2010 ne sera pas seulement l’année du Cloud Computing. Cela sera surtout l’année où les grands défenseurs du Cloud vont promouvoir sa sécurité qui reste toujours, pour le moment, la grande faiblesse de l’informatique « dans les nuages ». Même le gouvernement français en a fait une priorité en allouant au développement des infrastructures Cloud, 700 millions d’euros sur les 4,5 milliards d’euros réservés à l’économie numérique dans le cadre du Grand Emprunt.
Je ne vais pas tenter de redéfinir une énième fois ce qu’on entend par Cloud Computing mais je me permets de faire un petit rappel pour les non-initiés. Le Monde (oui, je cherchais une définition grand public) définit le Cloud Computing comme :
C’est le dernier concept à la mode dans le secteur informatique. Le « cloud computing », littéralement « l’informatique dans les nuages », consiste pour les entreprises à externaliser les ressources numériques qu’elles stockent. Ces ressources – serveurs offrant des capacités de calcul, du stockage, logiciels de messagerie électronique, de paie – sont mises à disposition par des sociétés tierces et accessibles, grâce à un système d’identification, via un PC et une connexion à Internet.
Des initiatives en matière de sécurité
« Quelque chose bloque la pleine réalisation de la vision Cloud. Et en un mot c’est la sécurité. » Coviello, président de RSA
La Cloud Security Alliance (CSA) a été créée l’année dernière et ses membres fondateurs sont tous des grands noms de l’informatique mais pas seulement (RSA, Dell, Intel, Cisco, HP, Symantec, Salesforce, eBay, Visa, Fox Newscorp, Barclays, …). L’objectif de cette association est de permettre la promotion du Cloud Computing sous l’angle de la sécurité. Le but est de proposer, par exemple, des guides de bonnes pratiques de sécurité pour rassurer les entreprises à ce sujet. C’est la confiance qui fera décoller le Cloud dans de nombreuses entreprises qui restent encore très frileuses à confier leurs données critiques à des prestataires extérieurs. A noter que Google a adhéré à cette association en fin de semaine dernière et qu’Amazon, autre grand acteur du Cloud, n’y est toujours pas adhérent…
La conférence RSA 2010
L’édition 2010 de la conférence RSA a débuté sous le signe du Cloud Computing, la Cloud Security Association a présenté ses travaux à travers cinq grands thèmes :
les principales menaces,
la collaboration avec l’IEEE en vue de l’élaboration de standards et de normes internationales,
le projet de Cloud « de confiance » autour de certifications et de gestion des identités,
la conception d’une matrice d’utilisation,
un appel à contribution pour ses guides.
Le président de RSA, filiale sécurité de EMC, a également donné sa vision des grandes étapes que doivent suivre les entreprises pour entreprendre une première démarche vers une architecture en Cloud privé (qui correspond à du Cloud sur des serveurs privés de l’entreprise) avant peut-être de migrer certains services ou applications sur des Clouds hybrides :
Adoption initiale de la virtualisation pour consolider l’infrastructure non-cruciale, tels que les systèmes de test et de développement ou bien encore les applications à faible risque. Cette étape contraint l’entreprise à développer ses connaissances sur les outils de virtualisation et à commencer le processus « renforcement » (« hardening ») de l’infrastructure virtuelle.
Virtualiser les applications critiques et s’assurer que l’entreprise maintienne toujours le même niveau de visibilité sur son état de conformité dans l’environnement virtuel jusqu’à l’infrastructure physique.
Développer des clouds internes et exploiter leur infrastructure d’information comme un service consistant en un data center virtualisé et automatisé où le travail sur les applications est piloté par des politiques et des niveaux de service.
Externaliser l’infrastructure aux fournisseurs de services. Cette phase exige une sélection prudente des fournisseurs de services basée sur leur capacité « à mettre en application la politique de sécurité, à prouver la conformité et à gérer la multi-location. » source : globalsecuritymag.fr
Sa conclusion est tout aussi intéressante :
« Si nous pouvons faire en sorte que la sécurité soit construite et intégrée dans l’infrastructure virtuelle – cela donnera de la visibilité et facilitera la gestion, tout en apportant des points de décision sur le risque et plus de contrôle. Bref, le cloud changera la manière dont nous livrons la sécurité « inside-out ». La sécurité de l’information permettra au Cloud computing de tirer pleinement avantage d’Internet qui transforme également nos modèles informatiques « inside-out ». Cela signifie que nous pouvons offrir de nouvelles vagues d’efficacité, d’agilité et de collaboration pour les entreprises de toutes tailles. » source : globalsecuritymag.fr
L’avenir du Cloud passe donc bien par la confiance que les entreprises utilisatrices sauront accorder aux géants de ce nouveau type de services. La sécurité reste la clé d’entrée de ces nouvelles stratégies informatiques. Cela passe bien évidemment par des normes internationales reconnues par tous, de la transparence de la part des prestataires mais aussi par une réflexion menée en amont par les entreprises demandeuses de ces solutions en ligne afin de trouver un compromis satisfaisant entre les coûts, la recherche de flexibilité, de productivité et l’épineuse problématique de la sécurité des informations critiques.
Sources :