Le Cloud victime des fantasmes ?

Tout candidat à une migration vers le Cloud se voit en fait tiraillé entre deux pôles opposés : d’un côté des promesses de rationalisation, de simplicité et d’économies et, de l’autre, l’inquiétude de confier ses données confidentielles à une entreprise tierce. Comment faire la part des choses ?

L’informatique « dans les nuages » ! Qui a bien pu inventer un terme pareil ? Peut-être faut-il attribuer à ce vocable incongru et aérien la ribambelle de poncifs et de phantasmes qui collent à cette expression. Cela dit, d’un point de vue marketing l’opération est plutôt réussie, reconnaissons-le. « Nous avons décidé de passer au Cloud » voilà qui sonne mieux décidément qu’un antédiluvien « Nous allons externaliser une partie de notre SI ». Pourtant c’est bien ce dont il s’agit : une mise à disposition, à la demande, par des fournisseurs de services spécialisés, de ressources de calcul ou de stockage en substitution à l’acquisition de matériels ou de licences logicielles. Alors qu’aucune entreprise ne songe à acquérir et à entretenir un générateur électrique de 100 kW pour n’en consommer que cinq, beaucoup s’entêtent cependant à vouloir produire leur propre puissance de traitement et à maintenir leur espace de stockage entre leurs murs. Et cela, même s’ils ne consomment la plupart du temps qu’une fraction des ressources dont ils se sont dotés et que les cycles d’obsolescence se raccourcissent. D’un point de vue économique et énergétique on frôle là le non-sens. Cependant, confier ses données à une entreprise tierce requiert, convenons-en, un tout autre type de confiance que celle qui permet de déléguer la création d’énergie. Dès lors, tout candidat à une migration vers le Cloud se voit tiraillé entre deux pôles opposés : d’un côté des promesses de rationalisation, de simplicité et d’économies et, de l’autre, l’inquiétude de confier ses données confidentielles à une entreprise tierce. Fort heureusement, les poncifs n’épargnent ni l’un ni l’autre. Mais, avant d’y jeter les lumières de la raison, rappelons… 

... quelques définitions

On distingue d’ordinaire trois types de services Cloud selon le type de ressource externalisée. On parle de IaaS [1] lorsque des serveurs virtuels sont mis à disposition des clients, de PaaS lorsque qu’une plateforme, incluant typiquement un système d’exploitation et une base de donnée, est proposée et enfin de SaaS lorsqu’une application complète (bureautique ou CRM p.ex.) est accessible en ligne. On distingue par ailleurs quatre modèles de déploiement selon le mode d’hébergement de l’infrastructure physique du Cloud : public si celle-ci est prise en charge par un prestataire tiers externe à l’entreprise cliente ; privé (nous y reviendrons) si elle est installée sur le site de l’entreprise utilisatrice (ou du moins si une infrastructure externe lui est dédiée) ; hybride lorsqu’on panache les deux modes précédents ; et communautaire enfin lorsque l’infrastructure physique est placée sous la responsabilité d’un consortium d’organismes qui partagent des intérêts communs.

Le Cloud contribue à rationaliser l’IT ?

Des services informatiques payés à la demande ; une réduction du time-to-market grâce à une disponibilité quasi instantanée et sur catalogue d’un éventail de plateformes ; une optimisation des coûts énergétiques; des niveaux de services mesurables ; une maintenance automatique des plateformes et des applications; une réduction des compétences techniques nécessaires pour maintenir les plateformes… et j’en passe : voilà un modeste échantillon des mirobolantes promesses du Cloud, de nature assurément à nous rapprocher du paradis de l’IT s’il existe.
Cet inventaire dithyrambique, chacun s’en doute,  est trop beau pour être entièrement vrai. Plus précisément, il pêche par omission de nombreux coûts cachés et difficiles à anticiper et dont la liste n’est pas moins longue que la précédente. En voici quelques-uns que l’on gardera à l’esprit avant toute décision hâtive.
Une « cloudisation » prudente passe d’ordinaire par une migration sélective de quelques applications non-stratégiques. Des coûts d’intégration avec l’existant sont dès lors à prévoir, en plus des coûts de migration de données. Il faut noter encore que les modèles de facturation, souvent complexes, diffèrent largement d’un fournisseur à l’autre et rendent par conséquent cette comparaison peu aisée. Si peu d’ailleurs, qu’il est permis d’imaginer l’émergence prochaine d’un nouveau métier : « acheteur de services Cloud ». Les compétences rattachées à ce nouveau rôle seraient d’une part une connaissance approfondie des différents modèles de facturation pour anticiper tous les traquenards et d’autre part l’aptitude à élaborer des simulations comparatives et réalistes des coûts engendrés.
Loin de simplifier l’IT, le Cloud pourrait donc contribuer à accroître l’hétérogénéité technologique, du moins à court terme durant la phase transitoire de migration. Ceci d’autant plus que, sans une gouvernance rigoureuse qui prescrit qui peut utiliser quel type de ressources et pour quelle durée (OS, base de données, etc.) le risque est grand de voir les développeurs considérer les services Cloud comme étant en accès libre-service, sans souci des coûts d’utilisation et de la cohérence globale du SI.
A plus long terme, il ne faut pas négliger la perte de savoir faire technique engendrée par l’automatisation des tâches de déploiement que permet le Cloud.
Passons à la question qui est dans tous les esprits.

