Les enjeux du Cloud Computing

Dans l’esprit des dirigeants informatiques, le souci de sécurité demeure le principal obstacle à l’adoption du Cloud Computing. Le regroupement d’une grande quantité de données provenant de plusieurs clients suscite nécessairement l’intérêt des pirates informatiques. Pour cette raison, il faut toujours vérifier le sérieux du fournisseur de solution Cloud, valider les certifications sécurité dont il dispose et établir les garanties contractuelles appropriées.
De fait, aucun projet Cloud ne devrait être entrepris sans un audit sécurité approfondi.

Et pourtant, le Cloud Computing présente aussi des aspects positifs en matière de sécurité.

Améliorer la mise à jour

Avec la prolifération actuelle de nouvelles technologies et de nouveaux risques, il est devenu extrêmement difficile pour les entreprises de se tenir à jour, aussi bien en termes de compétences que de procédures et de solutions sécurité. Or, on sait bien que l’une des principales sources de risques de sécurité est le retard de formation sur une nouvelle technologie.

Les fournisseurs de solutions Cloud, grâce à leurs économies d’échelle et leur spécialisation, peuvent investir sur des technologies, des ressources et des compétences sécurité que peu d’entreprises pourraient envisager. Cela leur permet de mettre en place des solutions de protection d’un niveau très supérieur à la moyenne de l’industrie informatique.

Réduire les risques de la dispersion

L’adoption de services Cloud permet aussi, souvent, de centraliser le stockage de données qui avant étaient dispersées sur un grand nombre de matériels ou de périphériques portables. Cela sert également à réduire considérablement le risque de perte ou de vol de données.
Ainsi, les fournisseurs de solutions Cloud garantiront généralement des niveaux de sécurité bien supérieurs à ceux des méthodes informatiques plus traditionnelles.

A première vue, le cadre juridique du Cloud Computing ressemble beaucoup à celui, plus traditionnel, de l’externalisation de services informatiques. Il y a pourtant des différences majeures qui tiennent au modèle économique de chaque activité.

Solutions standardisées

Un projet d’externalisation visera à trouver une solution optimisée pour le contexte du client. Le contrat est durement négocié afin d’y intégrer toutes les prestations et garanties spécifiques à ce contexte et, durant l’exécution du contrat d’externalisation, le fournisseur limitera rigoureusement ses services à ce que contient le contrat.
Un fournisseur de solution Cloud vise au contraire à fournir une solution industrialisée et standardisée qu’il fera évoluer en continu pour ajouter de nouvelles innovations. La négociation contractuelle est beaucoup plus simple puisque le contrat correspond à cette solution industrialisée et non à un contexte spécifique. Chercher à obtenir des garanties spécifiques est généralement illusoire car le fournisseur ne sera pas en mesure de les satisfaire avec sa solution standardisée. Ainsi, il faut avant tout s’assurer de travailler avec des fournisseurs Cloud qui intègrent dans leurs conditions standards les garanties de sécurité, fiabilité, responsabilité, localisation et réversibilité requises.

Confidentialité, souveraineté

Le Cloud Computing pose également de nouveaux problèmes juridiques bien spécifiques en matière de souveraineté, de confidentialité et d’exécution de procédures judiciaires. Un grand nombre de services actuels surveillent et analysent le comportement de leurs utilisateurs, parfois à des fins d’optimisation de services mais aussi souvent à des fins commerciales et publicitaires. Les contrats de services Cloud doivent être très clairs sur l’utilisation par le fournisseur des données de ses clients.
Certaines activités ont des contraintes réglementaires spécifiques et, en particulier dans le secteur public, des contraintes de souveraineté. Il faut se prémunir contre le risque d’analyse et d’exploitation de vos données par le fournisseur Cloud ou par les administrations gouvernementales des pays où ils sont hébergés. En cas de procédure judiciaire, il y a encore aujourd’hui beaucoup de flou, notamment dans le partage de responsabilité entre le fournisseur Cloud et son client ainsi que dans la gestion de perquisitions et d’assignations. La mutualisation de données et de services de plusieurs clients sur une même plateforme Cloud rendent ces procédures très difficiles à gérer tout en protégeant la confidentialité de chacun.

Ici encore, le Cloud Computing est une révolution dans la continuité. A la surface, rien ne change en termes de planification, d’urbanisation du système d’information, de procédures de décision d’investissement et de choix de solutions techniques. Pourtant, les caractéristiques mêmes du Cloud Computing rendent les méthodes traditionnelles inopérantes.
Que signifie planifier des infrastructures quand le Cloud vous permet d’augmenter ou diminuer la capacité dynamiquement dans l’espace de quelques minutes ?
Comment appréhender des choix de standards technologiques quand les solutions utilisées par le fournisseur Cloud ne sont plus sous votre contrôle ?
Comment évaluer la validité économique et le retour sur investissement d’un projet Cloud où tout peut être dynamique ?
Et surtout, que faire dans un monde où un service Cloud peut être acquis par n’importe quelle direction métier, en dehors de tout contrôle de l’informatique ?

