potentiellement un vecteur d’intrusion dans les SI opérationnels. Les données ITSM décrivent le cœur de nos infrastructures. Donner accès à nos données serait comme donner la carte du trésor au capitaine Jack Sparrow, qui n’est pas le mieux intentionné des pirates des Caraïbes ! Il s’agit donc de faire une analyse d’impacts sur les données exploitées dans l’outil ITSM ainsi que sur les flux métiers afin de définir les enjeux de sécurité.

Pendant le point hebdomadaire, le consultant a mis l’accent sur la nécessité d’identifier les niveaux d’impacts sachant qu’ils se traduisent toujours au final, en pertes financières. Et à la DSI, moins on perd d’argent mieux on se porte !

Je m’aperçois rapidement que, comme dans le roman « Animal Farm » de George Orwell, certaines données sont plus égales que d’autres ! Il y a des données intrinsèquement sensibles (comme un n° de carte ou compte bancaire par exemple) et des données vectrices d’intrusion (un login, une adresse IP, un n° de téléphone, e-mail, etc.).

Jour 30 : de l’audace, toujours de l’audace, encore de l’audace pour passer son ITSM dans le Cloud !

L’identification des données et des impacts sur laquelle nous travaillons depuis 15 jours a permis d’attribuer un niveau de sensibilité à la donnée du point de vue de la confidentialité et de l’intégrité. Cela servira de point d’arbitrage avec les équipes de la DSI (futurs utilisateurs de l’ITSM) sur le bienfondé d’une exposition au Cloud de notre ITSM. Autre point d’arbitrage : les mesures de contrôle proposées par l’éditeur de la solution.

Il m’apparaît alors qu’avant même d’étudier une quelconque solution cloud, nous devons avoir une vision claire des risques et donc des conséquences à externaliser une partie de notre SI en appréciant la sensibilité de ses données.

En connaissant les risques, je peux évaluer la pertinence du projet. Au regard des avantages du Cloud et des mesures de sécurité proposées, il m’apparaît que nous pouvons accepter les risques résiduels non couverts ou partiellement couverts puisque nous les connaissons et que nous les avons évalués. Et donc aller dans le cloud. J’ai toutes les cartes en main pour passer à l’étape suivante : réaliser l’analyse de l’environnement et de la solution et bétonner le contrat avec le fournisseur.

Le RSSI m’a bien aidé à prendre cette décision, je l’en remercie. En souriant, nous nous disons que nous avons intérêt à préparer notre argumentaire pour Charles-Albert et envisager un bon accompagnement au changement…

Je me dis alors qu’avant cela, je me ferai bien une petite pause. Bien méritée.

C’est le moment précis que choisit Sandrine de la RH pour m’annoncer qu’ils ont lancé un projet cloud pour le SIRH en précisant que « je t’informe quand même vu que t’es DSI mais bon on a bien géré ». je pense très fort : « Vous avez bien géré quoooooi ? » Elle m’explique qu’elle nous a tranquillement « bypassé » pour la mise en place de sa solution métier… Je respire un grand coup, je pense à un joli paysage polaire et je lui réponds, tout sourire : « tu as bien fait de m’en parler car il se pose des problématiques de criticité et de sensibilité des données. Tu n’aimerais pas que tes données de paie soient piratées ?» Gloups, Sandrine respire à son tour et me dit : « justement, on venait te voir car, comme tu nous l’as expliqué l’autre jour, l’IT et les métiers doivent collaborer surtout quand il s’agit d’une solution Cloud sur laquelle vous être les mieux placer pour nous accompagner ». Parfait Sandrine, le message est passé…et moi je suis rodé. Demain, je passe le SIRH dans les nuages…

To be continued

(*) Information Technology Service Management

(**) leportail@xmco.fr : Article du 1^er mars 2017 : Panne De nombreux sites et applications inutilisables après une panne d'Amazon AWS S3 (CXN-2017-0710))