2 novembre 2012 CLOUD COMPUTING
1
Gestion d’un parc informatique
Travail d’équipe
L’informatique en nuage (Cloud Computing)
Collège de Maisonneuve
Rapport préparé et présenté par
Ali Amaniss & Cosmin Olteanu
Professeur : Richard Beaudoin
Novembre 2012
2 novembre 2012 CLOUD COMPUTING
2
Table des matières
Résumé ............................................................................................................................... 3
L’informatique en nuage .................................................................................................. 5
Introduction ................................................................................................................................. 5
Le concept de l'informatique en nuage ........................................................................................ 7
Définition ................................................................................................................................. 7
Les bases .................................................................................................................................. 8
Utilisation .............................................................................................................................. 10
Évolution ............................................................................................................................... 11
La sécurité dans le contexte de l'informatique en nuage ........................................................... 14
Tableau récapitulatif des menaces et des remèdes ................................................................ 14
Le technicien dans le cadre de l'informatique en nuage ............................................................ 16
Impacts du Cloud Computing sur les entreprises ........................................................ 19
Vue générale .............................................................................................................................. 19
Impacts du Cloud Computing .................................................................................................... 21
Analyses et justifications ................................................................................................ 23
Raisons positives ....................................................................................................................... 23
Raisons négatives ...................................................................................................................... 24
Conclusion ....................................................................................................................... 27
Bilans individuels ............................................................................................................ 28
Bilan de Ali ............................................................................................................................... 28
Bilan de Cosmin ........................................................................................................................ 30
Annexes ............................................................................................................................ 31
Bibliographie ................................................................................................................... 34
Documentation utilisée .............................................................................................................. 34
Lectures supplémentaires .......................................................................................................... 34
2 novembre 2012 CLOUD COMPUTING
3
Résumé
Nous ce rapport, nous exposons le concept du Cloud Computing et la technologie sous-
jacente. Dans un premier temps, nous définissons ce concept qui est assez récent tel qu’il
se présente actuellement. Le Cloud Computing est une technologie qui consiste à
déporter des stockages et des traitements sur des serveurs distants. Il peut même s’agir
d’un fournisseur de service qui offre ce service aux autres entreprises et met à leur
disposition des serveurs pour le stockage et le traitement de données. Nous donnons
ensuite le déroulement de l’évolution de cette technologie. Il s’avère que c’est un concept
assez récent qui a environ une vingtaine d’années.
Par suite, nous abordons les aspects de la sécurité et du travail du technicien dans le cadre
du Cloud Computing. Ce qui donne des informations intéressantes sur les dangers de
l’utilisation de cette technologie. Nous pouvons dire que la sécurité est un problème
fondamental dans la mise en œuvre du Cloud Computing. Mais cette charge relève du
fournisseur du service et décharge l’entreprise de ce poids assez important à l’heure
actuelle. Quant au travail du technicien, il est assez différent de ce qui est connu dans un
travail traditionnel. En effet, il prend en charge certains aspects nouveaux et se décharge
de certains autres tels que la sécurité, la maintenance, etc.
Ensuite de cela, nous abordons les impacts du Cloud Computing sur les entreprises. Nous
pour résumer ces impacts dans ce qui suit :
la réduction des dépenses ;
plate-forme d’essai et de développement ;
l’assurance de qualité ;
l’accroissement de la sécurité et la confidentialité de l’information ;
la flexibilité du déploiement de nouveaux services.
Ce sont des impacts assez importants sur les finances et les performances des entreprises
qui recourent au Cloud Computing comme nous l’expliquons dans la suite du
développement.
A la suite de cela, nous donnons nos justifications qu’elles soient positives ou négatives.
Les aspects positifs sont en fait les impacts cités ci-dessus. Quant aux aspects négatifs,
nous pouvons citer.
Le Cadre légal. Les informations stockées que le web ne sont pas forcément dans
le même pays que l’entreprise qui loue les services du Cloud Computing.
Votre connexion internet. Il faut disposer d’une connexion haute performance ce
qui induit des dispenses supplémentaire un manque de sécurité.
Coût du Cloud. Il existe de nombreuses dispenses tant le prix du Cloud
Computing que les dispenses afférentes dont les connexions internet.
2 novembre 2012 CLOUD COMPUTING
4
L’optimisation des applications. Malgré une connexion internet rapide, avec un
débit garanti, certaines applications web peuvent s’avérer être très lentes.
La sécurité du cloud. La sécurité et la confidentialité des données sont laissées
aux soins de l’hébergeur.
La pérennité du service. Votre hébergeur cloud va-t-il durer dans le temps ?
La productivité des salariés. Sera-t-elle impactée négativement par le cloud ?
La plateforme. Si vous décider d’utiliser tel ou tel hébergeur, vous vous engagez
envers une technologie.
Les conditions de service. Vous pouvez consulter ces conditions avant le contrat,
et vérifier qu’elles sont conformes à vos exigences.
Votre opinion. Il s’agit plus d’un critère subjectif qu’objectif, à savoir si vous
êtes prêts à franchir le pas, si vos salariés et votre entreprise en sont capables.
A la suite ce cette partie, nous donnons une conclusion dans laquelle nous recommandons
de ne pas utiliser le Cloud Computing vue les aspects négatifs nombreux qui entachent
encore cette technologie.
Enfin viennent les bilans individuels de chacun de nous.
2 novembre 2012 CLOUD COMPUTING
5
L’informatique en nuage
Introduction
Certains faits, dont la sécurité, la sous-exploitation des ressources et les coûts élevés des
infrastructures informatiques des entreprises, incitent à réfléchir sur la façon dont celles-
ci doivent gérer leurs biens en matière de technologies de l'information (TI). Par
exemple:
jusqu'à 85% de la capacité de traitement des ordinateurs dans les entreprises sont
inexploitées dans les environnements distribués (source : Département de
l’Énergie des États-Unis, 18 mai 2007);
70% des budgets de technologies de l'information sont généralement consacrés à
la maintenance de l’infrastructure, et seulement 30 % aux nouvelles capacités
(source: Estimations d’IBM fondées sur son expérience auprès des clients);
plus de 30% des consommateurs informés d’une brèche de sécurité mettent fin à
leur relation avec l’entreprise qui est associée au problème (source: Ponemon
Institute, 2007.) (Sources)
(Source de l’image)
Ainsi, pour contrer l'ensemble, ou du moins certains, de ces inconvénients, certaines
entreprises commencent à changer leur façon de faire en matière de leurs besoins en
infrastructures informatiques. « Presque tous les chefs de la direction adaptent leur
modèle de gestion, et l’informatique en nuage possède les capacités qui leur permettront
de relever les défis d’un marché en pleine mutation »1. Un des avantages de
1 Source: Réaliser le potentiel de l’informatique en nuage. Livre Blanc, IBM. p.2.
2 novembre 2012 CLOUD COMPUTING
6
l'informatique en nuage est de remédier aux inconvénients soulevés ci-dessus. En effet,
« les leviers de valeur de l’informatique en nuage constituent un cadre pour
l’établissement des stratégies TI et commerciale. Un de ces leviers clés est la réduction
considérable des coûts des TI qui est rendue possible par une infrastructure dynamique
(virtualisation, normalisation et automatisation). Au moment d’établir sa stratégie,
l’entreprise doit privilégier une approche holistique du développement d’une stratégie
d’informatique en nuage, à cause des effets considérables que le nuage aura sur ses
modèles de gestion, ses principes d’exploitation, ses processus, sa technologie et son
schéma organisationnel. »2
Dans ce qui suit, nous traiterons du concept de « l'informatique en nuage », des
problèmes de sécurité inhérents à la gestion d'une telle infrastructure et du rôle du
technicien en gestion de réseaux informatiques dans le contexte de cette technologie. A la
fin du rapport, nous donnons une bibliographie des principaux ouvrages ou rapports sur la
technologie de « l'informatique en nuage ».
(Source de l’image)
2 Source: Réaliser le potentiel de l’informatique en nuage. Livre Blanc, IBM. p.2.
2 novembre 2012 CLOUD COMPUTING
7
Le concept de l'informatique en nuage
Définition
L'informatique en nuage est un concept qui consiste à téléporter sur des serveurs distants,
des traitements et des stockages informatiques qui ont lieu traditionnellement sur des
serveurs et des postes de travail du réseau local de l'entreprise. Selon le National Institute
of Standards and Technology (NIST), le cloud computing est l'accès, sur le réseau, à la
demande et en libre-service, à des ressources informatiques virtualisées et mutualisées.
