FinOps Cloud : passer du reporting à l'action

La plupart des entreprises que nous accompagnons découvrent, après un audit FinOps de deux semaines, qu'entre 25 et 40 % de leur facture cloud est gaspillée : instances surdimensionnées, snapshots orphelins, environnements de dev allumés le week-end, NAT Gateways oubliés. Le problème n'est presque jamais technique. Il est organisationnel : personne n'est explicitement responsable du coût d'une ressource.

Voici comment structurer une démarche FinOps qui produit des résultats mesurables en 90 jours, sans transformer vos équipes en comptables.

Les trois phases du framework FinOps Foundation

Le framework de référence (FinOps Foundation, version 2024) découpe la pratique en trois phases itératives :

| Phase | Objectif | Durée typique | |-------|----------|---------------| | Inform | Visibilité, allocation, benchmarking | 4-6 semaines | | Optimize | Rightsizing, commitments, suppression | 6-12 semaines | | Operate | Gouvernance continue, automatisation | Permanent |

L'erreur classique consiste à sauter directement à Optimize en achetant des Savings Plans. Sans allocation propre, vous ne saurez pas qui consomme, ni mesurer le ROI.

Phase 1 : Inform — l'allocation par tags

Une politique de tagging stricte est le socle. Sur AWS, activez Cost Allocation Tags dans Billing, puis imposez via SCP (Service Control Policy) ou Azure Policy un jeu minimal :

• environment (prod, staging, dev)
• team ou cost-center
• application
• owner (email)

Exemple de politique AWS qui refuse la création d'une instance EC2 sans tag cost-center :

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "arn:aws:ec2:*:*:instance/*",
    "Condition": {
      "Null": {"aws:RequestTag/cost-center": "true"}
    }
  }]
}

Côté outillage, OpenCost (CNCF, ex-Kubecost) couvre l'allocation Kubernetes multi-cloud et s'intègre proprement à Prometheus. Pour le reporting global, Cloudability, Vantage ou les AWS Cost and Usage Reports exportés vers Athena/QuickSight restent les options les plus matures en 2025.

Phase 2 : Optimize — par ordre de ROI décroissant

1. Suppression du gaspillage évident

C'est le quick win. Sur un compte AWS moyen, on identifie en quelques heures :

• Volumes EBS available (non attachés)
• Snapshots antérieurs à 90 jours sans politique de rétention
• Elastic IPs non associées (3,60 €/mois pièce, ça s'accumule)
• Load Balancers à zéro requête
• NAT Gateways en doublon par AZ alors que le trafic est marginal

Un script aws-nuke en mode dry-run ou Steampipe avec ses requêtes SQL sur l'API cloud suffisent à dresser l'inventaire :

select volume_id, size, region
from aws_ebs_volume
where state = 'available';

2. Rightsizing

AWS Compute Optimizer, Azure Advisor et GCP Recommender produisent des recommandations basées sur 14 jours de métriques CloudWatch/Monitoring. Filtrez les recommandations avec un risque faible et un gain > 20 % pour commencer. Sur des workloads stables, le passage de m5 à m7g (Graviton) apporte typiquement 20 % d'économie sans effort, à condition que vos images soient arm64.

3. Commitments : Savings Plans et Reserved Instances

Règle pragmatique : ne réservez que la baseline stable observée sur 30 jours minimum. Un mix typique :

• 60-70 % en Compute Savings Plans 1 an (flexibilité famille/région)
• 10-20 % en RI standard 3 ans pour les bases RDS critiques
• Le reste en On-Demand / Spot

Sur GCP, les Committed Use Discounts (CUD) flexibles introduits en 2023 offrent une logique proche des Savings Plans AWS. Azure propose les Savings Plans for Compute depuis fin 2022.

4. Spot et autoscaling agressif

Pour les workloads stateless (CI, batch, inférence ML non critique), Karpenter sur EKS consolide les pods et bascule sur Spot avec une économie de 60-80 %. Sur GKE, les Spot VMs combinées au Cluster Autoscaler produisent un résultat équivalent.

Phase 3 : Operate — gouvernance continue

Le FinOps échoue quand il reste un projet ponctuel. Industrialisez :

• Budgets et alertes par équipe (AWS Budgets, Azure Cost Management) déclenchant un webhook Slack à 80 % de consommation
• Showback mensuel : chaque équipe reçoit son coût détaillé, idéalement intégré au dashboard d'ingénierie
• Policy-as-code avec OPA ou Cloud Custodian pour bloquer en amont les anti-patterns (instance xlarge en dev, bucket S3 sans lifecycle)
• KPI clé : coût unitaire (€ par transaction, par utilisateur actif, par requête API) plutôt que coût brut. C'est le seul indicateur qui suit l'efficacité réelle quand le business croît.

Exemple de règle Cloud Custodian qui éteint les instances dev hors heures ouvrées :

policies:
  - name: stop-dev-instances-off-hours
    resource: aws.ec2
    filters:
      - "tag:environment": dev
      - State.Name: running
    actions:
      - type: stop

Checklist de démarrage (30 jours)

• [ ] Activer les Cost Allocation Tags sur tous les comptes
• [ ] Définir et documenter 4-5 tags obligatoires
• [ ] Imposer le tagging via SCP / Azure Policy / Org Policy
• [ ] Brancher Cost Explorer / Cloud Billing Export sur BigQuery ou Athena
• [ ] Lancer un premier audit gaspillage (volumes, IPs, snapshots)
• [ ] Identifier la baseline stable pour un premier Savings Plan 1 an
• [ ] Nommer un FinOps champion par équipe produit

À retenir

• Le FinOps est une discipline d'allocation et de responsabilité avant d'être une optimisation technique : sans tags propres, aucune action n'est mesurable.
• Suivez l'ordre quick wins → rightsizing → commitments. Acheter des Savings Plans sur une infrastructure non optimisée fige le gaspillage pour 1 à 3 ans.
• Le bon KPI est le coût unitaire, pas la facture totale. Une facture qui croît avec un coût unitaire qui baisse, c'est un succès.
• Outillez la gouvernance avec du policy-as-code (OPA, Cloud Custodian) plutôt que des revues manuelles trimestrielles.
• Visez 20-30 % d'économies sur 90 jours : c'est un objectif réaliste et reproductible sur la majorité des environnements cloud non encore matures.