La migration cloud est présentée comme une évidence par les prestataires IT, les éditeurs et parfois les medias spécialisés. Elle l'est parfois. Mais elle peut aussi être l'un des investissements les plus coûteux et les plus déstabilisants qu'une PME puisse entreprendre — si elle est décidée sans cadre de gouvernance adapté.

Ces douze questions ne sont pas une liste de contrôle administrative. Ce sont les questions que pose un DSI expérimenté avant de recommander ou de valider une migration cloud. Chacune porte un risque réel si elle reste sans réponse documentée.

⚠ Point d'attention

Un prestataire cloud qui minimise ou contourne ces questions lors de la phase commerciale mérite une vigilance accrue. Ces sujets ne sont pas des obstacles à la vente — ce sont les conditions d'un projet réussi.

Éligibilité et préparation

?Nos applications métiers sont-elles nativement cloud-compatible ?

Beaucoup d'applications legacy ont des dépendances incompatibles avec un environnement cloud (fichiers locaux, licences machine-bound, latence réseau critique). Tester en préproduction est non négociable.

?Quelles données sont soumises à des contraintes de souveraineté ou de localisation ?

Données de santé (HDS), données de défense, données couvertes par le RGPD : certaines catégories imposent une hébergement sur sol européen ou français. Cette contrainte doit être identifiée avant toute consultation.

?Quel est le niveau de dépendance réseau de nos processus critiques ?

Une infrastructure cloud suppose une connectivité permanente et fiable. Si vos sites de production ou entrepôts ont des connexions instables, le cloud n'est peut-être pas adapté à tous vos usages.

Choix du modèle et du prestataire

?IaaS, PaaS, SaaS — quel niveau d'abstraction pour quel usage ?

Ces trois modèles n'offrent pas le même niveau de contrôle ni la même responsabilité. Confondre un déplacement IaaS (infrastructure) avec une vraie migration SaaS (service applicatif) génère des surcoûts de gestion non anticipés.

?Quelles sont les options de réversibilité et les coûts de sortie ?

La dépendance technologique (vendor lock-in) est le risque le plus sous-estimé. Avant de signer : coût d'extraction des données, format de portabilité, délai de restitution, clauses contractuelles en cas de résiliation anticipée.

?Le contrat de service (SLA) couvre-t-il vraiment vos besoins de continuité ?

Un SLA à 99,9% signifie 8,7 heures d'indisponibilité autorisée par an. Ce chiffre est-il acceptable pour vos processus les plus critiques ? Et que couvre exactement le SLA — disponibilité de la plateforme ou de votre service ?

Sécurité et conformité

?La répartition des responsabilités sécurité est-elle clairement définie ?

Le modèle de responsabilité partagée (shared responsibility model) définit ce que le prestataire cloud sécurise et ce qui reste de votre responsabilité. Cette ligne est souvent mal comprise — et source de failles non couvertes.

?Le prestataire est-il certifié HDS, ISO 27001, SecNumCloud selon vos besoins ?

Ces certifications ne sont pas interchangeables. HDS est obligatoire pour les données de santé. SecNumCloud est la référence française pour les données sensibles. ISO 27001 est un indicateur de maturité organisationnelle.

?Comment sont traités les incidents de sécurité ? Quelle notification ?

En cas d'incident sur l'infrastructure du prestataire affectant vos données, quel délai de notification ? Quelle assistance forensique ? Ces questions doivent être contractualisées avant le démarrage.

Gouvernance et coûts

?Avons-nous modélisé le coût total sur 3 ans, y compris les coûts variables ?

Le cloud peut être moins cher — ou beaucoup plus cher — selon votre profil de consommation. Les coûts variables (stockage, transfer de données, instances à la demande) sont régulièrement sous-estimés dans les business cases initiaux.

?Qui pilote la gouvernance cloud une fois la migration réalisée ?

Une migration cloud sans gouvernance des ressources (FinOps) génère systématiquement des dérives budgétaires. La question de qui surveille, optimise et arbitre les dépenses cloud doit être tranchée avant le lancement.

?Quel est le plan de sortie si nous changeons de prestataire dans 3 ans ?

Penser la sortie avant d'entrer, c'est la marque d'une gouvernance mature. Les prestataires qui refusent de détailler leur procédure de réversibilité méritent d'être questionnés sur cette réticence.

Le rôle du DSI : indépendance et objectivité

Ces questions n'ont de valeur que si elles sont posées par quelqu'un d'indépendant du prestataire consulté. Un DSI à temps partagé n'a aucun intérêt à favoriser un hébergeur plutôt qu'un autre, un modèle cloud plutôt qu'un hybride on-premise/cloud, ou une migration rapide plutôt qu'une approche progressive. Son seul intérêt est le vôtre.

Cette indépendance est structurelle dans le modèle KRS-Conseil : nos experts ne sont liés à aucun prestataire technique, ne perçoivent aucune commission sur les contrats négociés, et n'ont aucun intérêt à recommander une solution plutôt qu'une autre.

Conclusion

Une migration cloud réussie n'est pas une migration rapide. C'est une migration préparée, contractualisée, pilotée et gouvernée. Les entreprises qui bâclent la phase amont récupèrent systématiquement les problèmes que la phase amont avait pour mission d'éviter.

La bonne question à poser avant de signer n'est pas « combien ça coûte par mois ? » — c'est « qui, de notre côté, pilote cette migration de bout en bout ? »