Les utilisateurs ou les entreprises ne gèrent plus les serveurs directement et localement
mais peuvent accéder de manière évolutive à de nombreux services en ligne. Les
applications et les données ne se trouvent plus sur l'ordinateur local, mais dans un nuage
(cloud) composé d'un certain nombre de serveurs distants interconnectés au moyen d'une
excellente bande passante indispensable à la fluidité du système. L'accès aux services se
fait par une application standard, un navigateur web habituellement. Selon l'approche
adoptée par les entreprises, nous pouvons distinguer trois formes de cloud computing :
les clouds privés internes, gérés en interne par une entreprise pour ses besoins,
les clouds privés externes, dédiés aux besoins propres d'une seule entreprise,
mais dont la gestion est externalisée chez un prestataire,
les clouds publics, gérés par des entreprises spécialisées qui louent leurs services
à de nombreux clients.
En effet, « actuellement, les entreprises appliquent trois grands modèles de prestation
pour le nuage : privé, public et hybride. Dans le nuage privé, les activités ou fonctions
informatiques sont fournies «sous forme de services» sur un intranet au sein de
l’entreprise et derrière le coupe-feu de l’organisation. Dans le nuage public, les activités
ou fonctions informatiques sont fournies «sous forme de services» sur Internet. Quant au
nuage hybride, il intègre des méthodes de prestation de services internes et externes, les
activités ou fonctions étant fondées sur les besoins de sécurité, le niveau de risque,
l’architecture et d’autres politiques établies. Ces projets peuvent être entrepris pour
différentes raisons, notamment pour se doter d’une interface consommateur conviviale,
réaliser des gains d’efficience TI ou appliquer de nouveaux modèles de facturation »3
3 Regards sur l'informatique en nuage. Conclusions de 110 projets de mise en œuvre.
IBM, p.4.
2 novembre 2012 CLOUD COMPUTING
8
L'informatique en nuage peut être caractérisée par les points suivants:
le libre-service à la demande;
un accès généralisé au réseau;
une mise en commun des ressources, indépendante de l’emplacement;
une grande élasticité et une allocation des ressources rapides;
la facturation à l’utilisation.
Les bases
« Dans cette section nous jetons un regard de haut niveau sur les éléments technologiques
qui constituent les bases de l’infrastructure informatique du Cloud. Nous pouvons les
ranger dans les grandes catégories suivantes :
Infrastructure. L’infrastructure informatique du Cloud est un assemblage de
serveurs, d’espaces de stockage et de composants réseau organisés de manière à
permettre une croissance incrémentale supérieure à celle que l’on obtient avec les
infrastructures classiques. Ces composants doivent être sélectionnés pour leur
capacité à répondre aux exigences d’extensibilité, d’efficacité, de robustesse et de
sécurité. Les serveurs d’entreprise classiques ne disposent pas des capacités
réseau, de la fiabilité ni des autres qualités nécessaires pour satisfaire
efficacement et de manière sécurisée les accords de niveau de service (SLA,
service level agreement). Par ailleurs, les serveurs d’un Cloud affichent des coûts
de fonctionnement moins élevés et ils peuvent être plus fiables s’ils ne sont pas
tous équipés de disques internes.
Réseaux IP. Dans une infrastructure de Cloud, le réseau non seulement connecte
les utilisateurs au Cloud, mais sert également à l’interconnexion interne du Cloud.
Le modèle mis en œuvre dans un réseau d’entreprise ne répond pas aux besoins
d’efficacité et de sécurité associés à l’acquisition et au fonctionnement du Cloud.
À l’échelle du Cloud, le réseau doit s’orienter vers un système Carrier-Grade,
avec des stratégies réseau optimisées. Les multiples commutateurs disséminés
tout au long des chemins de données deviennent des points uniques de défaillance
(SPOF, single points of failure) et ajoutent des coûts de différentes manières.
Bien que l’optimisation puisse conduire à un seul réseau unifié, la sécurité
nécessite un partitionnement ou une virtualisation du réseau pour une séparation
réelle entre les différentes classes de trafic. Le réseau sera probablement plus plat,
mais vous devez vous attendre à plusieurs réseaux en parallèle pour une meilleure
sécurité. Certains isolent la gestion de la plateforme des données publiques et du
trafic de service, tandis que d’autres peuvent être nécessaires pour autoriser les
2 novembre 2012 CLOUD COMPUTING
9
évolutions. Ces réseaux supplémentaires induisent de nouveaux coûts, mais vous
obtenez alors une séparation physique et une meilleure sécurité.
Virtualisation. Avec des racines profondément ancrées dans l’informatique, la
virtualisation sert à partitionner un seul serveur physique en plusieurs machines
virtuelles ou une seule ressource physique, comme un espace de stockage ou un
réseau, en plusieurs ressources virtuelles. Elle permet une consolidation de
serveurs avec une grande souplesse d’utilisation. Dans le contexte de
l’informatique en nuage, la virtualisation est importante pour la mise en service et
le retrait rapide de serveurs. Un logiciel de virtualisation du Cloud présente
également une perspective dynamique et une vue unifiée de l’utilisation et de
l’efficacité des ressources, cela afin d’assurer le fonctionnement des services du
Cloud. La virtualisation est la principale technologie permettant d’arriver à une
utilisation rentable des serveurs tout en prenant en charge la séparation entre de
multiples locataires d’un matériel physique. Il existe d’autres solutions pour
arriver à ces objectifs, mais ses avantages en font l’approche de choix.
Logiciel. Il autorise la mise en œuvre de tous les aspects de la gestion, de la mise
à disposition, du développement des services, de la comptabilité et de la sécurité
de l’infrastructure du Cloud. Il est indispensable que l’infrastructure du Cloud soit
capable d’appliquer dynamiquement des politiques de séparation, d’isolation, de
surveillance et de constitution d’un service. Le choix d’une configuration standard
pour l’infrastructure permet au logiciel d’automatiser les tâches sous-jacentes à
l’élasticité et au changement de forme de manière à présenter des services
constitués de serveurs, de machines virtuelles, d’espaces de stockage, de services
et d’autres composants informatiques. Grâce au logiciel, nous pouvons
automatiser la mise en service et le retrait.
Interfaces de service. L’interface de service placée entre le fournisseur et le
client est un élément de différenciation du Cloud. Elle représente un contrat qui
fait respecter la proposition de valeur décrite par des SLA et des conditions
tarifaires. Si le Cloud semble nouveau, c’est principalement en raison de cette
interface. Elle représente la valeur d’un fournisseur et sert de base à la
concurrence. Par l’ajout d’interfaces de libre-service, nous obtenons d’autres
optimisations. Les clients du Cloud sont en mesure d’engager des ressources de
manière automatisée sans que le service informatique soit un obstacle. L’espace
de stockage et les ressources sont présentés au travers d’une interface graphique
que l’utilisateur peut manipuler de manière à obtenir et à instancier une
infrastructure informatique virtuelle. Un navigateur web et une carte bancaire,
voilà tout ce qu’il vous faut pour construire votre propre Datacenter virtuel. »4
4 Introduction à l’informatique en nuage et à la sécurité p.4
2 novembre 2012 CLOUD COMPUTING
10
Utilisation
Les entreprises, petites, moyennes ou grandes, ont tendance à recourir à l’informatique en
nuage. Laissons parler IBM, qui est un leader dans la prestation de services de ce genre
exprimer son avis sur les tendances actuelle du marché de cette technologie suite à une
enquête qu’il avait réalisé auprès de sa clientèle: « actuellement, les entreprises
appliquent trois grands modèles de prestation pour le nuage: privé, public et hybride.
Dans le nuage privé, les activités ou fonctions informatiques sont fournies «sous forme de
services» sur un intranet au sein de l’entreprise et derrière le coupe-feu de l’organisation.
