Comment sécuriser vos informations dans le Cloud

En confiant vos données et applications à un prestataire cloud, vous adaptez vos ressources informatiques à vos besoins réels en limitant vos dépenses informatiques. Mais il faut veiller à la sécurisation des informations, aux coûts cachés et bien lire le contenu des contrats.

Faire face à une forte augmentation des commandes en période de fêtes pour un site de e-commerce, réduire sa facture informatique pour une TPE, une ETI, une PME, partager des données avec tous les collaborateurs où qu’ils se trouvent : la liste des usages du cloud est longue, le principal avantage étant de bénéficier immédiatement de ressources informatiques sans investir lourdement en matériel et logiciels en interne.
Le mode Saas (Software as a service) est le plus utilisé avec la messagerie, la comptabilité, les Ressources Humaines, le CRM, les ERP. Le recours au Saas est aujourd’hui de nature stratégique, pour bénéficier d’un parc d’applications homogène et faciliter le déploiement d’applications, avant même d’être un objectif de réduction des coûts. En mode Iass (Infrastructure as a service), le stockage de données et l’utilisation de serveurs sont les usages les plus plébiscités. Le Paas (Plateform as a service) est utilisé par les développeurs pour tester de nouvelles applications et architectures informatiques. Ce mode représente une faible proportion des usages du cloud. Une entreprise a le choix entre le cloud public, un service partagé et mutualisé entre de nombreux clients, ou un cloud privé, qui est un service dédié à un client spécifique. Pour faire face à des pics d’utilisation tels qu’une campagne publicitaire, la mise en œuvre d’un nouveau service ou produit, un afflux ponctuel de commandes, un plan de reprise d’activité, les prestataires de cloud proposent des solutions de cloud hybride qui permettent, par exemple, d’ajouter très vite les ressources d’un cloud public à un cloud privé.
L’accès à des services, applications métiers, espaces de calcul et de stockage des données est simplifié pour tous les utilisateurs de l’entreprise en interne ou pour les collaborateurs nomades. Encore faut-il s’assurer de la disponibilité des services et s’assurer par un contrat précis que les garanties offertes par les fournisseurs sur la conti­nuité de service sont suffisantes. Ce type d’engagement appelé SLA (Service Level Agreement) doit inclure les temps d’arrêt des serveurs pour maintenance ou pour des interruptions inattendues, et les experts estiment qu’il doit se rapprocher de 99,9 % dans l’idéal.

La sécurité au cœur des préoccupations
La curiosité de la NSA (agence américaine de sécurité) ou des services chinois pour les données des institutions gouvernementales et des entreprises ont poussé le gouvernement français à investir, à mettre en place il y a 3 ou 4 ans, deux clouds souverains, Numergy et CloudWatt. Le but est d’héberger et de sécuriser les données critiques des entreprises sur des data centers situés en France et non à l’étranger. Louable intention mais Reda Belouizdad, directeur marketing d’Ikoula, un acteur historique du cloud et de l’infogérance objecte : « On ne s’improvise pas hébergeur de solutions cloud, au regard du développement de solutions complexes. Pourquoi ne pas avoir fait appel à des acteurs déjà installés et matures pour gagner du temps ? Face au leader du cloud Amazon, Ikoula se positionne comme un « Amazon light » et met en avant sa réactivité et sa maturité technologique. Thierry Floriani, RSSI de Numergy, met quant à lui en avant une politique de sécurité robuste : « Dès le départ, la sécurité est intégrée au cahier des charges. Nous travaillons en accord avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en mettant en œuvre des outils de protection tels que notre centre de supervision de la sécurité, du chiffrement, pare-feu, et en cloisonnant des environnements ».

Combien cela coûte-t-il ?
En souscrivant à des offres de cloud computing, l’utilisateur paie uniquement ce qu’il consomme. Pour avoir une première évaluation des coûts, voir la calculette de Numergy sur www.numergy.com. Afin de faciliter la prise de décisions des responsables d’entreprises, Cloudscreener.com a livré une étude au 4e trimestre 2014 concernant les coûts des offres d’entrée de gamme des opérateurs, reprise par le Journal du Net. Pour un petit projet concernant l’hébergement d’applications métier utilisées par 30 à 50 utilisateurs, 3 serveurs et 1 trafic sortant de 13 Go/mois (pour un débit de1 Mbps), les coûts mensuels varient de 120 € à 340 €. Pour un grand projet d’hébergement d’applications à la disposition de 750 à 1 000 utilisateurs reposant sur une infrastructure de 6 serveurs, 50 Go de stockage block, 250 Go/mois de trafic sortant (pour un débit de 8 Mbps), les offres s’échelonnent de 340 € à 720 €.
Une analyse précise de vos besoins vous permettra de choisir l’offre qui vous correspond, tant en termes de tarifs que de performances.

Serge ESCALÉ

 

Nouvelles normes ISO et responsabilité juridique

Ces nouvelles normes publiées fin 2014, concernent l’utilisation du cloud en mode Iaas, qui suppose, entre autres, le stockage et l’utilisation de données personnelle ou critiques. Il s’agit des normes ISO 17788 (définition des types d’intervenants sur le marché du cloud), ISO 17789 (interopérabilité des offres) et  ISO 27018 (sécurité et traitement des données personnelles). « L’Afnor s’intéresse à la normalisation du cloud et cela est une très bonne chose mais on peut difficilement appliquer des normes dans un monde cloud si mouvant et si rapide que même les fournisseurs changent régulièrement leur fusil d’épaule », affirme Jules-Henri Gavetti, fondateur d’Ikoula. Pour autant, Eric le Quellenec, directeur du département Informatique conseil du cabinet Alain Bensoussan, spécialisé dans le domaine numérique, conseille aux entreprises d’intégrer les nouvelles normes. Dans le courant de l’année 2015, une norme sur le SLA (Service Level Agreement), document qui définit la qualité de service  entre un prestataire et un client, va être publiée. « La nouveauté, c’est qu’en intégrant ces nouvelles normes dans les contrats, elles ont force de loi. Auparavant, il n’y avait aucune marge pour négocier en cas de litige avec un client. Par contrat, on peut préciser la localisation du stockage physique des données, les conditions de rétablissement des services, les clauses de garantie », précise Eric le Quellenec.

 

 

Serge Escalé

Journaliste indépendant spécialisé IT depuis 1995Le Monde informatique, Le Figaro, Les Echos, Itespresso, Le MagIT, Silicon.fr, GPO Magazine

Du même auteur

Bouton retour en haut de la page

Adblock détecté

S'il vous plaît envisager de nous soutenir en désactivant votre bloqueur de publicité