Contrairement au modèle informatique classique où les applications sont hébergées et maintenues au sein de l’entreprise, le modèle de Cloud Computing propose des services informatiques accessibles par internet, prêts à l’usage, dimensionnés à la demande et facturés en fonction de leur utilisation. Ce nouveau modèle suscite de nombreuses interrogations dans les grandes entreprises, à la fois sur sa viabilité, mais aussi et surtout sur sa sécurité.

La trinité du « as a Service »

Il est important de différencier les trois grandes familles de services dans le Cloud Computing, afin d’identifier les risques et les enjeux de chacune.
En premier lieu, les solutions Software-as-a-Service (SaaS) fournissent aux utilisateurs des applications industrialisées. Bien souvent spécialisées sur des segments métier (finance, RH, CRM…), ces applications se rapprochent progressivement des services d’infrastructures. L’utilisation du Cloud pour la bureautique ou encore les solutions de collaboration en ligne sont de plus en plus répandues. Sur le segment de la sécurité, des offres ciblées sur les audits à distance ou sur le nettoyage des flux messageries (antispam, antivirus) rencontrent également de francs succès.
Plus récentes, les offres Platform-as-a-Service (PaaS) visent à mettre à disposition des plateformes de développement et d’hébergement d’applications. Leur principal intérêt réside dans la mise à disposition d’un ensemble d’API permettant aux applications développées d’utiliser de manière transparente la puissance du Cloud. En effet, la conception d’une application fortement distribuée, capable d’être déplacée en cours de fonctionnement, nécessite une forte réflexion et une conception complexe sur les couches sous-jacentes. Le PaaS permet de masquer cette complexité et de développer directement en utilisant une couche d’abstraction fournie par l’éditeur.
Enfin, l’Infrastructure-as-a-Service (IaaS) vise à mettre à disposition des ressources matérielles de manière rapide et transparente, par exemple au travers de la création d’une machine virtuelle adaptée au besoin. Suite à sa création, cette machine peut être redimensionnée de manière transparente, et automatique. L’accès y est ensuite possible par les mécanismes habituels de prise en main à distance (SSH, RDP...). Autres exemples typiques de l’IaaS : les services de stockage de données ou de calcul distribué.

Trois fondamentaux incontournables…

Avant d’entamer une réflexion sur le Cloud Computing, l’organisation doit accepter trois principes fondamentaux :

• L’utilisation du Cloud requiert d’externaliser les traitements et informations concernés ;
• La disponibilité du service dépend de la disponibilité d’Internet, qui ne peut être garantie par définition ;
• Le positionnement de la DSI évolue de la fourniture d’un service à la fourniture de l’accès à un service tiers.

Ces prérequis constituent une condition sine qua non à la mise en oeuvre du Cloud Computing. Il est évident que certaines entreprises ne sont pas prêtes à franchir ce pas, ou seulement pour certaines applications. Toutefois, dans certains contextes ces contraintes ne sont pas rédhibitoires et des projets sont déjà initiés.

Des mesures de sécurité exceptionnelles

En termes de risques, le Cloud peut faire peur du fait des indisponibilités, des pertes de données ou encore des risques d’accès aux données par le fournisseur. Chaque incident chez un fournisseur de services génère un bruit médiatique important et est largement relayé par les détracteurs du Cloud.
Cependant, il est important de relativiser ces risques : la sécurité des informations est le coeur de métier des fournisseurs de Cloud, qui jouent leur chiffre d’affaires, voire leur existence, sur leur réputation.
Et les fournisseurs en ont pleinement conscience, puisque la plupart d’entre eux mettent en oeuvre des mécanismes de sécurité avancés rarement rencontrés dans un contexte d’entreprise. Il s’agit en particulier de systèmes de réplication des données dans de multiples datacenters, ou de l’existence d’équipes sécurité dédiées à la surveillance et à la détection des attaques et incidents.
Les moyens mis en oeuvre pour la sécurité sont plus importants chez un fournisseur réputé que dans la plupart des DSI des sociétés de tailles moyennes, voire chez les grands comptes. C’est dans ce sens que le Cloud peut même être un accélérateur de la sécurité !
En ce qui concerne la confidentialité, les grandes entreprises recourent déjà fortement à l’externalisation et à la soustraitance. Même si le Cloud industrialise ces pratiques et les rend plus distantes, il n’en reste pas moins qu’aujourd’hui les administrateurs et les exploitants de la plupart des applications chez les grands comptes sont déjà des prestataires externes, qui opèrent parfois depuis leurs locaux avec leur poste de travail.