Dans le nuage public, les activités ou fonctions informatiques sont fournies «sous forme
de services» sur Internet. Quant au nuage hybride, il intègre des méthodes de prestation
de services internes et externes, les activités ou fonctions étant fondées sur les besoins de
sécurité, le niveau de risque, l’architecture et d’autres politiques établies. Ces projets
peuvent être entrepris pour différentes raisons, notamment pour se doter d’une interface
consommateur conviviale, réaliser des gains d’efficience TI ou appliquer de nouveaux
modèles de facturation. »5
L’utilisation de l’informatique en nuage devient de plus en plus monnaie courante au sein
des entreprises, mais c’est dans un secteur marginal et expérimental qu’il est utilisé. En
effet, « l’utilisation du nuage se concentre actuellement autour des activités de
développement et d’essai ainsi que des charges de travail de production à mission non
vitale, 50 % de ces activités allant à des projets pilotes locaux et seulement 20 % au
niveau de toute l’entreprise. Les nuages sont surtout utilisés pour des charges de travail
couplées de façon souple et prennent en charge des charges de travail axées sur le
contenu, notamment l’infrastructure informatique interne, le développement
d’applications et les scénarios d’essai ainsi que l’infrastructure Web. Les mandats se
répartissent entre nuages publics et privés, la grande majorité allant à ces derniers : près
de 70 % sont des nuages privés et seulement 30 % sont publics, les nuages hybrides étant
très peu répandus. »6
5 Regards sur l'informatique en nuage. Conclusions de 110 projets de mise en œuvre.
IBM, p.4. 6 Regards sur l'informatique en nuage. Conclusions de 110 projets de mise en œuvre.
IBM, p.6.
2 novembre 2012 CLOUD COMPUTING
11
(Source de l’image)
Évolution
Comme toute technologie, le Cloud Computing avait un début et une histoire. Nous
n’irons pas dans la profondeur de tous ces aspects, mais nous brossons un portrait de
l’évolution de cette technologie dans ce qui suit.
Selon wikipédia, « au début des années 2000, le SaaS s'appelait ASP. Les premières
applications Web 2.0 à avoir migré dans les nuages sont la messagerie, les outils
collaboratifs, le CRM, les environnements de développement et de test12
.
Historiquement, Amazon Web Services, orientés vers les entreprises, et Google, orienté
vers les utilisateurs grand public, sont les pure players qui ont fait émerger le marché du
cloud computing ; les éditeurs de logiciel traditionnels ont été contraints de suivre cette
dynamique portée par les opérateurs de télécommunications.
Longtemps avant que ne naisse l'expression « Cloud computing », les architectes de
réseaux (ceux qui conçoivent les réseaux intra- et inter-entreprise) schématisaient Internet
par un nuage dans leurs croquis. En anglais, l'on parlait alors de « the cloud », ce qui
signifiait à peu de choses près l'Internet que nous connaissons. Ce nuage évoquait alors
2 novembre 2012 CLOUD COMPUTING
12
une connexion vers une quantité indéfinie d'utilisateurs et non pas des services tels que
nous l'entendons maintenant.
En 2009, moins de 10 % des entreprises interrogées mentionnent recourir déjà à des
services de cloud computing dans le domaine de l’hébergement de leurs infrastructures et
applications informatiques. D’ici 2011 et au-delà, les entreprises devraient porter un
intérêt de plus en plus soutenu à ces services puisque, selon le type de cloud computing
envisagé (privé interne, privé externe ou public), elles devraient être entre une sur deux et
une sur trois à y recourir. La tendance semble néanmoins en faveur des clouds privés
internes même si les entreprises ne se limitent pas obligatoirement à ces services et
devraient sans aucun doute combiner les solutions entre elles.
Depuis le printemps 2009, l’Open cloud manifesto réunit des éditeurs qui estiment que le
cloud computing devrait être ouvert14
. Contrairement à Microsoft et Google qui ne l'ont
pas signé. Quatre éditeurs de logiciels libres (IELO, Mandriva, Nexedi et TioLive) ont
fondé la Free Cloud Alliance (FCA) le 25 mars 2010. Cette dernière propose une offre
globale réunissant Iaas, Paas et SaaS, constituée de tous les composants libres nécessaires
aux applications progiciel de gestion intégré (ERP), gestion de la relation client (CRM)
ou gestion de la connaissance (KM).
Le 22 novembre 2010, le gouvernement des États-Unis a lancé sa politique de cloud
prioritaire : des économies substantielles sont attendues sur son budget annuel
informatique de $80 milliards, par la consolidation d'au moins 40 % des 2 100 data
centers d'ici 2015.
Dans le cadre des investissements d'avenir, deux consortiums, l'un mené par Orange et
Thales, l'autre par SFR et Bull, ont été mis en place à la suite d'un appel à projet du
gouvernement français. Un investissement de la Caisse des Dépôts et Consignations dans
le cadre des investissements d'avenir de 75 millions d'euros par projet a été réalisé pour
permettre le développement des deux sociétés. Un autre projet important financé sous le
même appel à projet est le projet NU@GE, qui regroupe 8 PME (opérateurs nationaux,
data-centers, virtual desktop providers, etc.) et le LIP6 (équipe de Guy Pujolle), qui
semble le seul à vraiment innover dans le domaine en dépit des grands Thales et Orange.»
Ainsi, nous constatons que le Cloud Computing, tel que nous le connaissons
actuellement, est une technologie assez récente sur le marché. Mais elle commence à
intéresser beaucoup d’entreprises pour les raisons que nous énumérons ci-dessous dans
les impacts. On peut dire que la tendance du marché est à la hausse selon les pronostics
du grand opérateur IBM.
2 novembre 2012 CLOUD COMPUTING
13
(Source de l’image)
2 novembre 2012 CLOUD COMPUTING
14
La sécurité dans le contexte de l'informatique en nuage
Les services Cloud font face à plusieurs failles de sécurité et de menaces. Nous avons
recensés les 7 principales menaces dans ce tableau qui touchent les 3 modèles de Cloud
(IaaS, SaaS et PaaS) avec des exemples et des solutions pour y remédier.
Tableau récapitulatif des menaces et des remèdes
Menaces Description Exemples Remèdes Abus et utilisation
néfaste de la
définition du Cloud
(affecte IaaS et
PaaS).
Les fournisseurs IaaS offrent
l'illusion de service illimité,
associé à des enregistrements
sans contrôle. Conséquence :
spam et codes malicieux ont
conduit des attaques par mots
de passe, DDOS, botnet,
captcha, tables rainbow,
hébergement de données
malicieuses, etc.
Botnet Zeus sur offres
IaaS, cheval de Troie
InfoStealer, spam,
exploits MS Office et
Adobe PDF. Les réseaux
botnet ont utilisé les
servers IaaS comme
centres de
commandements et de
contrôle d'attaques
distantes.
Processus d'enregistrement
initial et de validation plus
strict; améliorer la surveillance
de fraude par carte de crédit;
contrôler le trafic réseau des
clients; surveiller les blacklist
public.
API et interface
insécurisés (affecte
IaaS, PaaS et SaaS).
Interfaces logicielles ou API
permettant aux clients de
gérer, de se connecter, et
d’interagir avec les services
Cloud. Sécurité et validité des
services dépendants de celles
des API souvent enrichies de
parties tiers fournisseurs pour
proposer des options. Cela
introduit des failles.
Accès anonymes, mots
de passe réutilisables,
authentification en clair,
contrôle d’accès
inflexible ou sans
autorisation, service
inconnu ou dépendances
d'API, etc.
Analyser le modèle de sécurité
des interfaces des fournisseurs
de Cloud; assurer une
authentification forte et contrôle
d'accès implémenter avec
transmission cryptée,
comprendre la dépendance des
chaine API.
Les intrusions
internes (affecte les
modèles IaaS, PaaS,
SaaS).
Provient de la convergence
des services IT et d'un seul
domaine de gestion combiné à
une lacune de transparence
dans les processus et
procédure des fournisseurs :
un fournisseur peut ne pas
révéler comment il octroie
l'accès aux biens physiques et
virtuels, comment il surveille
ses employés etc.
Pas d'exemples connus Gestion stricte de la chaîne
d'approvisionnement, évaluation
complète des fournisseurs.
Indiquez les besoins RH pour
les contrats légaux.
Transparence dans la sécurité
globale d'information, pratiques
de gestion et rapports de
conformité.
