Un catalogue de services cloud bien pensé doit proposer aux utilisateurs métiers des outils qui répondent réellement aux usages qu'ils recherchent. Ce principe de base implique de réfléchir en amont avec les métiers aux services qu'ils voudraient trouver sur un portail d'entreprise et prendre en main rapidement. « Si on ne propose pas des services qui se consomment facilement, ils ne seront pas utilisés », a d'emblée posé Jean-Claude Bellando, directeur Solution Marketing chez Axway, lors de la table ronde organisée sur ce thème par le club de la presse informatique B2B (CPI-B2B), cette semaine à Paris.

« Le sujet, c'est l'usage. Un cloud privé qui réussit propose des services prêts à l'emploi », a confirmé à sa suite Jean-Marc Defaut, directeur de l'activité Cloud Computing chez HP France. Les utilisateurs adopteront des outils ayant pour eux une réelle valeur et qu'ils pourront exploiter immédiatement, de la même façon qu'ils ont pu consommer un logiciel tel que Dropbox pour stocker des fichiers dans le cloud, dès sa prise en main, fait remarquer un intervenant. La première démarche consiste donc à interroger les utilisateurs qui vont accéder à ces services pour savoir ce qu'ils veulent, rappelle Anas Safla, consultant Manager Cloud chez Econocom/Osiatis. Il faudra ensuite déterminer qui va consommer les services (opérateurs, machines, applications) pour pouvoir les automatiser, les orchestrer et les standardiser afin de les délivrer avec un niveau de qualité de service.

Limiter l'effet du « shadow IT »

« L'offre de services doit être le plus possible alignée avec le business », a confirmé de son côté Jean-Luc Couasnon, responsable conseil en infrastructures chez Accenture, tout en soulignant qu'elle devait également être gérée elle-même comme un business avec la possibilité, notamment de pouvoir facturer les services. Et pour limiter l'effet du « shadow IT » qui conduit les utilisateurs à employer des logiciels non validés par la direction informatique, cette dernière doit aujourd'hui se transformer en fournisseur de services en gardant en tête quatre critères : la valeur, le prix, le délai et le plaisir d'utilisation des outils, a souligné Jean-Marc Defaut. Avec la propagation des terminaux mobiles, on sait maintenant que les utilisateurs veulent accéder en entreprise à une expérience équivalente à celle que leur apportent les apps mobiles qu'ils consomment dans la vie courante. Si l'un d'eux veut se servir d'un logiciel SaaS comme Evernote (pour la prise de notes), il le fera, même si on lui interdit. Et si on ne met pas à sa disposition les outils qui l'intéressent dans un cadre sécurisé, l'utilisateur passera outre et risquera d'y gérer malgré tout des données confidentielles. Au passage, Jean-Marc Defaut glisse qu'en matière de sécurité IT, on a fait le deuil de la théorie du château fort. On sait qu'il y aura des intrusions, l'important est de les repérer suffisamment tôt pour y remédier.

Pour le directeur de l'activité Cloud Computing chez HP France, le service est la seule façon de traiter le shadow IT. Avec au coeur du problème, « l'usage », toujours.  Il faut absolument offrir à l'utilisateur le service dont il a besoin « ou un niveau de service équivalent ».

L'IT reprend la main sur des services du marché

« Le shadow IT représente 40% des coûts informatiques », a rappelé de son côté Jean-Luc Couasnon, d'Accenture. Lui distingue trois domaines : premièrement, le catalogue de services géré par l'IT avec un DSI gardien du « château fort », deuxièmement, le terrain de l'innovation qui permet à de grands groupes industriels de laisser à leurs équipes R&D d'utiliser en partie les outils qu'elles veulent dans un cadre sécurisé, et troisièmement les outils privés qui, s'ils sont mal gérés, ont un coût pour l'entreprise.

Concrètement, il faut pouvoir mettre aussi dans le catalogue de services des outils qui, s'ils n'ont pas été proposés par l'IT, ont au moins été validés par l'IT. Partant de ce constat, on a pu voir ainsi des groupes comme Google ou HP laisser leurs salariés utiliser Office de Microsoft pour l'un ou Drive de Google pour l'autre. « On voit l'IT reprendre la main sur des services disponibles sur le marché », a confirmé Jean-Claude Bellando. « Il faut sinon mettre en place un service équivalent ».

L'arrivée des « citizens developers » dans les métiers

Concernant ensuite la façon d'exposer les services, le directeur Solution Marketing d'Axway constate l'arrivée de « citizen developers ». Ces derniers sont décrits par le cabinet d'études Gartner comme des utilisateurs autorisés à créer des applications qui seront consommées par d'autres utilisateurs. Pour les développer, ils utilisent des environnements validés par la DSI. Auparavant, ces possibilités se limitaient à des outils comme Excel ou Access de Microsoft. Aujourd'hui, des utilisateurs peuvent bâtir diverses applications utilisant des services partagés et qui peuvent être proposées au sein d'une équipe, mais aussi à l'échelle de l'entreprise ou même proposées en mode public, selon Gartner.

« Nous voyons ainsi arriver chez nos clients deux niveaux d'API Gateway », constate Jean-Claude Bellando. Le premier niveau relève du domaine de l'ITIL. Il s'agit là de services assez complexes qui concernent l'existant. Un filtrage s'effectue à la volée pour exposer uniquement la fonction qui va être utilisée par l'application. Par exemple, le numéro d'un compte bancaire et son solde si l'objectif est de consulter le solde d'un compte. « Il y a un deuxième niveau qui consiste à construire de nouvelles API beaucoup plus facilement consommables par le citizen developer », explique Jean-Claude Bellando. Il cite en exemple un service de transfert de fichiers proposé aux métiers qui donne certains droits à des responsables locaux.

Superviser et facturer les services

Se pose par ailleurs la question de la supervision de ce catalogue de services. Jean-Luc Couasnon, d'Accenture, rappelle que la distribution de services se pilote et se mesure à la consommation. Ce qui peut réserver quelques surprises aux directions métiers lorsqu'elles ont consommé un peu trop certains services et que la facture arrive. Certaines entreprises n'ont pas mis en place de supervision et, de ce fait, ne savent pas quand les services tombent ni combien ils coûtent.

Jean-Claude Bellando évoque la possibilité de mettre le service directement à disposition de l'utilisateur final depuis le mainframe, par exemple, avec la Gateway au milieu, charge à cette couche d'intermédiation de faire le tampon pour que le service ne tombe pas. On peut facturer à la volée et interdire l'accès à certains utilisateurs si leurs requêtes consomment trop de ressources. « On ne peut pas aujourd'hui mettre dans un catalogue des services qui ne sont pas monitorés », considère pour sa part Anas Safla, d'Econocom/Osiatis. « Dès qu'un service sera inscrit au catalogue, il faudra le monitorer pour savoir, s'il tombe, quels seront les utilisateurs impactés ». De la même façon, Jean-Marc Defaut, de HP, pointe que les services du catalogue doivent être supervisés, ne serait-ce que pour le capacity planning. Il faut pouvoir disposer d'une analyse d'impact « parce qu'il n'y a quasiment pas d'intervention humaine », rappelle-t-il. Enfin, en facturant les services à l'utilisation, la Direction des systèmes d'information passe de la posture de forgeron à celle de marchand, rappelle-t-il par ailleurs. Elle peut alors se poser la question du prix marché d'un service sur lequel se caler. Et en tout état de cause, elle se doit de piloter la qualité de service, conclut Jean-Luc Couasnon.