B. INFRASTRUCTURES GLOBALES POUR LES SERVICES : LE NUAGE NUMÉRIQUE
1. Les quelques étapes clés
La recherche de la mutualisation de services trop coûteux au niveau individuel mais envisageable à l'échelle communautaire a été, depuis la révolution industrielle du début du XIX e siècle, la préoccupation sociétale majeure, c'est elle qui a conduit au déploiement de la voie ferrée, d'un réseau RTC, etc.
Dans le numérique, cette démarche a conduit successivement à la création de :
- dans les années 1950 - 1980 : applications « grands systèmes IBM » centralisés et mutualisés entre entreprises ;
- dans les a nnées 1980 - 1990 : services experts en téléphonie loués ( IBM , etc.) comme le fax, les liens télécoms pour les petites entreprises ;
- dans les a nnées 1990 : mutualisation d'applications par le biais de fournisseurs d'accès aux applications ( ASP , ancêtre du SaaS ).
L'informatique en nuage (ou cloud computing ) se présente désormais comme l'évolution naturelle de la distribution mutualisée de services informatiques tout en un, alliant en particulier la productivité , la compétitivité , l' agilité et l' organisation de la sécurité de l'entreprise .
Les échecs de la sécurisation des systèmes d'information, la complexité et le nombre de normes et lois devant être respectées, les coûts considérables que ces obligations engendrent amènent l'entreprise à se poser la question de l'externalisation de la fonction de sécurité ainsi que de nombreuses autres, comme celle des liens télécoms aux applications coûteuses en développement logiciel.
2. L'informatique en nuage comme changement de paradigme
L'informatique dans les nuages numériques constitue une nouvelle manière de fournir des ressources et des services puisque l'objectif est d'assembler des technologies (protocoles, standards, etc.) et composants informatiques (serveurs, équipements réseau, etc.) existants et bien éprouvés.
Il s'agit d'un paradigme fondé sur le principe d' un service « à la demande » totalement adapté aux besoins ponctuels ou permanents du client . Mais ce qui paraît le plus original est que les ressources sont des serveurs, des programmes, des liens télécoms regroupés en une seule offre de service .
Schéma n° 31 : Relation entre le fournisseur de service et le client dans le contrat de service
Source : OPECST
Après deux ans de travaux, le National Institute of Standards and Technology ( NIST ) a résumé l'informatique en nuage en cinq points essentiels :
- libre-service à la demande : les services et ressources sont offerts et délivrés à partir d'une architecture de type portail selon les besoins du client ;
- accessibilité du service offert depuis n'importe quel endroit du réseau et via diverses plates-formes (ordinateurs portables, téléphones mobiles, etc.) ;
- mutualisation des ressources : physiques ou surtout virtuelles, celles-ci sont paramétrables et réunies afin d'être dupliquées, allouées dynamiquement de façon à servir plusieurs clients au travers d'un modèle multilocataire ;
- élasticité par rapport au besoin : l'informatique fournie s'adapte rapidement à une variation du besoin ;
- service mesurable : les résultats attendus sont évalués par le biais de mécanismes capables d'instrumenter et mesurer les paramètres de consommation, etc.
Contrairement à une idée reçue, l'externalisation ne fait pas partie de la définition de l'informatique en nuage .
3. Les modèles de services offerts par le nuage numérique
Ces modèles concernent trois types de services :
- IaaS ( Infrastructure as a Service ) : les infrastructures sont fournies sous forme de service en mode clients/fournisseurs de façon quasi instantanée sans investissement ni installation de matériel, tout en gardant la possibilité de changer leur capacité en fonction de leurs besoins ;
- PaaS ( Platform as a Service ) : les plates-formes s'adressent aux développeurs de logiciels souhaitant adapter leurs logiciels, les mettre en production sans délais sur des plates-formes puissantes en fonction de la demande de leurs clients ;
- SaaS ( Software as a Service ) : une nouvelle forme de distribution, d'achat et d'usage des logiciels , configurés et activés sur les serveurs du fournisseur de SaaS , ce qui diffère d'un logiciel installé sur des serveurs ou postes de travail du client.