Problèmes des
technologies
partagées. (affecte le
modèle IaaS).
Les fournisseurs IaaS offrent
leurs services de manière
évolutive, en partageant
l'infrastructure. Composants
sous-jacents de l'infrastructure
(caches CPU, GPU, etc.) non
conçus pour offrir une solide
isolation dans une architecture
multiutilisateurs. Les clients
Exploits de la pilule
rouge et bleu de Joanna
Rutkowska;
les présentations
CloudBurst de
Kortchinksy.
Meilleures pratiques de sécurité
pour l'installation et la
configuration. Surveiller
l'environnement pour les
modifications et accès non
autorisées; Promouvoir
l'authentification forte et le
contrôle d'accès pour
l'administration; Appliquer les
2 novembre 2012 CLOUD COMPUTING
15
ne devraient pas avoir accès
aux données d'autres
utilisateurs, au trafic réseau,
etc.
accords de niveau de service
pour corriger les vulnérabilités;
effectuer un audit des
vulnérabilités et des
configurations.
Perte de données ou
fuites (affecte les
modèles IaaS, PaaS,
SaaS).
Plusieurs façons de
compromettre les donnes:
suppression ou altération des
donnes sans sauvegarde, perte
de clefs d'encodage...Les
parties non autorisés ne
devraient pas avoir accès à ces
donnes sensibles.
Authentification
insuffisante, autorisation
et contrôle des audits;
Utilisation incohérente
des clés de chiffrement et
de logiciels; défaillances
opérationnelles, risque
d'association;
compétence et fiabilité
politique; reprise après
sinistre.
Contrôle élevé d'accès API;
crypter et protéger l'intégrité des
données en transit; analyse de
protection des données à la fois
à la conception et à l'exécution.
Création de clés fortes, de
stockage et de gestion, pratique
de destruction; préciser les
stratégies de backup.
piratage de compte
(affecte les modèles
IaaS, PaaS, SaaS).
Phishing, fraudes, exploitation
des vulnérabilités, mots de
passe...un attaquant usurpant
un compte peut espionner les
activités, manipuler les
données, falsifier les
informations.
le compte ou service corrompu
peut devenir une base
d'attaque.
Pas d'exemples connus. Interdire le partage
d’informations de compte entre
les utilisateurs et les services.
Élever les techniques
d'authentification
Employer une surveillance
proactive pour détecter toute
activité illicite. Comprendre les
stratégies de sécurité des
services Cloud.
Profil de risque
inconnu (affecte les
modèles IaaS, PaaS,
SaaS).
Provient des versions de
logiciels mis à jour des codes,
pratiques de sécurité,
vulnérabilité, profils :
tentatives d'intrusion et
conception de la sécurité sont
des facteurs importants pour
estimer la posture de sécurité
de l'entreprise.
Demande d’IRS
d'effectuer un C&A par
AMAZON: refus.
Fuites des données de
Heartland: failles dans le
système de traitement
des paiements.
Divulgation des journaux et des
données applicables.
divulgation partielle / complète
des détails d'infrastructure (par
exemple, le patch).
2 novembre 2012 CLOUD COMPUTING
16
Le technicien dans le cadre de l'informatique en nuage
Le cloud computing, lorsqu’il est correctement implanté, peut radicalement améliorer la
flexibilité et la productivité de l’entreprise tout en réduisant les coûts de l’infrastructure.
On s’attend à ce que les grandes et les petites entreprises basculent d’importantes parties
de leurs opérations dans le cloud d’ici les deux prochaines années; mais la question qui se
pose à présent : quels sont les défis qui attendent le technicien d'aujourd'hui en Cloud
Computing vs le gestionnaire de réseaux ou de base de données d’autrefois ?
Le cloud Computing, comme on peut le remarquer, regroupe en même temps la gestion
de réseaux, la gestion des bases de données, l’élaboration de nouvelles applications pour
la gestion du cloud, ce qui amène le technicien à faire face à de nouveaux défis comme
par exemple :
Mettre en place le Cloud pour accélérer le business
Faciliter l'expérience utilisateur dans le Cloud
Construire et déployer des applications pour le Cloud
Disposer d'une infrastructure performante pour le Cloud
Automatiser et gérer le Cloud
Autrefois, avec les connaissances en théorie des réseaux, le technicien en gestion de
réseau informatique se contentait de gérer les infrastructures matérielles et logicielles de
la compagnie pour laquelle il travaille. Ressources auxquelles il avait un accès physique
et ces infrastructures n’étaient pas partagées comme le cloud ou l’infrastructure est
partagée et sa gestion est délicate. Plusieurs organisations veulent une partie du cloud,
toutes n’obtiendront pas les résultats qu’elles désirent car la gestion du cloud varie en
fonction des besoins de chaque compagnie. Le technicien d’aujourd’hui se doit d’éviter
les cinq principales erreurs suivantes:
Ne pas opter pour le bon modèle de cloud
Les entreprises migrant vers le cloud peuvent choisir parmi les clouds publics, clouds
privés, clouds communautaires ou clouds hybrides.
1. Le cloud public : Il appartient à un fournisseur cloud et est accessible à un large
public. Le principe est de payer à l’utilisation et la plateforme est partagée avec
d’autres utilisateurs.
2 novembre 2012 CLOUD COMPUTING
17
2. Le cloud privé : Il appartient et est déployé par une organisation pour sa propre
utilisation puisqu’elle en est la seule et unique propriétaire.
3. Le cloud communautaire : Il est partagé en coopération par plusieurs
organisations, souvent de la même industrie.
4. Le cloud hybride : Il mixe les modèles de déploiement cloud énumérés ci-
dessus, permettant aux applications et données de passer facilement d’un cloud à
l’autre.
Chaque type de déploiement en matière de cloud a ses avantages. Les facteurs à
considérer avant l’adoption sont : le niveau de criticité des applications que l’entreprise
veut basculer dans le cloud ; les questions de réglementation et de conformité ; les
niveaux de services (SLA) nécessaires ; les modes d’utilisation selon les charges de
travail ; et la manière dont les applications doivent être intégrées aux autres fonctions de
l’entreprise.
Ne pas intégrer la sécurité cloud dans sa politique de sécurité d’entreprise
Vos politiques de sécurité cloud et la sécurité de l’entreprise doivent être intégrées. Au
lieu de créer une nouvelle politique de sécurité pour le cloud, renforcez plutôt vos
politiques de sécurité existantes en considérant cette plateforme supplémentaire. Pour
modifier vos politiques cloud, vous devez tenir compte des facteurs suivants: où sont
stockées les données, comment elles sont protégées, qui en a accès, mais aussi la
conformité avec les règlementations, et les niveaux de services SLA.
Lorsqu’elle est correctement effectuée, l’adoption du cloud computing peut être une
occasion d’améliorer vos politiques de sécurité et votre position globale de sécurité.
Compter sur la sécurité de son fournisseur de services cloud
Ne pensez pas que vos données soient automatiquement sécurisées parce que vous
utilisez un fournisseur de services. Vous devez faire un examen complet de la technologie
et des processus de sécurité du fournisseur, et vérifiez la manière dont ils sécurisent vos
données et leurs infrastructures. Plus précisément, vous devriez examiner :
La transportabilité des données et applications : votre fournisseur vous permet-
il d’exporter les applications, données et processus existants dans le cloud ?
Pouvez-vous les importer de nouveau aussi facilement ?
La sécurité physique des centres de données : Comment les fournisseurs de
services protègent leurs centres de données physiques ? Utilisent-ils des centres
de données certifiés aux normes SAS 70 Type II? Comment leurs opérateurs de
centres de données sont-ils formés et qualifiés ?
La sécurité des accès et des opérations : Comment votre fournisseur contrôle
l’accès aux machines physiques? Qui est en mesure d’accéder à ces machines, et
comment sont-elles gérées ?
La sécurité du centre de données virtuel : L’architecture cloud est la clé de
l’efficacité. Sachez comment les parties individuelles telles que les nœuds de
2 novembre 2012 CLOUD COMPUTING
18
traitement, nœuds du réseau et nœuds de stockage sont architecturés, et comment
elles sont intégrées et sécurisées.
