L’usage du cloud s’accélère d’année en année. Les entreprises n’ayant pas encore franchies le pas ne cessent de réduire, les crises successives ayant clairement joué un rôle dans ce mouvement.

Les entreprises doivent adopter des stratégies permettant de fournir leurs services, livrer des logiciels, le plus rapidement possible et avec un maximum d’agilité, tout en garantissant une sécurité optimale et en contrôlant les coûts. Avec des attaques quotidiennes dans le monde entier, l'enjeu sécurité est maintenant au cœur de la stratégie cloud. La multitude des fournisseurs et des offres cloud remettent encore plus au cœur du débat le juste équilibre entre vitesse, sécurité et finance.

Le cloud aujourd’hui

En 2022, seulement 10% des entreprises n’utilisent pas le Cloud (-50% par rapport à 2021). Plus de 76% utilisent un ou plusieurs fournisseurs de cloud public (+36% par rapport à 2021), 33% ont déployé uniquement un cloud privé (+12% par rapport à 2021) et enfin plus de 42% des entreprises sont hybrides (+25% par rapport à 2021).* sources Google

Pourquoi tant d’entreprises ont adopté plusieurs fournisseurs de cloud public ?

En tête à plus de 63% pour la disponibilité. En répartissant leur utilisation sur plusieurs fournisseurs, les entreprises s’assurent d’une continuité d’activité même en cas d’incident technique majeur d’un fournisseur de cloud. Vient ensuite à 52% le fait de tirer profit de la spécificité de chaque fournisseur. Ensuite, à 44%, la confiance est répartie entre plusieurs fournisseurs. On répartit ses risques et ses données sur plusieurs acteurs.

L'utilisation du cloud a un impact positif sur la performance globale de l'organisation. Les entreprises qui utilisent le cloud étaient 14 % plus susceptibles de dépasser les objectifs de performance organisationnelle que leurs homologues n'utilisant pas le cloud.

Les 5 caractéristiques du cloud

Le National Institute of Standards and Technology (NIST) a déterminé les cinq caractéristiques du cloud qui initient une longue chaîne qui mène à la performance organisationnelle.

• Libre-service à la demande : Le consommateur peut provisionner des ressources cloud, selon ses besoins, automatiquement et sans interventions humaines sur la partie Fournisseur.
• Large accès au réseau - Les capacités sont largement disponibles et les consommateurs peuvent y accéder via plusieurs canaux tels que les téléphones mobiles, les tablettes, les ordinateurs portables et les postes de travail.
• Mise en commun des ressources – Les ressources du fournisseur sont mises en commun dans un modèle multi tenant, avec des ressources physiques et virtuelles affectées dynamiquement et réaffectées à la demande. Le client n'a généralement aucun contrôle direct sur l'emplacement exact des ressources fournies, mais peut spécifier un emplacement à un niveau d'abstraction plus élevé, tel qu'un pays, un état ou un centre de données.
• Flexibilité rapide - Les capacités peuvent être provisionnées et libérées de manière élastique pour évoluer rapidement avec la demande. Les capacités des consommateurs disponibles pour l'approvisionnement semblent être illimitées et peuvent être appropriées en n'importe quelle quantité à tout moment.
• Service mesuré - Les systèmes cloud contrôlent et optimisent automatiquement l'utilisation des ressources en exploitant une capacité de mesure à un niveau d'abstraction approprié au type de service, tel que le stockage, le traitement, la bande passante et les comptes d'utilisateurs actifs. L'utilisation des ressources peut être surveillée, contrôlée et signalée pour plus de transparence

Les 5 métriques de livraison et de performance opérationnelle

On peut imaginer 5 grandes métriques à appliquer au DevOps :

• Le délai du changement : c’est-à-dire le temps entre la modification du code et sa mise en Production. Quel est votre délai pour les modifications (autrement dit combien de temps faut-il pour passer du code validé au code exécuté avec succès en production) ?
• La fréquence de déploiement :  A quelle fréquence votre organisation déploie-t-elle du code en production ou le livre-t-il aux utilisateurs finaux ?
• Le temps pour restaurer un service : après un incident par exemple.  Combien de temps faut-il généralement pour rétablir le service lorsqu'un incident de service ou un défaut affectant les utilisateurs se produit (par exemple, une panne imprévue ou une défaillance du service) ?
• Taux d’échec du changement :  Quel pourcentage de modifications apportées à la production ou diffusées aux utilisateurs entraînent une dégradation du service (voire même une interruption du service) et nécessitent ensuite une correction (que ce soit un correctif, une restauration, un patch…))?
• La fiabilité : c'est-à-dire dans quelle mesure vos services répondent aux attentes des utilisateurs, telles que la disponibilité et les performances.

Il n’y a pas de bonne ou de mauvaise réponse à chacune de ces métriques mais une réponse acceptable pour les équipes ou les utilisateurs. Une bonne pratique serait de déterminer ces métriques par application ou par criticité de service et de créer des clusters avec des outils dédiés et adaptés à la surveillance de chaque objectif.

Devops 2.0 ? Ou DevSecOps ?

Face à ces accélérations et nouveaux enjeux, les équipes DevOps cherchent maintenant à mettre en place des outils offrant la capacité de gérer les deux grandes phases du développement

• La boucle intérieure : Il s’agit des tâches liées au développeur : coder, tester, construire.
• La boucle extérieure : Il s’agit des activités d’intégration et de déploiement et de mise en production.

Cette première phase correspond aux outils et moyens utilisés par le développeur. Les risques sont à ce niveau limité, car, à ce stade, les actions n’affectent que l’environnement du développeur. (Sous-entendu que les jeux de tests soient anonymisés pour garantir une complète sécurité et que les postes des développeurs soient correctement identifiés et protégés)

Le premier moment sensible est le transfert d’une « modification du code » vers la boucle extérieure, c’est-à-dire que le développeur va intégrer du nouveau code dans l’espace commun. Ce qui aura pour résultat de lancer toute la chaine d’intégration, de tests et de déploiement. Cela aura un impact sécurité, financier ou de disponibilité, jusqu’au consommateur final.

Les équipes qui combinent le contrôle de version et la livraison continue sont 2,5 fois plus susceptibles d'avoir des performances de livraison de logiciels élevées que les équipes qui ne se concentrent que sur un seul.

En conclusion, après une phase de découverte, puis d’hyper croissance, nous arrivons à une phase où les risques sont acquis et peuvent devenir explosifs (fuite de données, incidents techniques majeurs, …) Plus que jamais, ce qui fait l’essence du cloud doit être mesuré pour être maitrisé. En mettant en place et en analysant les bons indicateurs, l’ensemble des acteurs du Cloud peuvent s’assurer du respect des politiques de sécurité, financière et de la bonne gouvernance du cloud.

Sources: 2022 State of DevOps Report (https://cloud.google.com/devops/state-of-devops)

William Marcq, Ingénieur avant-vente ITOM Micro Focus, maintenant OpenText