Un document officiel, mais estampillé « confidentiel », était encore récemment accessible à tous sur le site web d'Oracle (désormais indisponible). Mis à jour le 1er décembre, il détaillait les politiques et les engagements du service cloud d'Oracle vis-à-vis de ses clients, rapportent nos confrères d'IDG News Service. Si de nombreux aspects y sont en conformité avec les standards de l'industrie, d'autres devraient éveiller l'attention des utilisateurs. Si bien que les analystes recommandent aux clients de lire ces conditions dans le détail. Le document publié ne concerne pas les conditions particulières éventuellement définies dans des accords contractuels.

Cette année, Oracle a lancé une gamme importante de services cloud, parmi lesquels un service IaaS (Infrastructure as a Service), un service PaaS (Platform as a service), ses applications de gestion Fusion et un réseau social. Ray Wang, analyste et CEO de Constellation Research, qui a lu le document la semaine passée après sa mise en ligne, constate que, « à plusieurs égards, les politiques d'Oracle sont en conformité avec les principes énoncés dans les droits des clients du cloud », récemment publiés par son cabinet. Mais les utilisateurs devraient cependant regarder de près certains points, comme celui qui permet à Oracle de désactiver l'accès aux comptes en cas de litige ou en cas de violation du compte. « Les clients devraient pouvoir obtenir des éclaircissements sur les incidents susceptibles d'entrainer une interruption temporaire du service», a déclaré Ray Wang. « Contrairement aux logiciels sur site, l'interruption de service est une préoccupation, de sorte que le processus et les motifs devraient être décrits avec précision ».

Des interruptions exceptionnelles de service

Un autre analyste porte un regard plus critique sur les politiques du cloud d'Oracle. « L'affirmation selon laquelle Oracle s'engage à une disponibilité de 99,5 % sonne bien, jusqu'à ce que l'on comprenne que ce taux est mesuré par rapport à la disponibilité planifiée », a déclaré l'analyste Frank Scavo, président du cabinet-conseil IT Strativa. « Oracle s'autorise une certaine liberté vis-à-vis de « ces temps d'arrêt imprévus », et certains me paraissent trop généreux », fait remarquer l'analyste. Par exemple, Oracle s'accorde le droit d'interrompre exceptionnellement le service en cas d'indisponibilité des services d'administration et de gestion, incluant les services de reporting ou d'autres services entrant dans le traitement des transactions de base, relève Frank Scavo. « Dans la mesure où la disponibilité des composants du système est sous le contrôle d'Oracle, pourquoi faire de leur indisponibilité une exception ? », se demande-t-il.

« Ailleurs, Oracle déclare, d'un côté, qu'il assume la responsabilité de la sécurité du cloud, y compris le renforcement du système. Mais il fait une exception à son contrat de niveau de service dans le cas d'un piratage ou d'une attaque par un virus », s'étonne l'analyste. « Le vendeur est également le mieux placé pour contrer une attaque par déni de service, et donc de telles attaques ne devraient pas permettre à Oracle de se soustraire à sa promesse de disponibilité », estime Franck Scavo. [[page]]

Le président du cabinet Strativa conteste également la réticence apparente d'Oracle de permettre aux clients d'effectuer une surveillance indépendante de ses services cloud. « Les exceptions concernent Oracle Database Cloud Service et Oracle Java Cloud Service sauf si Oracle l'autorise expressément au moment de la commande », comme le précise le document relatif aux politiques. « Le motif invoqué ici par Oracle, c'est de s'assurer que les outils de surveillance ne nuisent pas aux services cloud », explique l'analyste. « Cependant, Oracle semble aussi vouloir empêcher qu'un script automatisé sans impact notable tournant dans le propre datacenter du client puisse envoyer une simple commande ping vers le cloud, disons une fois par minute, pour s'assurer que le système est disponible et en informer le client s'il constate un arrêt du service. Cette politique me semble aller trop loin. Les clients devraient exiger ce droit au contrôle indépendant pendant les négociations contractuelles », préconise l'analyste.

S'assurer que l'éditeur s'engage à dédommager

Un autre article devrait, selon Franck Scavo, susciter une attention particulière : celui qui indique qu'Oracle se réserve le droit d'effectuer des « changements majeurs » dans son infrastructure cloud jusqu'à deux fois par an. « Chaque événement de ce genre fait partie de la maintenance planifiée et peut provoquer une indisponibilité des services cloud pendant un maximum de 24 heures », précise le document. Franck Scavo conseille aux clients qui ont des contraintes de haute disponibilité très strictes de faire très attention à cette clause. « Les clients ont intérêt à s'assurer que le fournisseur s'engage par écrit à verser des dédommagements au cas où il ne respecte pas son engagement de disponibilité de service », a ajouté l'analyste. Or, beaucoup d'utilisateurs précoces de Fusion Applications d'Oracle ont opté pour le déploiement cloud en partie à cause de la complexité d'une installation sur site.

Oracle a choisi une approche prudente pour vendre Fusion : l'éditeur dit aux clients qui utilisent actuellement ses applications E-Business Suite, PeopleSoft et JD Edwards, qu'ils peuvent adopter le nouveau logiciel à leur propre rythme. Mais compte tenu du travail colossal investi par Oracle pour développer Fusion Applications, il semble évident qu'au fil du temps, l'éditeur espère faire migrer la plus grande partie de sa base installée vers ce produit. Il faudra donc être d'autant plus vigilant en examinant les politiques définies par Oracle pour ses services cloud.

Contacté par nos confrères d'IDG News Service, une porte-parole d'Oracle n'a pas souhaité commenter le sujet.