La sécurité des données et des applications : Pour mettre vos politiques en
application, la solution cloud doit vous permettre de définir des groupes et rôles
avec un contrôle d’accès basé sur le rôle précis, des règles de mots de passe et une
encryption des données appropriées (en transit et à l’arrêt).
Supposer que vous n’êtes plus responsable de la sécurisation des données
Ne pensez jamais que l’externalisation de vos applications ou systèmes signifie que vous
n’êtes plus responsable en cas de violation de données. Certaines PME ont cette fausse
idée mais sachez que votre entreprise est toujours au bout du compte responsable vis à
vis de ses clients et de tout autre partie prenante lorsqu’il s’agit d’inviolabilité des
données. Autrement dit, c’est votre CEO qui risque d’aller en prison, et non le
fournisseur cloud.
Ne pas savoir quelles lois locales s’appliquent
Les données qui sont en sécurité dans un pays peuvent ne pas l’être dans un autre.
Cependant, dans de nombreux cas, les utilisateurs des services cloud ne savent pas où
sont stockées leurs informations. Actuellement dans le processus d’harmonisation des
lois sur les données de ses états membres, l’Union Européenne favorise la protection très
stricte de la vie privée, tandis que les lois américaines, telles que l’US Patriot Act,
permettent au gouvernement et autres organismes d’avoir un accès quasi illimité aux
informations appartenant aux entreprises.
Sachez toujours où sont vos données. Si nécessaire, stockez vos données dans plusieurs
endroits. Il est conseillé de choisir une juridiction qui vous permet d’accéder à vos
données même si votre contrat avec votre fournisseur cloud se termine de manière
inattendue. Le fournisseur de services devrait également vous donner l’option de choisir
l’endroit où vos données seront stockées.
2 novembre 2012 CLOUD COMPUTING
19
Impacts du Cloud Computing sur les entreprises
Vue générale
L’utilisation du Cloud Computing ne s’est pas encore généralisée à l’ensemble des
entreprises en activité. Il reste encore impopulaire mais commence à être adopté par
certaines entreprises notamment pour se décharger de l’infrastructure et de sa
maintenance. Certains secteurs d’activités économiques l’utilisent plus que d’autres
comme le monde le graphique suivante.
« L’utilisation du nuage se concentre actuellement autour des activités de développement
et d’essai ainsi que des charges de travail de production à mission non vitale, 50 % de ces
activités allant à des projets pilotes locaux et seulement 20 % au niveau de toute
l’entreprise. Les nuages sont surtout utilisés pour des charges de travail couplées de façon
souple et prennent en charge des charges de travail axées sur le contenu, notamment
l’infrastructure informatique interne, le développement d’applications et les scénarios
d’essai ainsi que l’infrastructure Web. Les mandats se répartissent entre nuages publics et
privés, la grande majorité allant à ces derniers : près de 70 % sont des nuages privés et
seulement 30 % sont publics, les nuages hybrides étant très peu répandus1. Le ratio actuel
de 30-70 entre projets de nuages publics et des projets de nuages privés est attribuable
avant tout à deux facteurs. En premier lieu, les répondants à l’étude sont principalement
issus d’environnements importants et veulent surtout explorer les avantages potentiels de
l’informatique en nuage. Si l’étude avait visé des environnements plus modestes, nous
croyons que le ratio aurait été différent. Et comme la question de la sécurité est un des
principaux obstacles à l’adoption généralisée de l’informatique en nuage, les nuages
2 novembre 2012 CLOUD COMPUTING
20
privés apparaissent comme un bon moyen d’expérimenter la technologie du nuage sans
exposer l’entreprise à des risques. »7
Chaque entreprise a ses motivations pour utiliser ou non le Cloud Computing. En effet,
« pour certains, ce qui importe, c’est d’acheminer la technologie entre les mains des
utilisateurs plus rapidement. Pour d’autres, la productivité est l’élément essentiel ; ils
veulent assurer une prestation plus rapide des services.
Mais de nos jours, c’est la réduction des coûts qui pourrait s’avérer être le principal
incitatif. De par sa nature, l’informatique en nuage réduit la nécessité des dépenses en
immobilisations (DI) en permettant aux entreprises de « louer » l’accès à des ressources
hébergées, location qui entre dans leurs frais d’exploitation. La possibilité de faire en
sorte que les dépenses correspondent à l’utilisation réelle – le paiement « à la carte » – est
attrayante, en particulier dans un environnement où l’on se préoccupe des coûts, et
constitue un facteur important dans l’intérêt que suscite actuellement l’informatique en
nuage. »8
D’autre part, « quand on lui demande d’énumérer des motivations en faveur de l’adoption
de l’informatique en nuage, Mark Kovarski, consultant principal en technologie
d’entreprise à la Banque de Montréal, nomme immédiatement l’assurance de la qualité de
la technologie. « La mise en place d’environnements propices à l’assurance de la qualité
est certainement l’un d’entre eux. Il s’agit aussi d’une technologie informatique à haut
rendement, où une solution en nuage de base est déployée à l’interne. »
Un autre incitatif potentiel à l’adoption de solutions d’informatique en nuage – en
particulier pour le modèle client léger – est l’accroissement de la sécurité de
l’information. À la commission scolaire de Laval, l’informatique en nuage permet
d’éviter un cauchemar en matière de confidentialité des données. »9
Ainsi, toutes les entreprises ne sont motivées au même niveau par cette technologie qui
est somme toute assez récente par rapport aux technologies qu’elles utilisent déjà et qui
leur inspirent confiance. Il est à noter également que le Cloud Computing n’est pas la
panacée, qu’il que soit le motif qui pousse une entreprise à l’utiliser. C’est une
technologie qui vient avec son lot de problèmes : la sécurité du canal de transmission
entre l’entreprise et le fournisseur du service; la rapidité des transmissions à travers le
canal de transmission entre l’entreprise et le fournisseur du service; la sécurité et la
7 Regards sur l'informatique en nuage. Conclusions de 110 projets de mise en œuvre.
IBM, p.4. 8 Michael O’Neil et Stefan Dubowski. Tout sur le RCI de l’informatique en nuage.
Stratégies d’entreprise pour les technologies en nuage. IBM, Février 2010. p.2.
9 Michael O’Neil et Stefan Dubowski. Tout sur le RCI de l’informatique en nuage.
Stratégies d’entreprise pour les technologies en nuage. IBM, Février 2010. p.3.
2 novembre 2012 CLOUD COMPUTING
21
confidentialité des données confiées à une personne tierce; etc. Donc toutes les
entreprises n’ont pas le même niveau d’enthousiasme pour cette technologie et certaines
sont même conservatrices face à cette nouveauté.
Impacts du Cloud Computing
Le Cloud computing a un impact certains sur les entreprises qui l’utilisent. Certains
impacts sont techniques et d’autres sont économiques. Parmi les impacts, on peut
énumérer10 :
la réduction des dépenses d’exploitation : les coûts engendrés par les
infrastructures informatiques et leur maintenance constituent désormais un budget
important dans toutes les organisations quelle que soit leur taille. Il s’agit de
réduire ces coûts au minimum et le Cloud Computing constitue une solution dans
ce sens;
plate-forme d’essai et de développement : avec le Cloud Computing, les
entreprises ont à leur disposition une plate-forme dynamique dans laquelle elles
peuvent faire des simulations, qui autrement couteraient trop cher. Elles peuvent
monter et démonter des serveurs rapidement;
l’assurance de qualité : l’assurance de qualité est un autre aspect important prisé
par de nombreuses entreprises. Les services assurés par un fournisseur de service
permettent de s’assurer d’un service de qualité;
l’accroissement de la sécurité et la confidentialité de l’information : les
aspects sécurité de l’information sont confiés à une tierce personne qui mettra
tous les moyens pour la sécuriser. Ce qui peut conduire à des économies énormes
car la mise en place et l’application d’une politique de sécurité est une procédure
complexe ayant un cout non négligeable;
la flexibilité du déploiement de nouveaux services : les entreprises veulent agir
rapidement pour ne pas perdre les opportunités sur le marché. L’utilisation du
Cloud Computing les aide dans ce sens car c’est une plate-forme flexible dans
laquelle on peut mettre en œuvre rapidement de nouveaux services.
