Vu le nombre considérable de smartphones vendus en fin d’année 2011 par les leaders de la téléphonie mobile, la tendance devrait s’accroître au fil des années. La dynamique Mcommerce s’est, en outre, amplifiée lorsque les possesseurs de smartphones et de tablettes se sont empressés de télécharger leurs applications natives et web. Le nombre de téléchargements d’applications mobiles sur iOS et Android a progressé de 60% au cours de la dernière semaine de 2011**.

De ce fait, l’engouement autour du mobile shopping grandissant, ce phénomène tend à se développer et à faire partie intégrante des plans de communication dans un futur proche. « C’est une nouvelle forme de commerce qui s’ouvre  à  nous !  Notre  rôle,  en  tant  qu’acteur  du  e-commerce,  devra  être  de  se  concentrer  sur  la  sécurité  des  moyens  de  paiement.  Il  est  primordial,    comme  pour  le  début  du  e-commerce,  de  rassurer  les  internautes méthode besoin de chaque consommateur et ce, de façon illimité et instantanée. »

conclu Olivier Chameyrat.

*(Source : ITRmobiles)
**(source Flurry)

La prestation « GoToCloud », appliquée dans le Solutions Center de SCC, offre aux entreprises l’occasion de tester les toutes dernières technologies Cloud proposées par les plus grands acteurs du marché. Elle permet aux clients de tester et d’appréhender en situation réelle, toutes les fonctionnalités d’une solution de Cloud Privé. A l’issue de ce test, le client dispose d’une vision claire des possibilités de la solution et des étapes à franchir pour l’implémenter dans son environnement de production. Grâce à « GoToCloud », son choix final est basé sur des résultats concrets issus des démonstrations effectuées.

« GoToCloud », c’est aussi la possibilité de tester l’infrastructure Cloud de VMware basée sur les versions récemment lancées de vSphere 5 et vCloud Director, qui est techniquement complète avec une virtualisation de bout en bout de la plateforme. Face notamment aux nouvelles fonctionnalités phares de vSphere 5 : augmentation des performances et disponibilité de toutes les applications critiques en entreprise, des fonctionnalités avancées d’automatisation, le déploiement automatique, le stockage en fonction du profil et la planification des ressources distribuées. Au travers des nouvelles fonctionnalités vSphere 5 et vCloud Director, VMware assure une sécurisation totale et unique du DataCenter. « Les entreprises recherchent désormais les bénéfices concrets du Cloud. Les premières mises en oeuvre ont démontré les logiques d’automatisation, de catalogues de services, de réductions et de maîtrise des coûts. Les clients veulent désormais appliquer ces schémas à leur organisation et, pour ce faire, ils doivent s’appuyer sur la virtualisation, et les solutions VMware comme première étape sur le chemin du Cloud Computing », explique Hervé Uzan, Directeur général de VMware.

Il ajoute : « SCC est pour nous le partenaire idéal pour démontrer la pertinence de nos solutions : c’est un acteur majeur de la virtualisation qui détient une position exemplaire dans le monde du Cloud » . Philippe Hoffmann, Directeur Général Adjoint de SCC France complète : « SCC se félicite de la perénnité du partenariat établi avec VMware et de la relation de confiance qui perdurent depuis maintenant de nombreuses années.

Avec GoToCloud, SCC donne l’opportunité à VMware de démontrer l’efficacité de ses solutions. Aidés de nos ingénieurs experts ‘GoToCloud’, nos clients pourront constater les bénéfices des dernières technologies Cloud de VMware. »

SCC
Société de services informatiques d’infrastructures britannique, SCC emploie 7000 collaborateurs dans 5 pays européens dont la France.
http://france.scc.com/

VMware
Conçoit des solutions de virtualisation et des infrastructures de Cloud Computing. Basé dans la Silicon Valley. Plus de 250 000 clients utilisent sa plate-forme de virtualisation Vmware vSphere.
www.vmware.com/fr

