La gestion des données est pour une entreprise une question essentielle, voire stratégique. De ce fait, la plupart d’entre elles cherchent depuis des années, à adopter les meilleurs moyens technologiques qui puissent en garantir une gestion optimale. Cette recherche se fait tant sur le plan des coûts que sur celui de la sécurité. En somme, les entreprises recherchent les solutions qui leur permettent de réaliser le meilleur compromis entre l’efficacité technologique et le moindre coût. Pour aborder cette question, nous avons fait le choix d’une réflexion synthétique concernant, justement, l’aspect sécuritaire des données dans un domaine qui ne fait pas l’unanimité ; même pas dans les milieux dits ‘‘autorisés’’. Il s’agit du Cloud Computing ou Informatique dans les nuages. Notre travail consistera, en toute objectivité, à d’abord en faire un état de l’art, pour ensuite tenter de confronter les différents points de vue sur la question. Enfin, du fait de la nouveauté du Cloud Computing, nous terminerons ce travail par quelques questions que nous voulons ouvertes. Nous espérons à travers ces interrogations, susciter d’autres recherches et travaux de réflexions sur le sujet.

  1. 1.      Problématique

Le Cloud Computing, qui a vu le jour avec l’avènement de l’internet, est un substitut aux solutions plus tangibles (plateforme, Saas ou Software as a service). L’argument qui revient le plus souvent pour vanter ses mérites, est celui lié aux coûts moindres qu’il représente de par son côté pratique. Nous verrons qu’il permet à bon nombre d’entreprises de se doter de services à la carte ou sur mesure. Par contre l’argument qui fait débat, et sur lequel bon nombre de ses détracteurs, mais aussi de ses adeptes s’appuient pour le stigmatiser, reste son niveau de sécurité qui en ferait une solution peu recommandable. D’où notre problématique qui se résume à la question de savoir s’il existe des risques liés à la sécurité des données dans le Cloud Computing. La question prend toute son ampleur quant on sait que pour 75% des entreprises nord américaines s’intéressant au Cloud Computing, la sécurité est une question déterminante (sondage IDC d’août 2008). L’ampleur de cette préoccupation mérite que nous nous penchions sérieusement sur le sujet. Mais avant, nous allons présenter le Cloud Computing.

  1. 2.      Présentation du Cloud Computig

2.1. Clarification du terme

Déjà dans un article d’octobre 2008, Jerome Saiz de securityVibes, devant l’amalgame, tenait à clarifier le terme Cloud Computing. C’est, en effet, un terme souvent galvaudé pour désigner des solutions qui n’on rien à voir avec ce qu’elles sont réellement. Plusieurs pseudo-spécialistes de la question ont, en effet, la tendance simpliste de considérer comme du Cloud Computing tout type de services s’appuyant sur une architecture distribuée sur internet.

Nous allons user de la litote pour essayer de définir cette technologie. Le Cloud Computing ne doit, par exemple, pas être confondu avec le SaaS (Software as a Service). La confusion ne doit pas être de mise, même si avec ce dernier une application clairement définie est fournie à travers le navigateur web. Le terme Cloud Computing fait en réalité référence à la notion d’informatique distribuée, dont les applications et les données se trouvent sur des serveurs distants. Leur organisation est telle qu’elle fait penser à un nuage. Ce dispositif permet l’accès à des ressources matérielles et logicielles, exploitées par de multiples utilisateurs sous la forme de services fournis par un navigateur web. Pour imager encore plus ce concept, d’aucuns vont même jusqu’à parler d’une dématérialisation complète des salles informatiques (Thierry Lévy-Abégnoli, ZDNet France, du 3 juin 2008), ce qui est bien plus que de l’Outsourcing ou le SaaS que nous avons évoqué auparavant. Le Cloud Computing est donc le fait de complètement disperser un système d’information sur des infrastructures prises en charge par un ou plusieurs prestataires. En parlant de ‘‘dispersion’’, elle ne se limite pas à quelques kilomètres à la ronde. Car elle peut se faire à l’échelle planétaire. Puisque la localisation géographique de ces ressources virtuellement illimitées n’importe plus. Le critère discriminant le plus important qui prévaut dans ce cas est le rapport coût/qualité du service offert. C’est d’ailleurs sur ce principe que fonctionne le SaaS (Software as a Service) concernant la location de la puissance de calcul. Le Cloud Computing va au delà des solutions pionnières d’antant, grâce aux performances technologiques actuelles qui permettent une généralisation non seulement complète, mais réaliste d’un système d’information. Le facteur technique déclenchant, qui a permis le déploiement du Cloud Computing a été la virtualisation des plates formes conçues pour être mutualisées au travers de vastes grilles de serveurs. Pour revenir un instant sur terre, il est essentiel de comprendre le fait que techniquement, le Cloud Computing repose sur un triptyque.

A. Le SaaS (Software-as-a-Service)

Il s’agit de la mise à disposition d’un logiciel, non pas sous la forme d’un produit que le client installe en interne sur ses serveurs, mais en tant qu’application accessible à distance comme un service, par le biais d’Internet et du Web. Les clients ne payent pas pour posséder le logiciel en lui-même mais plutôt pour l’utiliser. Ils l’utilisent soit directement via l’interface disponible, soit via des API fournies (souvent réalisées grâce aux WebServices ou à l’architecture REST – Representational State Transfer).

            B. Le PaaS (Platform as a Service)

Il s’agit de la mise à disposition pour une entreprise d’environnements techniques pour développer des applications qui fonctionneront à distance comme pour le SaaS. Mais le PaaS inclut des outils de personnalisation et une intégration à l’existant ou à d’autres programmes hébergés. L’objectif étant de proposer un environnement modulaire capable de combiner plusieurs fonctions et processus métier, voire plusieurs technologies en provenance de divers éditeurs.