10 Michael O’Neil et Stefan Dubowski. Tout sur le RCI de l’informatique en nuage.
Stratégies d’entreprise pour les technologies en nuage. IBM, Février 2010.
2 novembre 2012 CLOUD COMPUTING
22
Tous ces aspects permettent aux entreprises de réduire les coûts, d’assurer une qualité de
service à leur clientèle, d’avoir une sécurité accrue de leur information, d’être flexible et
en mettant en œuvre de nouveaux services rapidement, etc. Ce qui est impact important,
tant économique que technique, dans la gestion et la diffusion de l’information de ces
entreprises, ainsi que pour assurer les services offerts à leur clientèle.
Ces types d’impacts peuvent intéresser ou non différentes entreprises selon leurs besoins.
Certains considèrent que la sécurité et la confidentialité des informations passe avant tout
autre choses. D’autres considèrent que les coûts sont plus importants. Donc, selon les
besoins de l’entreprise concernée, le Cloud Computing peut avoir l’impact voulu. Selon
nous, cela ne dépend pas de la taille de l’entreprise, mais plutôt de l’intérêt manifesté par
chacune. Ce qui peut avoir un impact par contre est le prix que l’entreprise est prête à
mettre pour avoir le service. Il est clair que les grandes entreprises sont plus de moyens
que les petites. Mais les petites entreprises peuvent trouver leur compte dans le Cloud
Computing, à moindre coût en se débarrassant de l’infrastructure et de ses dépenses, elles
peuvent obtenir tous les services dont elles ont besoin.
2 novembre 2012 CLOUD COMPUTING
23
Analyses et justifications
Pour résumer les aspects tant positifs que négatifs du Cloud Computing, nous pouvons
dire que les côtés négatifs sont moindres par rapport aux côtés positifs. Dans cette
section, nous reprenons un peu ce que nous avons déjà avancé ci-dessus sur le Cloud
Computing.
Raisons positives
Les raisons qui peuvent inciter une entreprise à adopter le Cloud Computing sont les
suivantes.
la réduction des dépenses d’exploitation : les coûts engendrés par les
infrastructures informatiques et leur maintenance constituent désormais un budget
important dans toutes les organisations quelle que soit leur taille. Il s’agit de
réduire ces coûts au minimum et le Cloud Computing constitue une solution dans
ce sens;
plate-forme d’essai et de développement : avec le Cloud Computing, les
entreprises ont à leur disposition une plate-forme dynamique dans laquelle elles
peuvent faire des simulations, qui autrement couteraient trop cher. Elles peuvent
monter et démonter des serveurs rapidement;
l’assurance de qualité : l’assurance de qualité est un autre aspect important prisé
par de nombreuses entreprises. Les services assurés par un fournisseur de service
permettent de s’assurer d’un service de qualité;
l’accroissement de la sécurité et la confidentialité de l’information : les
aspects sécurité de l’information sont confiés à une tierce personne qui mettra
tous les moyens pour la sécuriser. Ce qui peut conduire à des économies énormes
car la mise en place et l’application d’une politique de sécurité est une procédure
complexe ayant un cout non négligeable;
la flexibilité du déploiement de nouveaux services : les entreprises veulent agir
rapidement pour ne pas perdre les opportunités sur le marché. L’utilisation du
Cloud Computing les aide dans ce sens car c’est une plate-forme flexible dans
laquelle on peut mettre en œuvre rapidement de nouveaux services.
2 novembre 2012 CLOUD COMPUTING
24
Raisons négatives
Il n’en reste pas moins que le Cloud Computing a certains aspects négatifs dont nous
énumérons certains notamment pour les entreprises MPE.
1. « Cadre légal. Comme vous le savez peut être, les données que vous
transférez dans le cloud ne sont pas forcément présentes sur le territoire
national : elles peuvent l’être, comme elles peuvent être dans un autre pays
européen. Par conséquent, sauf mention contraire de votre prestataire de
service, vous ne savez pas précisément à quel endroit sont stockées vos
données. De plus, vous n’avez aucun accès physique à ces données. Selon
votre type d’activité, la loi peut vous imposer de pouvoir localiser
précisément et rapidement vos données, tout en ayant la possibilité d’avoir
un accès physique sur ces données. Cela peut également être le cas lors de
la signature d’un contrat avec l’un de vos clients. Pensez à bien vous
renseigner.
2. Votre connexion internet. Le cloud utilisant de manière intensive le
transfert de données, vous devez avoir une connexion très performante.
Plusieurs cas peuvent faire que le cloud sera inadapté à votre entreprise.
Si vous habitez dans un lieu éloigné d’un répartiteur, votre
connexion aura probablement un débit faible.
Votre connexion dispose-t-elle d’un débit garanti ? Si ce n’est pas
le cas, une coupure peut survenir, vous privant de tous les accès à
votre cloud, et donc à toutes vos applications / données.
3. Coût du Cloud. Beaucoup ne regardent que les frais de stockage, mais il
faut également prendre en compte les frais de transferts, qui peuvent
s’avérer être gargantuesques, selon l’utilisation que vous faites du cloud.
Pensez à bien comparer les prix des solutions cloud et des solutions
pouvant être hébergées en interne. De plus, les sociétés proposant des
offres de type cloud pratiques des tarifs différenciés : un hébergement en
Europe sera généralement plus onéreux qu’un hébergement aux Etats-Unis
par exemple. Prenez également en compte le cout de transition : certaines
applications existent déjà dans le cloud, mais pour d’autres, il faudra
parfois les coder à nouveau.
4. L’optimisation des applications. Malgré une connexion internet rapide,
avec un débit garanti, certaines applications web peuvent s’avérer être très
lentes. Pensez à vérifier l’optimisation de vos applications et/ou des
serveurs. De plus, certains applications web peuvent s’avérer être plus
2 novembre 2012 CLOUD COMPUTING
25
limitées que des applications fonctionnant sur vos propres ordinateurs.
Enfin, lorsque votre prestataire de service procède à de l’optimisation de
son infrastructure (renouvellement de matériel, défragmentation), avez-
vous toujours un accès optimal à vos données ? La vitesse prédomine dans
la plupart des sociétés, et adopter le cloud signifie obligatoirement une
perte de vitesse, matérialisée par le temps de transmission des données.
5. La sécurité du cloud. Plusieurs points sont à étudier :
Sécurité vis-à-vis du stockage : les données sont-elles conservées
dans un seul disque, ou alors sont-elles réparties entre plusieurs
unités de stockage, dans plusieurs centres de données ?
Sécurité et confidentialité des données : votre fournisseur de
service assure-t-il des tests portant sur sa sécurité informatique ?
Une intrusion est-elle possible ? Ces tests sont-ils réguliers, et
certifiés par un organisme indépendant et reconnu ?
Sécurité des locaux : sont-ils inaccessibles pour des personnes
malintentionnées ?
6. La pérennité du service. Votre hébergeur cloud va-t-il durer dans le
temps ? Cet élément est important à prendre en compte, un changement
d’hébergeur prenant du temps, et pouvant nécessiter un recodage des
applications. Comme tout le monde le sait : le temps, c’est de l’argent !
Lorsque vous choisissez un prestataire de services, mieux vaut le faire en
connaissance de cause, et privilégier la durée et la stabilité. Pensez
également à vérifier s’il a, dans le passé, proposé des nouvelles fonctions
fréquentes, et s’il sait s’adapter à la concurrence, voire s’il mène la
concurrence.
7. La productivité des salariés. Sera-t-elle impactée négativement par le
cloud ? Certes, vous pouvez faire des économies sur le stockage et le
traitement d’informations, mais si vos employés doivent passer plus de
temps pour leurs taches, vous risquez d’y perdre plus que d’y gagner.
8. La plateforme. Si vous décider d’utiliser tel ou tel hébergeur, vous vous
engagez envers une technologie. En effet, chaque plateforme utilise
(généralement) une technologie propriétaire. Si vous devez supporter de
multiples plateformes, veuillez à ce que votre hébergeur maximise la
compatibilité. Dans le cas contraire, vous devrez gérer plusieurs clouds, ce
qui peut s’avérer vite très complexe.
9. Les conditions de service. Vous pouvez consulter ces conditions avant le
contrat, et vérifier qu’elles sont conformes à vos exigences. Vu que ces
2 novembre 2012 CLOUD COMPUTING
26
contrats sont très détaillés, mieux faut lire tout en détail avant de prendre
une décision.