Différents thèmes qui ont commencé à faire parler d’eux en 2010 font désormais en 2011 l’objet d’une véritable attention pour la planification stratégique de l’activité et des ressources informatiques, notamment le Cloud computing et l’utilisation des équipements mobiles. À l’instar de nombreux autres processus évolutifs, des thèmes nouveaux comme la sécurité n’ont pas été immédiatement projetés sur le devant de la scène. Mais la sécurité joue un rôle de plus en plus important pour déployer la technologie. Peu importe l’aspect révolutionnaire ou avant-gardiste d’un nouveau paradigme informatique: s’il ouvre la porte à des utilisateurs malveillants qui pourront ensuite s’introduire dans le réseau de votre entreprise, sa valeur pour votre activité est inférieure à zéro.

Voyons comment la sécurité évolue autour de trois développements majeurs des technologies de l’information et comment cette même sécurité tient un rôle plus important que celui escompté en devenant un élément clé de la souplesse de l’entreprise et de la capacité de cette dernière à adopter de nouvelles technologies sans délai.

Prédiction N°1 pour 2012

le Cloud computing propulsera la (l’in) sécurité des équipements mobiles vers de nouvelles sphères

La prolifération des équipements mobiles, principalement les smartphones et les tablettes, à travers le monde de l’entreprise américain au cours de l’année dernière est tout simplement époustouflante et, pour les professionnels de l’informatique, et plus particulièrement ceux en charge de la sécurité, elle n’est rien de moins qu’un cauchemar. Et de nouvelles platesformes, de nouveaux équipements et de nouveaux formats continueront de pousser comme des champignons à travers le monde. Selon l’analyste en chef Pauline Trotter qui travaille pour Ovum, « le marché des smartphones d’entreprise connaîtra une croissance sensible au cours des cinq prochaines années, avec 26,8 millions d’équipements opérationnels fin 2011 et 54 millions de terminaux qui seront utilisés en 2016, soit un taux de croissance annuel moyen de 12,4 %. » Grâce à l’universalité croissante des services Cloud, ces terminaux pourront se connecter à Internet depuis n’importe où puis se connecter aux réseaux d’entreprise et y ramener on ne sait quoi…

Bien entendu, une force de travail mobile offre de nombreux avantages à l’entreprise, notamment une réduction des frais généraux, une productivité supérieure et un environnement de travail moins stressant. Mais, en 2012, les entreprises devront mettre en place une solide stratégie d’administration et de sécurité des équipements mobiles. En effet, les équipements nomades hors de vue ne doivent jamais pour autant être oubliés dans la mesure où les cybercriminels s’intéressent déjà à ces équipements qui représentent un vecteur facile pour pénétrer le réseau de l’entreprise. Une sécurité dédiée à un poste de travail ou à un serveur ne sera pas d’une grande utilité face à des utilisateurs qui cliquent sur un lien Web infecté depuis un équipement sur lequel sont stockés tous les certificats de connexion de l’entreprise.

Heureusement, les services Cloud sont en train de mûrir si bien qu’il est désormais possible de déployer et de mettre en oeuvre la sécurité en toute fiabilité pour protéger à la fois les équipements et les réseaux auxquels ils se connectent. 2012 verra le développement d’une sécurité indépendante de tout site et de tout équipement, toujours actualisée et opérationnelle 24 heures sur 24, 7 jours sur 7, et ce quel que soit l’équipement ou son emplacement géographique. Nous pouvons également compter sur les fabricants pour tenir compte de l’importance de la sécurité pour les utilisateurs et intégrer ainsi des fonctionnalités de sécurité aux équipements eux-mêmes, ce qui offrira un avantage concurrentiel à leurs produits.

Prédiction N°2 pour 2012

L’externalisation de la sécurité de l’information

Le paysage actuel des menaces est tellement complexe et sophistiqué que, pour bon nombre d’entreprises, il n’est tout simplement pas rentable de tenter de gérer la sécurité à l’aide de leurs seules ressources internes. La sécurité dans le Cloud soulage l’entreprise de cette tâche à la fois fastidieuse et ardue en la déportant vers une plate-forme infiniment évolutive.