Le Cloud public : un risque pour la sécurité ?

Emotions et raison ne font pas toujours bon ménage. C’est là tout le problème de la sécurité du Cloud. Ainsi entend-on encore résonner dans de nombreuses DSI des proclamations aussi solennelles que peu argumentées du genre : «  Le Cloud chez nous ? De mon vivant jamais ! ». Il existe une phobie de Cloud comme il existe une phobie de l’avion.
La raison commande pourtant une démarche simple en deux temps : le risque (de vol ou de perte de données) conçu comme le produit de deux facteurs : la probabilité qu’il survienne et le coût engendré. Ensuite, comparer les scores d’une solution Cloud public avec ceux d’une solution alternative sur site.
L’actualité récente [2], plus croustillante que bien des romans policiers, a porté l’attention sur les risques liés aux atteintes à la vie privée et sur l’espionnage industriel. Nulle question ici de nier la gravité de ces agissements. Non seulement ils menacent l’économie numérique en minant la confiance des consommateurs, mais ils portent atteinte aux fondements de nos démocraties.
Deux questions cependant se posent d’emblée si l’on veut raison garder :

  • Qui est vraiment concerné par ces menaces ?
  • L’usage d’un Cloud public aggrave-t-il nécessairement la situation vis-à-vis du vol de données ?
A la première on peut répondre : les activités de R&D dans les domaines industriels ou militaires stratégiques, les transactions bancaires internationales, les communications entres organismes d’état. Reste… l’immense majorité des informations non-stratégiques qui ne présentent aucun intérêt pour la NSA.
S’agissant de la seconde question, une analyse au cas par cas s’impose. On pourrait faire observer cependant que, puisque espionnage il y a, via les courriels même cryptés et les portables notamment, l’usage d’un Cloud public n’y changera pas forcément grand-chose. A moins d’habiter 24h/24 dans une cage de Faraday les chances de salut sont minces…
Revenons à la comparaison des scores des autres risques : pertes de données suite à un crash de disque dur, vol physique de machines, perte de données par négligence ou consécutifs à une catastrophe naturelle ou à un accident. Face à ces risques là, pour la plupart incommensurables comparés à ceux des regards indiscrets de l’Oncle Sam, le Cloud public ne sera pas une menace mais bien au contraire une garantie très sérieuse de sécurité ! Quelles sociétés en effet peuvent se prévaloir de recruter le gratin des experts en sécurité ? Combien maîtrisent leur Datacenter comme le font les géants du web qui proposent un Cloud public ? Très peu en réalité.

Un mot sur le Cloud privé

 Pour concilier accès à la demande et sécurité, rien n’empêche sur un plan technique, d’utiliser les technologies de virtualisation [3] et des processus d’automatisation pour se constituer chez soi, bien à l’abri des miasmes du web sauvage, un catalogue de plateformes de type IaaS. C’est même l’un des principaux arguments des éditeurs de solutions de virtualisation. Pourtant, le terme « Cloud » est en l’occurrence largement usurpé. L’essence d’une solution Cloud, rappelons-le, consiste à bénéficier d’économies d’échelles que seuls quelques grands groupes sont à même de proposer, simplement car ils ont déjà consenti des investissements colossaux dans des Datacenters pour le propre business.L’adoption et la résistance au Cloud est en vérité tributaire de facteurs culturels et d’habitudes qui, encore trop souvent, l’emportent sur une analyse rationnelle élémentaire. Pour mettre les choses en perspective, n’oublions jamais, qu’individu ou entreprise, nous confions aux banques le fruit de notre labeur, tout en sachant pertinemment qu’elles sont dans l’incapacité de restituer simultanément les avoirs de chacun de leurs clients !

-------------------
[1]
IaaS, PaaS et SaaS signifient, respectivement, Infrastructure, Platform et Software as a Service.
[2]
L’affaire Snowden, à l’attention de ceux qui auraient passé l’été sur la planète Mars sans connexion internet.
[3]
Ce sont sur elles que reposent les infrastructures Cloud car elles permettent de définir des machines virtuelles logiquement découplées de l’infrastructure matérielle.