10. Votre opinion. Il s’agit plus d’un critère subjectif qu’objectif, à savoir si
vous êtes prêts à franchir le pas, si vos salariés et votre entreprise en sont
capables. Comment appréciez-vous le cloud ? En avez-vous peur ? Il
s’agit du critère en dernière position, mais qui est probablement le plus
déterminant dans votre décision. »11
Après avoir donné toutes ces justifications, tant positives que négatives, chacune des
entreprises peut choisir d’utiliser ou non le Cloud Computing selon les risques qu’elle
prend et les bénéfices qu’elle peut en tirer.
11 10 inconvénients du Cloud Computing pour les PME. Flora Dartyge. Janvier 2011.
2 novembre 2012 CLOUD COMPUTING
27
Conclusion
Après ce tour d’horizon sur le Cloud Computing, nous pouvons rappeler que c’est une
technologie assez récente et qui n’est pas encore arrivée à maturité. Elle lui reste encore
beaucoup de chemin avant d’arriver à un point de stabilité. Vue les inconvénients
nombreux concernant les coût et les problèmes de sécurité, nous pouvons dire qu’une
petite entreprise comme la note doit encore attendre un peu avant d’adopter une telle
technologie et que l’on doit se contenter de nos serveurs locaux et de note service
informatique. En effet, il y a plusieurs points à rappeler concernant les problèmes
potentiels que l’on pourra rencontrer dans le cas où le Cloud Computing est adopté par
notre entreprise dont les suivants :
Le cadre légal. Les informations stockées que le web ne sont pas forcément dans
le même pays que l’entreprise qui loue les services du Cloud Computing.
Votre connexion internet. Il faut disposer d’une connexion haute performance ce
qui induit des dispenses supplémentaire un manque de sécurité.
Coût du Cloud. Il existe de nombreuses dispenses tant le prix du Cloud
Computing que les dispenses afférentes dont les connexions internet.
L’optimisation des applications. Malgré une connexion internet rapide, avec un
débit garanti, certaines applications web peuvent s’avérer être très lentes.
La sécurité du cloud. La sécurité et la confidentialité des données sont laissées
aux soins de l’hébergeur.
La pérennité du service. Votre hébergeur cloud va-t-il durer dans le temps ?
La productivité des salariés. Sera-t-elle impactée négativement par le cloud ?
La plateforme. Si vous décider d’utiliser tel ou tel hébergeur, vous vous engagez
envers une technologie.
Les conditions de service. Vous pouvez consulter ces conditions avant le contrat,
et vérifier qu’elles sont conformes à vos exigences.
Ainsi, pour éviter tous ces problèmes potentiels, il est recommandé de reporter l’adoption
du Cloud Computing. Pour une entreprise qui vient de démarre et qui n’a pas encore
acquis des biens informatiques et des une équipe comme la nôtre, on peut dire que les
inconvénients, même s’ils existent, peuvent être négligés par rapport au coût que devra
coûter une infrastructure et une équipe de travail pour se maintenance. Mais nous avions
déjà acquis une certaine maturité dans notre travail et il est bon de continuer ainsi en
attendant que cette technologie soit plus abordable et soient plus sûre.
2 novembre 2012 CLOUD COMPUTING
28
Bilans individuels
Dans cette section, nous donnons nos bilans individuels respectifs. Chacun de nous
essayera de déterminer deux points positifs et deux points négatifs concernant le Cloud
Computing.
Bilan de Ali
Ce travail m’a fait découvrir le Cloud Computing d’une nouvelle manière. J’ai pu
préciser avec ce travail les points positifs et les points négatifs. On peut dire que c’est une
technologie encore récente par rapport à d’autres et qu’elle a encore du chemin à faire
avant d’arriver à maturité. Les deux points positifs que je retiens de cette technologie sont
les suivants :
La réduction des dépenses : la réduction des dispenses est certainement un point
important car dans l’avenir les coûts des équipements informatiques et des
télécommunications utilisés seront en réduction. A ce moment-là le Cloud
Computing deviendra planétaire et sera à la disposition de tout un chacun que ce
soit des entreprises ou des individus. Nous l’avons vu avec les courriels gratuits
qui sont devenus monnaie courante à l’heure qu’elle est. Pourtant, les serveurs
dans lesquels les informations concernant le courrier sont conservées peuvent se
trouver à l’autre bout du monde. C’est en quelle sorte du Cloud Computing è
petite échelle. Ce genre de service pourra un jour se généraliser à l’ensemble des
besoins en informatique.
L’assurance de qualité : les entreprises se doivent d’être compétitives sur le
marché et leurs services se doivent d’être à la hauteur des attentes de la clientèle.
Pour cela, il faut que la technologie soit performante, sécuritaire et évolutive. Un
tel service doit coûter beaucoup d’argent à une entreprise pour maintenir un haut
niveau de qualité. Recourir au Cloud Computing peut aider à réduire ces coûts et
en même temps obtenir des services de qualités auprès d’opérateurs ayant une
connaissance approfondie de la technologie et une expérience de longue date et
qui ont les moyens de réduire les coûts tout en assurant une grande qualité de
service.
Concernant les points négatifs du Cloud Computing, je peux dire qu’il en existe beaucoup
qui ont retenu mon attention vue que la technologie est assez récente sur le marché. Mais
je peux en citer juste les deux suivants qui sont des points de vue d’un technicien :
L’optimisation des applications. Malgré une connexion internet rapide, avec un
débit garanti, certaines applications web peuvent s’avérer être très lentes. En effet,
2 novembre 2012 CLOUD COMPUTING
29
le flux de données qui circulent entre les serveurs et les postes de travails peut être
astronomique si les applications sont de grande envergure. Ceci peut induire des
retards et des délais pour les utilisateurs finaux. Ce qui est un défaut pour
l’assurance qualité.
La sécurité du Cloud. La sécurité et la confidentialité des données sont laissées
aux soins de l’hébergeur. Si les informations hébergées sont très sensibles, cela
peut conduite à des problèmes de sécurité tant sur les serveurs de stockage que sur
les lignes de transmission. En plus des problèmes technologiques de sécurité, il y
existe d’autres problèmes concernant les locaux dans lesquels sont hébergés les
serveurs et qui peuvent être vulnérables aux catastrophes naturelles ou aux
personnes malveillantes.
Ainsi, à l’image de toute technologie, le Cloud Computing a des avantages et des
inconvénients. Mais il parait que l’avenir lui réserve un bel avenir car les technologies
deviennent de plus en plus complexes et il devient difficile de gérer un parc informatique
notamment pour les entreprises de moyenne et de petite taille. Il sera avantageux dans
l’avenir de recourir aux technologies du Cloud pour assurer des services de qualité à
moindre coût.
2 novembre 2012 CLOUD COMPUTING
30
Bilan de Cosmin
Le cloud détient un grand potentiel pour l’entreprise mais il n’est pas la réponse à tous les
besoins. Chaque entreprise ou abonné aux services cloud a des besoins spécifiques en
matière de disponibilité, sécurité et qualité des applications offertes. J’ai identifié 5 points
positifs et 5 points négatifs, mais j’expose juste 2 dans chaque catégorie.
Deux raisons de se tourner vers cloud :
Un démarrage rapide. Le Cloud computing est une solution de facilité pour une
start-up, car il permet de tester son plan d’affaire rapidement et à coûts réduits.
Les petits entreprises qui démarrent une affaire et qui veulent une présence Web
active ne disposent pas au début de beaucoup de capital à investir dans des
serveurs des données. Il est plus avantageux de suivre un plan d’affaire qui a déjà
démontrer son efficacité et utiliser judicieusement son capital pour la croissance
de l’affaire. Elle peut opter pour un modèle de cloud public de type SaaS.
Dorénavant les dépenses informatiques peuvent être comptabilisées en tant que
dépenses de fonctionnement.
Évolutivité. Pour savoir si le Cloud peut nous être utile, on commence par étudier
la variabilité de l'utilisation de ressources de notre propre structure IT. Si nous
avons des pics énormes et des creux, il nous faut un supplément de ressources
pour les pics. Il est possible que l’externalisation des ressources pourrait bien être
la solution à l’encombrement de notre réseau.