C. L’IaaS (Infrastructure as a Service)

Il s’agit de la mise à disposition, à la demande, de ressources d’infrastructures dont la plus grande partie est localisée à distance dans des centres de données. Les serveurs, postes de travail, et imprimantes peuvent être facturés en fonction de leur utilisation. Le client loue par exemple de la CPU, de la mémoire ou du stockage de données et le coût est directement lié au taux d’occupation. Une analogie peut être faîte avec le mode d’utilisation des industries des commodités (électricité, eau, gaz) ou des Télécommunications.

Au niveau du matériel, la puissance de calcul et de stockage n’étant plus nécessaire en local, soit sur l’ordinateur, on peut penser que des terminaux de type clients légers pourraient suffire aux besoins des utilisateurs. Cette nouvelle offre matérielle pourrait se faire en tant que HaaS (Hardware as a Service), c’est-à-dire que le matériel, peu cher, pourrait lui aussi être proposé par des entreprises en usage au forfait. De ce fait, les entreprises n’ont plus besoin de serveurs propres, mais confient cette ressource à une entreprise qui leur garantirait une puissance de calcul et de stockage à la demande. Bien que ce modèle soit innovant, par sa contribution au changement de la fonction informatique au sein de l’entreprise, les précautions à prendre sont nombreuses pour des raisons évidentes. Notamment du fait de la délocalisation et de l’éclatement des serveurs qui gèrent le Cloud Computing. Cela suscite de la part des entreprises qui recourent à ces services, des interrogations liées à la sécurité et à l’intégrité des données. C’est à ce niveau que se situe notre propos. Nous y reviendrons plus loin.

Le Cloud computing, qui est un mode de virtualisation totalecontrairement à un mode de virtualisation partiel, apporte des avantages non négligeables grâce à sa configuration technique. Dans le mode partiel, les machines virtuelles ne tournent sur un matériel mutualisé qu’en phase de développement, ou en cas d’incident ou sinistre. Nous pouvons citer en guise d’exemples des prestataires comme Prosodie ou InternetFR qui intègrent ce type de services à leurs offres d’hébergement classique.

Dans le cadre du Cloud computing, qui s’appuie au contraire sur une mutualisation en production, la virtualisation présente un avantage supplémentaire. La dématérialisation des serveurs permet, une option qui est celle d’un retour à un mode de fonctionnement traditionnel en cas de problème sur le nuage. Les adeptes de la plaisanterie facile évoqueront par exemple une intempérie. Plus sérieusement, cela peut être le cas lors d’une anomalie affectant les temps de réponse. Dans ce cas, il y a un passage automatique sur une machine physique plus puissante. L’entreprise peut même confier ses serveurs à un autre prestataire de solution Cloud. Il y a également la possibilité du choix radical de quitter les nuages et de revenir sur terre et d’internaliser de nouveau ses serveurs. C’est le cas de la société Telehouse qui offre déjà des services dans ce sens. L’autre avantage, très significatif, concerne l’économie d’énergie que ce dispositif permet de réaliser.

Avant de voyager plus loin sur notre nuage informatique, nous pouvons résumer en disant qu’il faut trois éléments essentiels sans lesquels on ne pourrait d’informatique dans les nuages. Le service, la plateforme et l’infrastructure qui peuvent être situés chacun à des milliers de kilomètres à la ronde.

2.2. L’Architectures du Cloud Computing

On compte, du moins dans l’état actuel des choses, de deux types d’architecture pour le Cloud Computing. Les spécialiste de la question comparent ces architectures sont comparées aux plates-formes d’entreprises.

2.2.1.      L’architecture multi-tiers

Présentes dans les systèmes informatiques depuis la fin des années 1990, leur but essentiel est la segmentation des couches techniques des applications en plusieurs parties. Ces tiers sont conçus et exploités de manière autonome. D’une manière générale on recense les tiers suivants :

Le serveur de présentation

Il sert à produire des écrans visibles par les utilisateurs. Ces écrans leur permettent de se situer par rapport à leur utilisation d’un service d’informatique dans les nuages. Pour rester dans le domaine aérien, on pourrait le comparer au tableau de bord d’un avion. Grâce à lui, l’utilisateur a des repères et peut savoir en temps quasiment réel où il en est dans son utilisation.

Le serveur d’application

Il permet aux bénéficiaires de services de Cloud Computing de pouvoir exécuter sur une plate-forme d’exécution, les nombreuses applications de l’entreprise. C’est comme si l’entreprise, pour des raisons de commodité, ne voulant pas s’embarrasser avec un matériel trop encombrant et trop couteux, laissait cette tâche à leurs prestataires. Les entreprises ne garderaient plus que les applications dont elles se serviraient plus facilement.

Le serveur de base de données

Représentant une très grande partie de la prestation de services en informatique dans les nuages à cause de son rôle de stockage et de garant de l’intégrité des données métiers de l’entreprise, il peut se reposer sur une base de données relationnelle ou sur une base de données objet.

Le serveur d’authentification

Comme le suggère sa dénomination, son le rôle est de fournir des services de sécurité et de droits d’accès aux applications de l’entreprise. Il peut se reposer aussi bien sur un annuaire LDAP (Lightweight Directory Access Protocol) que sur un système de SSO (Single Sign On).

Le serveur d’intégration

Il permet aux bénéficiaires de services en nuage de disposer de passerelles d’échanges avec d’autres applications de l’entreprise. Il peut par exemple reposer sur un midleware orienté messages.