Une gouvernance plus dynamique

Toutes les procédures et règles patiemment établies pour maintenir l’intégrité et la cohérence du système d’information peuvent voler en éclat, si on n’y prend garde. Et la réponse n’est pas de tenter de verrouiller le système en bloquant les initiatives qui ne respectent pas la vieille règle. Si la sécurité et la continuité de service sont les principales préoccupations des dirigeants en informatique, les dirigeants métier attendent du Cloud plus de flexibilité business, et il ne sera pas possible de s’y opposer.
En réalité, de même que le Cloud accélère les possibilités informatiques, il faut que la gouvernance du système d’information à l’ère du Cloud s’accélère et devienne plus dynamique. Pour cela il faut laisser plus de liberté à de nouvelles initiatives mais aussi être plus explicite sur les domaines non négociables.

Des règles claires

En constituant un catalogue simple de conditions d’adoption de services Cloud et une capacité d’audit réactif et rapide d’un nouveau projet Cloud, la DSI pourra maintenir la gouvernance du SI.

Ces règles pourront porter sur :

• la typologie de données et de traitements qui peuvent être déployés dans une solution Cloud
• l’identification et l’autorisation d’accès d’utilisateurs
• la réversibilité des solutions
• les vérifications standards sur le fournisseur Cloud (certifications, audits, localisation et cadre légal, situation financière, …)
• les vérifications sur des ressources partagées critiques (la bande passante réseau par exemple) de points d’accès et protocoles standards pour intégrer des solutions Cloud externes avec l’existant.

Parfois, ce seront des règles générales, en d’autres cas il faudra par exemple définir très précisément dans quels cas il convient de crypter des données transmises dans un Cloud public.
Finalement, parce que les barrières à l’adoption d’un service Cloud sont bien faibles, le Cloud oblige à formaliser des choses qui étaient souvent appliquées mais de manière un peu opaque. Le Cloud oblige à plus de transparence.

Des offres transparentes

Cela vaut aussi pour les conditions économiques et les garanties de services des solutions informatiques internes. La simplicité (relative en tout cas) des offres Cloud en termes de coût et de conditions permet une comparaison plus aisée entre les différentes solutions (internes ou externes). L’existence même de solutions Cloud publiques oblige les entreprises à adapter les services internes afin de soutenir la comparaison et prouver la valeur de l’existant. Seule cette transparence sur la performance interne permettra d’établir efficacement des règles sur les types de solutions qui « devront » être déployées sur des Cloud privés et celles qui devront l’être sur des Cloud publics.

La mise en place de tels moyens permettra aux DSI de conserver une gouvernance du système d’information et la protection des informations critiques de l’entreprise. Finalement, pour préserver la capacité de contrôle du système d’information, plutôt que d’interdire il faudra faciliter et soutenir l’expérimentation de solutions Cloud, mais dans un cadre clairement défini.

En dernière analyse, le principal enjeu du Cloud c’est la flexibilité et l’agilité du business. Le Cloud rend possible des choses qui ne l’étaient pas avant.
Avec des solutions Cloud Computing, on peut fournir à tous des solutions qui étaient jusqu’ici réservées à une élite, pour des raisons de coût ou de compétences.
Avec des solutions Cloud, on peut faire en temps réel des choses qui, avant, demandaient des heures. Une grande partie des activités informatiques est encore effectuée en mode batch et peut prendre longtemps, plusieurs heures, à s’exécuter. Parce que le Cloud ne fait pas de différence économique entre faire tourner un traitement 1000 heures sur un serveur ou 1 heure sur mille serveurs, il y a toute une catégorie de traitements informatiques qui vont pouvoir changer de statut.

Avec le Cloud, on exécute en temps réel des choses qu’il fallait auparavant attendre. Cela permet d’optimiser des processus, voire des organisations économiques entières. Au lieu de gérer un inventaire et la planification de production une fois par semaine le week-end, on peut le faire en continu. Au lieu de planifier une campagne marketing des semaines à l’avance, on peut l’optimiser en continu. Le Cloud, par son élasticité et son caractère dynamique, fera passer un grand nombre d’activités business d’un mode asynchrone à délais longs, à un mode « temps réel ».
Mais encore faut-il, pour saisir cette opportunité, savoir faire évoluer l’organisation (informatique et métier).