/fdata%2F4266034%2Favatar-blog-1212474526-tmpphpFMIwYn.jpeg){kind=avatar}
Depuis quelques mois un concept très à la mode consiste à envisager de migrer son informatique en "cloud computing" ou plus simplement en "cloud".
Est-ce un simple phénomène de mode ou une vraie vague de fond ? Pour ma part j'ai "mordu" dans le cloud dès que ces services ont existé: J'ai remplacé ma messagerie par GMAIL, puis mon système Office par Google Apps, et enfin l'archivage de tous mes documents sur l'espace Google Docs avec son moteur de recherche.
Dans toutes les entreprises où j'ai travaillé depuis 4 ans, j'ai préconisé et mis en oeuvre le cloud. Je suis donc un "fan". La vague du cloud est une vague de fond pour une raison extrêmement simple: c'est NETTEMENT moins cher que l'informatique traditionnelle.
Je reviendrai sur l'évaluation financière, mais il est clair que pour les "libéraux", TPE-PME c'est une évidence. Il n'y a que pour les grandes entreprises que ça peut se discuter. L'argument numéro un pour contester le passage (ineluctable) au cloud dans les grandes entités est justement la sécurité.
Mais avant d'aller plus loin dans l'argumentaire, il est fondamental de définir simplement et correctement ce qu'est le cloud (ou ce qu'il n'est pas) et également de définir en quoi consistent les critères qui permettent d'avaluer le risque que nous fait courir le cloud versus l'informatique traditionnelle.
Définition du cloud.
Le "cloud" consiste à disposer ses ressources informatiques -et notamment ses données mais aussi ses services applicatifs- quelque part sur internet de manière virtuelle et à y accéder avec simple navigateur web sans que l'on sache où ces ressources se situent.
Comme indiqué dans Wikipédia: "Cloud computing is computation, software, data access, and storage services that do not require end-user knowledge of the physical location and configuration of the system that delivers the services."
L'accès aux services du cloud comprend notamment la messagerie, la bureautique et certaines applications "métier" comme la paie, la comptabilité ou la gestion de la relation clients. Encore une fois, le point commun au cloud est de pouvoir accéder aux données à travers des applications web, sans se soucier ni de gérer des serveurs, ni de gérer des applications.
L'extrême simplicité du cloud basé sur le fait de disposer d'une connexion internet et d'un navigateur web, rend la conséquence parfaitement triviale: plus besoin d'informatique et d'informaticiens dans l'entreprise !
Ce qui N'EST PAS du cloud.
Certains considèrent que le cloud c'est juste un concept marketing de reformulation d'architectures et de solutions existantes. Non, le cloud est vraiment un concept nouveau. Par exemple le "mainframe" n'est pas du cloud. Il ne s'agit pas de connecter des terminaux à un ordinateur qui effectue tous les calculs, mais bien de connecter un ordinateur de type PC par internet et d'utiliser un navigateur, comme si on accédait à un site web. Les calculs se font bien en local à contrario du mainframe et l'interface homme-machine n'est pas fournie par le serveur, mais par le client.
L'outsourcing n'est pas non plus du cloud: en effet, l'outsourcing consiste à sous-traiter son informatique, donc de disposer -par exemple- ses
serveurs d'entreprise dans un datacentre autre que dans les sites de l'entreprise. Dans ce cas les données sont parfaitement localisées ce qui n'est pas le cas du
cloud.
Les critères de sécurité: DICP (Disponibilité - Intégrité - Confidentialité - Preuve)
Première remarque: et si la connexion internet tombe ? Voici le premier critère de disponibilité énoncé. Comparons avec l'informatique traditionnelle: Et si la connexion internet tombe on fait quoi ? Eh bien on s'arrête de travailler, en gros, parce qu'aujourd'hui la quasi totalité du travail est basé sur les emails qui necessitent une connexion internet. Donc le fait d'avoir sa messagerie en cloud en réalité AUGMENTE sa disponibilité car on pourra se connecter avec d'autres moyens que la connexion internet de l'entreprise, par exemple une connexion 3G, ou bien depuis un autre endroit, comme un cybercafé ou un hotel, voire un point d'accès WIFI...
Et quelle confidentialité a-t-on alors ?! L'accès à internet est soit en http (en clair) ou bien il est en https (le flux est crypté). On vérifiera alors que tout fournisseur de messagerie et autres services cloud apporte bien un accès par https. Ensuite on va considérer la confidentialité sur les serveurs du fournisseur. Autrement dit, est-ce que ce fournisseur est bien protégé des attaques de piratage ? Probablement bien mieux que la plupart des sites -même de grandes entreprises- parce que c'est son METIER, que d'héberger des données. Il reste le cas de figure des informaticiens indélicats. Encore une fois, comme c'est son métier, il sera beacoup plus attentif à ce phénomène que dans les grandes entreprises, où les informaticiens ont un accès quasi "régalien" aux données, y compris des dirigeants...
Je sais que je ne vais pas me faire que des amis à partir de cette phrase, mais le cloud permet alors aux Directions Générales de diminuer l'influence de ce véritable "Etat dans l'Etat" qu'est devenue l'informatique des grandes entreprises et administrations. Plus aucun informaticien "maison" n'aura accès aux documents ou aux emails des dirigeants...
Il reste un problème de confidentialité à gérer et non des moindres: Est-ce que le fournisseur de cloud est dans "notre camp" ? Autrement dit dans le contexte de guerre économique actuelle, celui-ci ne va t-il pas profiter du fait d'heberger nos données pour les livrer à une entreprise concurrente de la notre mais de même nationalité que le fournisseur ?