Une récente enquête du Ponemon Institute révèle que non seulement les entreprises ne maîtrisent pas les aspects importants de la sécurité dans le Cloud, mais qu’elles en sont également parfaitement conscientes. Plus de la moitié des personnes interrogées, soit 52 %, ont évalué la gestion globale de la sécurité du serveur Cloud par leur entreprise comme étant passable (27 %) et médiocre (25 %). 21% n’ont fait aucun commentaire quant à leur capacité à sécuriser leurs serveurs Cloud. Enfin, 42% des personnes interrogées s’inquiètent de ne pas savoir si les applications ou les données de leur entreprise ont été compromises par un port ouvert sur un serveur dans le Cloud. La sécurité de l’information s’est traditionnellement centrée sur la fourniture de solutions pour résoudre les défis de sécurité, en mode réactif. La sécurité périmétrique, à savoir les firewalls, systèmes IDS/IPS et autres, constitue le coeur du modèle réactif. Ces dernières années, ce modèle s’est étendu à différentes formes de sécurité des points d’extrémité, de prévention de la perte des données, de gestion des équipements mobiles, de gestion SIEM, etc. Cependant, face à un paysage contemporain de menaces à la fois dynamiques et déterminées, les stratégies réactives ne suffisent plus et l’être humain reste le maillon le plus faible de la chaîne de la sécurité.

Pour aller de l’avant, nous avons tout d’abord besoin de faire un pas en arrière et de nous rappeler que l’objectif fondamental de la sécurité de l’information, de la gestion des risques et de la gouvernance est d’aligner les objectifs de l’informatique sur ceux de l’activité de l’entreprise pour protéger les actifs de cette dernière et créer une culture de la responsabilité vis-à-vis de l’information. En 2012, les entreprises devront sélectionner beaucoup plus attentivement les ressources tierces tandis que les mesures de sécurité proactives représenteront une part importante des appels d’offre de solutions technologiques. De nombreuses entreprises ont rédigé des questionnaires détaillés pour déterminer non seulement les contrôles de sécurité technique déployés par les solutions d’un fournisseur, mais aussi la maturité du programme de sécurité de l’information de ce même fournisseur. Les entreprises qui passent des audits PCI et autres audits de conformité doivent évaluer la sécurité de leurs solutions tierces et de leurs pratiques internes. Il est donc dans leur intérêt d’examiner de près les programmes d’un fournisseur en matière de reprise après un sinistre, de continuité de l’activité, de réaction face à un incident de sécurité, de développement de politiques et de procédures, de cycle de développement logiciel et de sensibilisation à la sécurité de l’information. N’hésitez pas à consulter des mandats de protection des données pour rédiger des questionnaires sur la sécurité destinés aux fournisseurs.

Prédiction N°3 pour 2012

le mythe de la menace persistante avancée (APT) sera pulvérisé

« Plein de bruit et de fureur pour rien ». C’est ainsi que Shakespeare aurait pu décrire les fournisseurs de sécurité qui ont pris en marche le train des menaces APT. Le marché de la sécurité de l’information a traversé une phase au cours de laquelle certains fournisseurs ont cru que la tactique de la peur serait lucrative. Nous avons fort heureusement passé ce cap, mais il semble que nous soyons désormais revenus à l’ère de la peur, de l’incertitude et du doute.

En effet, cette année, les menaces APT ont été désignées comme responsables de presque toutes les fuites d’informations qui ont fait la une des médias et qui, selon les entreprises touchées, ont été menées par surprise. Pour 2012, j’appelle de tous mes voeux les entreprises à recouvrer leur bon sens collectif et à se rendre compte que la prévention des menaces APT est tout simplement la dernière solution miracle que certains fournisseurs veulent leur faire acquérir. En réalité, la plupart des attaques classées comme menaces APT (RSA, Sony, Epsilon, CitiBank et autres) sont dues à des erreurs humaines : des individus dupés par une attaque de phishing intelligente ou, dans le cas de RSA, pas si futée que cela. Si vous souhaitez protéger votre entreprise contre les menaces « APT » en 2012, voici ce que vous devez faire :

