Avant de bénéficier de tous les apports d’une approche cloud native en termes de scalabilité, de disponibilité ou d’innovation, une entreprise doit révéler un certain nombre de défis. Voici les quatre principaux :
1. Faire face à la pénurie de compétences
Une récente étude d’OutSystems pointe le manque de compétences et d’expertise en interne comme un des principaux freins à la généralisation de l’approche cloud native.
Architect cloud, tech lead, développeur full stack… tous ces profils spécialisés connaissent actuellement des tensions sur le marché de l’emploi. Dans le même temps, 44 % des décideurs interrogés dans l’étude estiment que le recours aux technologies cloud native constitue un levier d’attractivité et de rétention des talents.
La pénurie devrait toutefois s’estomper dans les années à venir. Chief technology officer chez WeScale, Pablo Lopez note une inflexion du contenu des cursus de formation initiale. « Les écoles d’ingénieurs commencent à prendre en compte les technologies de conteneurisation et Kubernetes. Les futures promotions seront formées nativement aux plateformes cloud. »
2. S’affranchir de la complexité technologique
Passer d’applications monolithiques à l’approche granulaire du cloud native grâce à une architecture en micro-services suppose une réelle montée en compétences. « Les entreprises vont dans le cloud par tâtonnements », observe Pablo Lopez. « Elles doivent maintenir l’existant tout en se formant aux technologies de rupture. »
Alors que les providers cloud proposent un portefeuille très riche avec une dizaine de nouveaux services tous les mois, la DSI doit réaliser une veille permanente, puis évaluer l’apport réel de ces technologies afin de retenir les meilleures en termes de performances, de sécurité et de modèles de coûts.
Selon l’expert, deux approches sont possibles. « Une entreprise peut mettre en place de nouvelles équipes opérationnelles dédiées aux technologies de cloud native qui embarquent le reste de la DSI. Au risque que celles-ci soient regardées avec envie. » Autre possibilité : opter pour une transformation globale. « Ce qui suppose d’importants efforts en formation, mais aussi une résistance au changement plus élevée. »
Pour contourner la difficulté, des grands comptes comme Société Générale, EDF, ADP ou Engie ont mis en place un centre d’excellence cloud (CCoE). Ce noyau d’expertise a pour objectif de masquer la complexité des projets, en vulgarisant le propos, en sélectionnant un nombre restreint de services cloud et en donnant des trajectoires pour atteindre le Graal du cloud native. Des sociétés « digital native » se sont, elles, dotées d’équipes SRE (Site Reliability Engineering) pour diffuser les bonnes pratiques.
3. Maîtriser les coûts opérationnels
Plus besoin de configurer de serveur physique, les équipes IT peuvent avec le cloud créer un environnement de développement et de tests en quelques clics. Ce qui peut inciter à la surconsommation. « S’il existe des mécanismes de seuil, la capacité à prédire les coûts du cloud reste complexe », juge Séven Le Mesle, cofondateur et président de WeScale. « Ils dépendent, entre autres, de la charge du trafic et des systèmes d’enchères mis en place par les providers. »
« Les DSI raisonnent plus sous forme d’enveloppes que de montants fixes. Ce qui perturbe les équipes financières habituées à gérer un budget à l’euro près », poursuit-il. « Quant à l’approche FinOps, on en parle beaucoup, mais elle est encore peu mise en œuvre. » A défaut, il existe des solutions dédiées à l’optimisation des coûts du cloud comme CloudCheckr de NetApp, Beam de Nutanix ou CloudHealth de VMware.
4. Appréhender les nouveaux risques de sécurité
Enfin, l’approche cloud native conduit à un changement de paradigme en matière de cybersécurité. « Dans un environnement on-premises, il suffit de construire un mur suffisamment solide autour des applications pour contrer les attaques », rappelle Pablo Lopez. « Le cloud native fait éclater ce schéma. En multipliant les points d’entrée, on augmente la surface d’attaque. » Le cloud native conduit donc à repenser la sécurité en réduisant notamment les comptes à privilèges et en limitant au strict minimum l’accès aux services et aux données.
Toutefois, la sécurité « by design » n’est pas encore naturelle, constate Séven Le Mesle. « La DSI adopte entre autres les technologies cloud pour donner davantage d’autonomie à ses développeurs. Or, ceux-ci n’ont pas toujours une forte conscience des enjeux de sécurisation et les équipes de sécurité se retrouvent débordées. » Les hackers utilisent notamment les « exploits » publiés sur les plateformes de dépôt de code de type GitHub.
« L’approche DevSecOps devrait permettre à tout un chacun d’être responsable de la sécurité sachant qu’il a fallu cinq ans pour que le DevOps se généralise. » En attendant, Séven Le Mesle note l’émergence d’un nouveau rôle. Celui de cyberchampion qui évangélise et diffuse les bonnes pratiques au sein des équipes IT.