Cloud
Le Cigref publie un référentiel pour l’achat de services cloud de confiance
Par La rédaction, publié le 01 juillet 2024
Quelques jours après la publication par le Clusif de 15 critères pour évaluer le niveau de Confiance d’un Cloud, le Cigref publie à son tour un imposant cahier des charges offrant aux DSI une méthodologie très complète pour évaluer les fournisseurs de « cloud de confiance » comportant plus de 250 critères sur la performance, la sécurité, la conformité et l’impact environnemental de leurs services cloud.
Les tergiversations autour de l’EUCS n’ont pas fait disparaître les enjeux de souveraineté et de sécurité des données liés au Cloud. La nécessité de s’appuyer sur un « Cloud de Confiance » demeure une condition sine qua non pour les OIV, les OSE, et les administrations mais aussi souvent un besoin exprimé par des DSI de grandes entreprises désireux d’adopter les meilleures pratiques (ou les plus contraignantes, c’est selon).
Le Cigref, association regroupant les grandes entreprises et administrations publiques françaises, publie un document de référence, une véritable bible pour l’acquisition de services cloud « de confiance ». Ce « Cahier des Clauses Techniques Particulières (CCTP) pour l’achat de services de cloud public PaaS dans un environnement de confiance » est un volumineux (136 pages !) cahier des charges technique à intégrer dans vos appels d’offre Cloud. Il représente aussi une sorte de guide pour standardiser les exigences et les bonnes pratiques en matière de cloud computing.
Autant le Clusif s’était attaché mi juin à de grandes lignes directrices et des éclaircissements de définition, autant le Cigref offre ici une approche très exhaustive, très pratique mais aussi forcément un rien indigeste pour aider les entreprises à définir leur cahier des charges d’un cloud de confiance adapté à leurs besoins.
Fruit d’un travail collaboratif au sein du groupe de travail “cloud de confiance” du Cigref, cette édition de juin s’appuie sur le document de référence « Trusted Cloud » rédigé en anglais et publié par le Cigref fin 2023. Ce nouveau guide est d’ailleurs l’adaptation française du TSB (Technical Specifications Book) en langue anglaise qui accompagnait le document de référence.
Ce CCTP se veut un outil précieux pour aider les DSI à structurer leurs appels d’offres et à évaluer les propositions des fournisseurs de services cloud (CSP). Il couvre un très large éventail de sujets allant des aspects techniques aux considérations juridiques et environnementales.
À LIRE AUSSI :
Bien évidemment, ce cahier des charges permet aux DSI de définir une description exhaustive des services cloud attendus, couvrant les modèles IaaS, PaaS, CaaS, FaaS et SaaS mais aussi, au-delà, des services de base autour de l’intelligence artificielle, de l’Internet des Objets (IoT), et des outils DevOps.
Une attention toute particulière est évidemment portée à la sécurité et à la conformité avec notamment la définition d’exigences strictes en matière de protection des données, de gestion des accès, et de respect des réglementations en vigueur. Le cahier des charges aborde notamment la question cruciale de l’immunité face aux lois extraterritoriales. Mais il accorde aussi une place tout aussi prééminente à la gestion des données avec une liste de points à contrôler autour du stockage, de la localisation des données, et de leur portabilité et réversibilité.
Sans surprise également, il donne une liste exhaustive de spécifications attendues sur la performance et la disponibilité des services. Le document établit des critères précis pour les niveaux de service attendus, la gestion des incidents, et les plans de continuité d’activité.
S’y ajoutent également des spécifications/exigences en matière de reporting, de gestion des coûts et de transparence. Toute une partie est dédiée à l’interopérabilité et à l’évolutivité des solutions avec une série de contrôles pour vérifier que les organisations pourront bien combiner différentes solutions cloud aisément et faire évoluer leur infrastructure cloud selon leurs besoins.
Enfin, le document n’oublie bien évidemment pas les enjeux environnementaux, avec notamment des critères spécifiques sur l’efficacité énergétique des datacenters et leur impact environnemental avec notamment l’existence d’outil de mesure de l’impact carbone, d’indicateurs et certifications autour de l’optimisation du cycle de vie des matériels et de métriques autour de l’économie d’eau et d’optimisation de la chaleur.
Ce cahier des charges s’accompagne de trois fichiers Excel à télécharger conçus pour aider les DSI à évaluer les réponses des différents fournisseurs de services cloud envisagés :
– Une matrice de conversion, qui trace l’origine des exigences dans le cahier des charges technique, facilitant ainsi la compréhension et la localisation de chaque exigence dans le document de référence du cloud de confiance.
– Une grille de réponses, destinée aux fournisseurs, qui classe les questions/exigences en deux catégories : les questions fermées « OUI-NON » et les questions ouvertes nécessitant une réponse détaillée.
– Une grille d’évaluation, qui permet d’attribuer une note aux réponses des fournisseurs pour chaque exigence du cahier des charges techniques.
Au final, ce cahier des charges constitue un utile cadre de référence – aussi bien pour les organisations clientes que pour les fournisseurs de service cloud – qui pourrait contribuer à standardiser les pratiques du marché et à élever le niveau global de sécurité et de performance des services cloud. Mais c’est surtout un modèle ultra-exhaustif que chaque DSI devra amender et personnaliser (notamment en y retirant les clauses inutiles) en fonction des besoins de son organisation et joindre son appel d’offres. Un travail chronophage certes, mais certainement bien moindre que d’avoir à préparer « from scratch » un tel document.
Pour télécharger ce guide et ses fichiers connexes :
Cahier des charges technique à intégrer dans l’appel d’offre cloud de confiance
À LIRE AUSSI :
À LIRE AUSSI :