4. Les modèles de déploiements
Le modèle de déploiement permet de spécifier le lieu et l'organisme responsable de la gestion de l'infrastructure d'informatique en nuage. On distingue quatre modèles selon le cercle de diffusion, leur gérant et leur responsable :
- Nuage numérique public : accessible au grand public, aux groupes privés mais détenu et géré par un fournisseur de nuage ;
- Nuage numérique privé : accessible à l'organisme externe qui le gère ou le confie à un tiers, les ressources seront hébergées dans les locaux de l'organisme ou du tiers ;
- Nuage numérique communautaire : accessible à différents organismes nouant des intérêts communs : politiques, règles de sécurité, activités, besoins spécifiques, etc., géré par l'un ou plusieurs de ces organismes ou par un tiers et pouvant se trouver dans les locaux de l'un de ces organismes ou du tiers.
Le nuage hybride combine plusieurs de ces modèles.
|
« Nos données sont, à 90 %, stockées dans des centres privés ( data centers ), mais celles qui ne présentent pas de caractéristique particulière sont conservées dans un nuage, cloud, public.»
Mme Pascale Bernal
|
Schéma n° 32 : Infrastructure de nuage numérique
Source : OPECST
Les perspectives du nuage numérique sont maintenant bien établies, mais leur déploiement soulève encore des réserves.
5. Enjeux de sécurité du nuage numérique
L'un des principes clé est d'offrir des services à large échelle à la demande, ce qui implique une infrastructure multilocataire ( multitenant ), complexe et ouverte pouvant présenter de nouvelles vulnérabilités.
En particulier,
un modèle en
nuage public
repose sur le réseau Internet (non fiable)
et
implique des applications, parfois des applications métier, ce qui ouvre
celles-ci à des
risques de cyberattaques
.
La performance entre également en jeu selon la qualité du réseau pour accéder à ces applications. Néanmoins, ces infrastructures ont des configurations modélisées et éprouvées de la couche physique à la couche applicative, ce qui apporte des modèles, les simplifie, permet de les tester et de les vérifier afin d'en assurer une surveillance plus étroite.
|
« Par ailleurs, les données ont une valeur que de nombreuses entreprises ne mesurent pas comme il se doit. Une entreprise comme Facebook investit 1,2 milliard de dollars dans un data center sans faire payer le client ; les ressources proviennent donc de l'exploitation des données des clients et de la publicité . Rien n'est gratuit sur Internet . Nous ne nous inscrivons pas dans cette logique et nous n'avons pas ce volet d'optimisation financière : les clients qui viennent chez nous paient le service que nous proposons. Cela dit, nous respectons la loi française et n'exploitons pas les données de nos clients ».
M. Thierry Floriani
|
Les préoccupations des clients seront de plusieurs ordres :
- disponibilité du réseau : la performance étant la clé de la compétitivité de l'entreprise ; perdre la disponibilité remet en question le choix d'une informatique gérée et mutualisée ;
- perte de contrôle physique des données qui ne sont plus que partiellement à leurs propriétaires ; or la perte de leur contrôle menace le principe de confidentialité ;
- viabilité du fournisseur : le fournisseur multilocataire dépend de plusieurs tiers ; le manque de maturité de ces fournisseurs peut amener un client à s'interroger sur leur fiabilité.
|
« En ce qui concerne le cloud computing , nous lui accordons une confiance limitée dans la mesure où la géolocalisation des données et le degré d'application des mesures d'hygiène informatique ne sont pas garantis . Il est difficile de s'assurer que le prestataire, soumis à des objectifs de rentabilité financière, soit en capacité d'appliquer les mesures de sécurité requises. En outre, il existe un problème de réversibilité : une fois les données mises dans le nuage, existe-il des moyens suffisamment robustes pour les récupérer ? J'insiste sur le fait que l'accompagnement de l'ANSSI est capital, étant donné la dissymétrie des moyens et la complexité des enjeux. La Commission nationale de l'informatique et des libertés (CNIL) joue également un rôle, davantage axé sur la protection des données personnelles ».
M. Ahmed Bennour
|
|
« Le CEA a une position claire sur le cloud computing et l'infogérance. Nous n'utilisons pas le cloud computing car nous souhaitons conserver la maîtrise de notre système d'information . Nous recourons à l'infogérance, mais nous hébergeons les sous-traitants dans nos locaux ».
M. Lionel Darasse
|
|
« Il faut une volonté nationale de promouvoir les outils français : des hébergeurs français, des nuages numériques français, dans un cadre français, avec des réseaux français . Une sensibilisation est essentielle pour cela. Cela peut partir des grands groupes dans lesquels il y a des représentants de l'État. Sinon, il est impossible d'avoir quelque confiance que ce soit dans le nuage numérique, y compris dans les nuages français et d'autant moins lorsqu'ils sont gouvernés par des lois non françaises ».
Mme Claude Revel
|