C'est possible, comme d'ailleurs le fait que des données confidentielles soient divulguées par des personnes d'une entreprise à une autre. En réalité, dès qu'un fichier se trouve quelque part sur un ordinateur, il est plutôt facile de le récupérer. La véritable façon de résoudre le problème est de CLASSER les données, puis de crypter les données sensibles par rapport aux autres. Une fois ces données cryptées il n'y a aucun inconvenient à les confier à un tiers. Ce crpytage passe par deux actions indépendantes mais toutes deux nécessaires:
- le cryptage des ordinateurs portables et autres supports amovibles: clefs USB, disuqes durs etc..
- le contrôle de l'accès aux données par une authentification forte, c'est à dire avec un moyen biométrique ou une possiession physique (carte à puce, clef USB, token etc...)
On se rend compte que le vol d'un ordinateur portable fait beaucoup plus de dégâts en sécurité que toute autre forme de piratage, parce que de
nombreuses données sensibles sont présentes sur ces disques, soit en clair dans "mes documents" , soit dans les nombreux fichiers temporaires qui ont été fabriqués par les programmes de
bureautique ou le navigateur web.
Concernant les critères d'intégrité et de traçabilité (preuve) , là encore avantage au cloud. Et enfin en termes de performance et de souplesse il n'y a pas photo: Je dispose de 25 Giga octets de stockage pour 40 euros... par an ! Y inclus, messagerie, bureautique et moteur de recherche entre autres.... Mes pièces jointes dans les emails ne sont limitées que par la taille de celui qui peut les recevoir !!! Je n'ai plus de spam ou de virus: ceux-ci sont bloqués par mon fournisseur de cloud. Il est bien entendu beaucoup plus performant que n'importe qui sur ces sujets, car il travaille sur des milliards d'emails donc il a une vision statistique bien meilleure que n'importe quel logiciel ou service d'entreprise. Inutile de dire que son anti-virus est à jour à la seconde près, ainsi que les patches de sécurité des serveurs.
En dehors des aspects juridiques -où seul un avocat spécialisé peut se prononcer efficacement- le seul inconvénient potentiel du cloud est la possibilité d'une erreur humaine, possibilité qui est la même dans une entreprise, à la différence près qu'étant le coeur de metier du fournisseur, il se doit d'avoir des procédures "best of breed" et des personnels bien formés.
Quels sont les points à améliorer ou à vérifier avant de basculer en cloud ?
Le contrôle et la visibilité sur les données est plus limitée en cloud de la part des services informatiques: il s'agit donc d'améliorer les outils d'administration et les outlis de "provisionning" permetttant de basculer les annuaires d'utilisateurs de l'entreprise et les messageries associées.
Il est clair que le cloud est une vague de fond portée par les fournisseurs informatiques traditionnels (IBM, Microsoft, Oracle) mais aussi par les "pure players" d'Internet (Google, Amazon, Salesforce): Les metiers de l'entreprise y voient des gisements énormes d'économies, mais le reflexe des DSI-RSSI est plutot : "non ! " ou "mollo !"
La tentation, alors, des métiers et des directions générales pourrait être de court-circuiter la direction informatique et le responsable sécurité, un peu comme pour les Blackberry et les iPhones...
Je considère cela comme dangereux et précaire: tôt ou tard il y a aura un incident pour lequel chacun se rejettera la responsabilité avec toutes les "tribus indiennes" en action: "les panous-panous", les "faukon" les "yaka" et les "yapuka" notamment ;)
De l'autre côté les fournisseurs de cloud devraient reconnaître les enjeux de sécurité et retourner la situation en avantage commercial:
- montrer le respect des normes sécurité à travers une certification de type ISO 27001.
- expliquer l'architecture technique et en quoi elle respecte les critères DICP.
- montrer que des tests d'intrusion et des audits de sécurité sont faits de manière récurrente et réussie.
Mais le plus important, selon moi, qui emportera les dernière réticences et mettra les métiers et les directions générales en harmonie avec les directions informatiques, sera le respect des points suivants:
- Ajouter un système d'authentification forte en remplacement de ce que j'appelle le "login-passoire" (voir mes articles précédents). Un simple mot de passe est complètement insuffisant pour permettre d'accèder aux données, d'autant plus qu'elles seront accessibles de n'importe où sur la planète.
- Disposer d'un tableau de bord temps réel de disponibilité et de sécurité avec la possibilité de remonter un incident très rapidement vers un
centre de support ouvert 24h/24 365 jours par an, qui parle bien entendu dans la langue du client...
- Améliorer les fonctions de gestion des utilisateurs: provisionning, autorisations, logs, reporting, administration déléguée aux informaticiens "maison".
- Ajouter des services de sécurité typiques: preuve d'identité et traçabilité des actions (copies de fichiers notamment), délivrance de
crédentiels par des systèmes d'interaction avec les ressources humaines seules garantes de la réalité de l'utilisateur, détection de fraudes ou d'accès anormaux (par
exemple recopie de toute la base clients par un commercial ou un informaticien)
- Ajouter des nouveaux services de "convivialité": Je pense surtout au "single sign on". Nous sommes confrontés à la gestion de dizaines de mots de passe, sur des dizaines de sites, des dizaines de fois par jour. L'authentification unifiée permettra de donner un nouveau confort à l'utilisateur: finis les mots de passe !
Je pense, en résumé, que le cloud va s'imposer largement comme nouvelle architecture de services informatiques: il y aura les"découvreurs"
qui essuieront les plâtres et puis les "suiveurs" qui attendront que l'offre soit plus mature et variée.
Mais au final ça fera comme la tartine beurrée: elle retombera toujours du côté des économies !