Le Cloud n’est ni sûr, ni dangereux, il est un niveau de risque accepté

Les formules marketing n’ont pas toujours l’effet escompté par leurs auteurs. Dans un pays culturellement porté sur le débat et – quoi qu’on en dise – plutôt technophile, les slogans des éditeurs, intégrateurs et autres sociétés de services en ingénierie informatique ne passent pas systématiquement comme une lettre à la poste.

Le responsable de l’offre Cloud Computing d’un cabinet de conseil bien connu a pu en faire l’expérience il y a quelques jours en lisant les commentaires acérés de certains internautes suite à son billet intitulé: « La peur du cloud computing n’est pas plus rationnelle que celle de l’avion. »

L’article en question se découpe en trois grandes phases. Dans un premier temps, une définition du Cloud – qui disons-le tout de suite n’est assurément pas la mienne – : le Cloud « désigne une informatique où l’on confie ses données sans en connaître la localisation géographique ». Dans un deuxième temps, une justification du bien-fondé du Cloud basée sur les compétences de ses acteurs, qui sont d’après l’auteur de l’article – « beaucoup plus compétents » que le lecteur « pour assurer l’intégrité » de ses données, car « ce sont des professionnels des centres de données ». Et enfin, le cœur de l’article, à savoir le parallèle avec la sûreté du transport aérien. La thèse de l’auteur est de dire que s’il y a bien régulièrement quelques ratés dans les services Cloud, ils sont hyper-médiatisés et bien plus nombreux que les services rendus aux entreprises et aux utilisateurs et dont on entend jamais parler. Si je caricature un poil ce discours, il consiste finalement à dire: « le Cloud c’est sûr, il n’y a aucune raison de ne pas y passer ».

Les trois phases de cet article sont selon moi éminemment critiquables.

1/ Le Cloud ne peut pas être défini comme un cache-misère numérique où l’on ne saurait plus où se trouvent physiquement ses données. Certes, les services SaaS (Software as a Service) comme Google Apps for Business ou Apple iCloud suivent souvent cette logique, mais ce n’est absolument pas le cas des très nombreux services IaaS (Infrastructure as a Service), comme par exemple l’américain Rackspace ou le français Gandi, qui communiquent ou laissent paramétrer aux utilisateurs l’emplacement physique de leurs serveurs.

2/ La compétence supposée ou réelle des professionnels des centres de données est très dépendante de l’opérateur Cloud en question. Lorsqu’une entreprise gère elle-même son infrastructure informatique, elle assure le recrutement, le management, la formation continue de ses opérateurs et administrateurs. En bref, elle connaît précisément son niveau de compétences. Dans le cas du Cloud, l’assurance de la compétence ne peut être absolument garantie. Le lecteur assidu de TechCrunch que je suis a ainsi pu lire la semaine dernière l’histoire assez incroyable arrivée à certaines sociétés clientes de Recurly, un service Saas assurant une facturation récurrente pour le compte de ces sociétés. Recurly a ainsi subi une panne sur le composant chargé d’assurer le chiffrement et le déchiffrement des données bancaires des clients de ces sociétés. D’une part la facturation récurrente a dû être interrompue pendant plusieurs heures mais certaines données ont même été perdues pour de bon (car devenues impossible à déchiffrer), obligeant ainsi les clients des sociétés à refournir leurs données bancaires. Or, quand on voit que Recurly compte LinkedIn et Adobe parmi ses clients, on serait tenté de se dire « ces gars-là sont des professionnels des centres de données qui plus est qui manipulent des données bancaires, ils ont testé tous les cas de pannes possibles et s’en sont prémunis, c’est certain! ».

3/ Enfin, pour moi la grande erreur de cet article est de caractériser le Cloud comme un espace technologique absolument sûr. J’aurais du reste fait le même commentaire face à un article alarmiste décrivant le Cloud comme une espace numérique sans règles et rempli d’espions gouvernementaux ou de terroristes. Le Cloud n’est en effet ni sûr, ni dangereux, mais correspond pour les services qu’il propose à un niveau de risque accepté. Lorsque l’entreprise X fait confiance à Google Apps pour ses services de mail et de calendrier, elle évalue que les gains de productivité rendus par ses services seront supérieurs au risque d’une perte de confidentialité sur des serveurs américains. A l’inverse lorsque l’entreprise Y refuse de migrer sa messagerie vers un tel opérateur Cloud, c’est qu’elle a estimé que la confidentialité de ses brevets industriels valait bien quelques milliers d’euros de matériel et d’administration sur un serveur de mails hébergés dans ses locaux. Bref, comme c’est le cas pour toute infrastructure ou architecture informatique, une entreprise ne doit pas décider d’aller vers ou de refuser le Cloud parce qu’il est sûr ou parce qu’il est dangereux – il n’est ni l’un, ni l’autre – mais parce que le service concerné répond au niveau de sécurité qu’elle s’est fixé par une analyse sérieuse des risques encourus, que ce soit avec ou sans les contre-mesures désormais proposées par les éditeurs du Cloud.

À propos Bruno Vincent
Président fondateur d'Atlantis, cabinet de conseil en Architecture, Sécurité et Production des Systèmes d'Information.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s