• Concevez et déployez un programme d’éducation sérieux destiné aux utilisateurs. Rendez-le obligatoire pour tous les membres du personnel et remettez-le régulièrement à l’ordre du jour.
• Déployez des patches et des mises à niveau de manière plus opportune que par le passé. Soyez parfaitement conscients que les vulnérabilités non protégées sont une porte ouverte pour les pirates. Trouvez un système de gestion des vulnérabilités qui fera le dur labeur à votre place.
• Envisagez sérieusement de sous-traiter au moins certains éléments de votre infrastructure de sécurité. Sachez que les configurations locales auront moins d’incidences sur les vulnérabilités si les configurations de sécurité et la protection proactive sont gérées via le Cloud.

Dans un monde idéal, l’essentiel des points susmentionnés devrait faire partie des exigences de conformité (en particulier la composante éducation des utilisateurs) pour reléguer ou cantonner aux oubliettes les menaces APT, à l’instar de bien d’autres abréviations en trois lettres. L’espoir fait vivre, mais n’oublions pas que l’espoir n’est pas une stratégie de sécurité.

Qualys
Qualys, Inc. est un fournisseur de solutions « à la demande » pour la gestion des vulnérabilités et de la conformité sous la forme de services (SaaS). Déployables en quelques heures seulement, partout dans le monde, les solutions SaaS de Qualys fournissent aux entreprises une vue immédiate et permanente de l’état de leur sécurité et de leur conformité.Qualys est également l’un des fondateurs de la Cloud Security Alliance (CSA).
www.qualys.com.

L’augmentation constante des volumes de données informatisées, la multiplication des sites distants, les exigences croissantes de PRA sont autant de tendances qui renforcent l’enjeu de la protection des données. En 2010, 80% des organisations interrogées par le cabinet Markess International estimaient que la sauvegarde des données critiques était devenue une composante de la stratégie sécurité dans l’entreprise.

Pour répondre aux problématiques des entreprises désirant bâtir un PRA solide, Sigma propose désormais via Sigma Online Back Up, un service complet permettant de protéger tous les composants du SI de l’entreprise.

L’offre Sigma Online Backup, entièrement conçue par les équipe de Sigma comprend :

> La fourniture de la plateforme : Sigma Online Backup est un tout en un : le logiciel et les moyens de stockage dans un Datacenter sécurisé.

> Un fonctionnement : une sauvegarde automatique journalière, sans intervention client avec une restauration à tout moment via une interface web sécurisée.

> Du service : une exploitation assurée par Sigma sur tous les composants du SI : systèmes, applications, données, postes de travail fixes ou nomades.

> De la capacité : Sigma Online Backup permet de protéger des volumétries importantes sans exigence de débits réseaux élevés.

> Une facturation au volume : le service tout compris est facturé au volume mensuel protégé.

> Des services personnalisables : adaptation possible aux besoins spécifiques du type protection des ordinateurs portables, archivage pour conservation longue, stockage local combiné avec de la réplication distante…

Comme le souligne Christophe Le Jeune, Directeur Général de Sigma, « La perte des données stratégiques est une cause majeure d’interruption de l’activité des entreprises. Et pourtant une protection fiables des données est encore compliquée et coûteuse à organiser pour les entreprises. Nous apportons une solution simple à mettre en oeuvre, efficace et abordable.».

Sigma Online backup est la première solution de sauvegarde distante qui réponde à l’ensemble des besoins des entreprises avec une garantie de disponibilité des données à plus de 99,7%, de la sécurité avec l’externalisation dans des Datacenter et le transfert des données cryptées sur tunnel sécurisé, une sauvegarde rapide sur le réseau existant grâce à la déduplication à la source et simple car automatisée avec une restauration sur l’interface web. Le tout avec une vraie maîtrise des coûts, la facturation se faisant en fonction du volume protégé.

SIGMA
Le Groupe Sigma est spécialisé dans l’édition de logiciels, le conseil, l’intégration et l’infogérance.