Deux raisons d’éviter le cloud :
Les performances des applications peuvent être amoindries.
Si on prend en compte la latence du réseau, un Cloud public n'améliorera
définitivement pas les performances des applications (Tony Bishop, PDG de
Adaptivity, un cabinet de conseil spécialisé dans les infrastructures IT nouvelle
génération). Toute application sensible à la latence ne devrait pas être mise sur un
cloud public. Un cloud privé avec des connexions très rapides peut être la
solution.
La fiabilité du Cloud. Si on a des données sensibles et confidentielles mieux vaut
mettre en place une gouvernance interne, et de faire preuve de rigueur quant au
soin apporté à ces données. Ne jamais mettre dans un cloud des applications qui
donne des avantages compétitifs ou qui contient des informations clients
2 novembre 2012 CLOUD COMPUTING
31
Annexes
Les 5 principales erreurs à ne pas commettre lorsqu’on adopte
le Cloud. (Sources)
LE CERCLE. (par Christophe Auberger) - Cette année, le cloud computing gagne du
terrain au sein des entreprises. Les DSI sont dorénavant convaincus que lorsqu’il est
correctement implémenté, le cloud computing peut radicalement améliorer la flexibilité et
la productivité de l’entreprise tout en réduisant les coûts d’infrastructure.
Écrit par Christophe Auberger
On s’attend à ce que les grandes et petites entreprises basculent d’importantes parties de
leurs opérations dans le cloud d’ici les deux prochaines années.
Pourtant, alors que chaque organisation veut une partie du cloud, toutes n’obtiendront pas
les résultats qu’elles désirent. Voici les cinq principales erreurs à éviter:
1. Ne pas opter pour le bon modèle de cloud
Les entreprises migrant vers le cloud peuvent choisir parmi les clouds publics, clouds
privés, clouds communautaires ou clouds hybrides.
Le cloud public: Il appartient à un fournisseur cloud et est accessible à un large public. Le
principe est de payer à l’utilisation et la plateforme est partagée avec d’autres
utilisateurs.
Le cloud privé: Il appartient et est déployé par une organisation pour sa propre utilisation
puisqu’elle en est la seule et unique propriétaire.
Le cloud communautaire: Il est partagé en coopération par plusieurs organisations,
souvent de la même industrie.
Le cloud hybride : Il mixe les modèles de déploiement cloud énumérés ci-dessus,
permettant aux applications et données de passer facilement d’un cloud à l’autre.
2 novembre 2012 CLOUD COMPUTING
32
Chaque type de déploiement en matière de cloud a ses avantages. Les facteurs à
considérer avant l’adoption sont : le niveau de criticité des applications que l’entreprise
veut basculer dans le cloud ; les questions de réglementation et de conformité ; les
niveaux de services (SLA) nécessaires ; les modes d’utilisation selon les charges de
travail ; et la manière dont les applications doivent être intégrées aux autres fonctions de
l’entreprise.
2. Ne pas intégrer la sécurité cloud dans sa politique de sécurité d’entreprise
Vos politiques de sécurité cloud et sécurité d’entreprise doivent être intégrées. Au lieu de
créer une nouvelle politique de sécurité pour le cloud, renforcez plutôt vos politiques de
sécurité existantes en considérant cette plateforme supplémentaire. Pour modifier vos
politiques cloud, vous devez tenir compte des facteurs suivants: où sont stockées les
données, comment elles sont protégées, qui en a accès, mais aussi la conformité avec les
règlementations, et les niveaux de services SLA.
Lorsqu’elle est correctement effectuée, l’adoption du cloud computing peut être une
occasion d’améliorer vos politiques de sécurité et votre position globale de sécurité.
3. Compter sur la sécurité de son fournisseur de services cloud
Ne pensez pas que vos données soient automatiquement sécurisées parce que vous
utilisez un fournisseur de services. Vous devez faire un examen complet de la technologie
et des processus de sécurité du fournisseur, et vérifiez la manière dont ils sécurisent vos
données et leurs infrastructures. Plus précisément, vous devriez examiner :
La transportabilité des données et applications: votre fournisseur vous permet-il
d’exporter les applications, données et processus existants dans le cloud? Pouvez-vous
les importer de nouveau aussi facilement ?
La sécurité physique des centres de données: Comment les fournisseurs de services
protègent leurs centres de données physiques? Utilisent-ils des centres de données
certifiés aux normes SAS 70 Type II? Comment leurs opérateurs de centres de données
sont-ils formés et qualifiés ?
La sécurité des accès et des opérations: Comment votre fournisseur contrôle l’accès aux
machines physiques? Qui est en mesure d’accéder à ces machines, et comment sont-elles
gérées ?
La sécurité du centre de données virtuel: L’architecture cloud est la clé de l’efficacité.
Sachez comment les parties individuelles telles que les nœuds de traitement, nœuds du
réseau et nœuds de stockage sont architecturés, et comment elles sont intégrées et
sécurisées.
La sécurité des données et des applications: Pour mettre vos politiques en application, la
solution cloud doit vous permettre de définir des groupes et rôles avec un contrôle
2 novembre 2012 CLOUD COMPUTING
33
d’accès basé sur le rôle précis, des règles de mots de passe et une encryption des données
appropriées (en transit et à l’arrêt).
4. Supposer que vous n’êtes plus responsable de la sécurisation des données
Ne pensez jamais que l’externalisation de vos applications ou systèmes signifie que vous
n’êtes plus responsable en cas de violation de données. Certaines PME ont cette fausse
idée mais sachez que votre entreprise est toujours au bout du compte responsable vis à
vis de ses clients et de tout autre partie prenante lorsqu’il s’agit d’inviolabilité des
données. Autrement dit, c’est votre CEO qui risque d’aller en prison, et non le
fournisseur cloud.
5. Ne pas savoir quelles lois locales s’appliquent
Les données qui sont en sécurité dans un pays peuvent ne pas l’être dans un autre.
Cependant, dans de nombreux cas, les utilisateurs des services cloud ne savent pas où
sont stockées leurs informations. Actuellement dans le processus d’harmonisation des
lois sur les données de ses états membres, l’Union Européenne favorise la protection très
stricte de la vie privée, tandis que les lois américaines, telles que l’US Patriot Act,
permettent au gouvernement et autres organismes d’avoir un accès quasi illimité aux
informations appartenant aux entreprises.
Sachez toujours où sont vos données. Si nécessaire, stockez vos données dans plusieurs
endroits. Il est conseillé de choisir une juridiction qui vous permet d’accéder à vos
données même si votre contrat avec votre fournisseur cloud se termine de manière
inattendue. Le fournisseur de services devrait également vous donner l’option de choisir
l’endroit où vos données seront stockées.
2 novembre 2012 CLOUD COMPUTING
34
Bibliographie
Documentation utilisée
1. Introduction à l’informatique en nuage et à la sécurité
2. Regards sur l'informatique en nuage. Conclusions de 110 projets de mise en
œuvre. Académie de technologie IBM, 2011.
3. Matt Porta, Anthony Karimi, Joseph Plaskon et Deepak Sharma. Réaliser le
potentiel de l'informatique en nuage. Livre blanc, IBM Corporation, 2010.
4. Michael O’Neil et Stefan Dubowski. Tout sur le RCI de l’informatique en nuage.
Stratégies d’entreprise pour les technologies en nuage. IBM, Février 2010.
5. Cloud Computing. Wikipedia.
6. 10 inconvénients du Cloud Computing pour les PME. Flora Dartyge. Janvier
2011.
Lectures supplémentaires
1. Hervé Le Crosnier. A l’ère de l’«informatique en nuages. Le monde diplomatique,
Aout, 2008.
2. Vic (J.R.) Winkler. La sécurité dans le Cloud. Techniques pour une informatique
en nuage sécurisée. Pearson Éducation, 2011.
3. Nick Antonopoulos, Lee Gillam. Cloud Computing. Principles, Systems and
Applications. Springer, 2010.
4. Barrie Sosinsky. Cloud Computing Bible. Wiley Publishing Inc., 2011.
5. Vic (J.R.) Winkler. La sécurité dans le Cloud. Pearson Éducation France, 2011.