Dans le monde réel, une entreprise se doit de planifier son activité en prévision de quelconques événements perturbateurs. Même s'il est impossible de prévoir et de maîtriser la réponse à chaque événement perturbateur individuellement, il est possible de mettre en place un plan de continuité d'activité (PCA) pour limiter ou éliminer les perturbations des activités de l'entreprise.
Ce PCA doit inclure les différents prestataires de l'entreprise, l'un des plus populaires en 2022 est le fournisseur de cloud public.
Dans cet article, nous allons parler des contraintes liées à la continuité pour une entreprise. En quoi une approche multicloud permet de répondre à ses besoins de continuité et enfin, nous verrons une implémentation d'architecture multicloud.
Afin de mieux identifier les contraintes et de restreindre un minimum le périmètre de l'article, nous avons choisi de prendre l'exemple d'une entreprise dans le secteur de la finance.
Le secteur financier est un secteur parmi les plus réglementés au monde. Une entreprise française dans ce domaine se doit de respecter différentes réglementations :
Les accords de Bâle ont introduit la notion de risque opérationnel défini comme « pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes ». Le système d’information de l’entreprise doit être maîtrisé au même niveau que les activités de l’entreprise.
DORA est une loi qui a pour objectif le renforcement de la résilience face aux incidents liés au système d’information. Les prestataires sont explicitement inclus dans cette loi afin d’être tenus aux mêmes obligations que l’entreprise elle-même.
DORA impose la mise en place de processus et de contrôles unifiés à travers l’Europe pour vérifier que le système d’information de l’entreprise possède un plan de continuité d’activité robuste et qu’il est testé régulièrement.
L'European Banking Authority dédie une section entière de recommandations sur le plan de continuité d'activité lors de l'utilisation d'un prestataire de services cloud public en entreprise. En synthèse, l'entreprise doit être capable de continuer ses activités malgré un défaut de la part du prestataire. L'entreprise doit avoir un plan de retrait vis-à-vis du prestataire si le service se dégrade de manière inacceptable et que la prestation devrait être transférable chez un autre prestataire.
En plus de cela, l'entreprise doit s'assurer qu'en cas de retrait de l'engagement avec le prestataire cloud public, les impacts sur la fourniture des services soient minimaux.
Ces recommandations faites par l'EBA nous indiquent clairement que, pour qu'une entreprise qui consomme du cloud public soit capable d'assurer la continuité de ses activités, il est recommandé d'avoir recours à plusieurs prestataires de cloud public en parallèle.
Dans ce contexte réglementaire, une approche multicloud semble recommandable.
Le multicloud consiste à utiliser deux fournisseurs ou plus de services cloud public en parallèle.
Plusieurs cas d'usages sont possibles pour le multicloud, en voici quelques exemples :
Dans le cas de notre entreprise française qui est contrainte par ses problématiques de continuité, nous allons choisir le dernier cas d'usage (actif-actif).
Pour cette architecture, il est important de citer quelques points d'attentions :
Imaginons maintenant une situation de crise pour l'entreprise, le cloud public Amazon Web Services (AWS) est en panne à la suite d'une catastrophe naturelle. L'entreprise se doit de fonctionner malgré le contexte de catastrophe.
Comme mis en avant lors de l'explication de l'architecture, celle-ci a été conçue pour permettre un transfert des applications d'un cloud public à un autre. Les différents conteneurs déployés sur AWS, utilisant les images hébergées on-premise, peuvent être déployés sur le cloud public Azure.
Cela permet à notre entreprise de respecter les contraintes de continuité même dans un contexte de crise grâce à l'approche multicloud.
Grâce à l'exemple de l'entreprise française du secteur financier qui consomme des services cloud public, nous avons pu comprendre quelles pouvaient être les contraintes de continuité et comment une approche multicloud permettait de respecter lesdites contraintes.
Chaque secteur d'activité (santé, service public, militaire, ...) possède ses propres contraintes de continuités, cependant en cas d'utilisation de cloud public par l'entreprise, une approche multi-cloud reste une solution viable pour ne pas subir d'interruption de service en cas de crise.