Il a aussi une offre d’externalisation partielle ou totale des systèmes d’information : hébergement, infogérance, réseaux, fourniture d’infrastructures, supervision, service desk. Il emploie près de 700 collaborateurs en France.
www.sigma.fr

Programme de la conférence

• 08h00- 08h30: accueil café – 08h30-09h30: conférence
• 09h30-10h15: questions ouvertes

Introduite par Jérôme Guilmain, Directeur Marketing et Stratégie de Kompass International,
cette conférence sera animée par Arnaud Devigne, Directeur Marketing Entreprises et Professionnels, Google France.
Elle s’adresse aux responsables marketing, communication et dirigeants d’entreprises.

En savoir plus – Inscription

Lors du dernier Microsoft Days de Paris, Steve Ballmer, PDG de Microsoft, a présenté le Cloud Computing comme une technologie qui va révolutionner le fonctionnement des entreprises. Cependant le Cloud n’est pas une nouveauté et, d’une manière ou d’une autre, des services Cloud sont disponibles depuis déjà quelques années.

Il ne faut pas oublier que les entreprises exécutent et exploitent diverses applications, chacune possédant le potentiel de répondre à un ensemble distinct d’exigences techniques, de sécurité, de disponibilité et de performance, qui doivent être pris en compte lorsqu’on examine les services basés sur le Cloud. De ce fait, il ne faut pas s’attendre à une transition immédiate ni à une approche universelle du Cloud Computing à court terme. En effet, il est plus probable de voir les entreprises adopter une approche hybride consistant à faire usage d’un ensemble de technologies à travers une infrastructure dédiée traditionnelle, des serveurs virtuels dédiés, et des plates-formes Cloud ; les applications restant dans l’environnement qui convient le mieux à leurs besoins individuels de sécurité. Une solution qui procure le meilleur des deux mondes en somme…

Les environnements Cloud hybrides permettent également aux entreprises d’adopter une approche graduelle du Cloud ; une approche qui, pour les grandes entreprises, pourra s’étaler sur plusieurs années. En ayant la possibilité d‘introduire l’infrastructure Cloud parallèlement au domaine informatique existant, et de gérer ce modèle hybride, les entreprises seront à même d’opérer une transition graduelle de la manière qui leur convient. Autre avantage de cette approche : toute entreprise qui hésite à aller vers le Cloud pourra se rassurer, déterminer quel modèle fonctionne le mieux pour les besoins globaux de ses activités et applications variées, et comprendre les applications opérationnelles liées à l’adoption des technologies Cloud.

Pour certaines, dont l’infrastructure remplit parfaitement sa mission, le coût de la transition vers le Cloud peut ne pas avoir de justification commerciale immédiate. Cependant, en cas d’augmentation de la charge de travail ou pour répondre à une forte croissance, l’adoption du Cloud comme solution hybride en même temps que leur infrastructure existante, permettra à ces sociétés d’effectuer des « incursions » dans le Cloud, afin de tirer parti de sa rentabilité tout en continuant d’utiliser leurs actifs existants.

En outre, la majorité des points d’accès des services Cloud basés sur le Web ouvrent directement sur Internet : un vrai souci de sécurité pour les entreprises. Heureusement, ce problème peut être résolu en s’assurant que les routes d’accès principales à l’environnement de Cloud Computing empruntent le réseau étendu, et non la Toile. Voila de quoi soulager de leurs inquiétudes les entreprises et grands groupes qui préfèrent que les applications d’un environnement Cloud ne soient pas directement interfacées avec Internet. En plaçant ces services dans un environnement Cloud sécurisé au sein du réseau étendu et en utilisant des méthodes éprouvées de séparation de données entre différents clients dans l’environnement de Cloud Computing, les données deviennent intrinsèquement plus sûres.

Les entreprises cherchent en permanence les moyens de rendre leurs opérations plus efficaces et efficientes en termes d’économie de coûts et pour le déploiement d’applications critiques, et les technologies Cloud leur apportent la réponse. L’adoption hybride de la technologie Cloud –en utilisant l’infrastructure existante parallèlement à la consommation de la technologie Cloud– permet aux entreprises de gérer la transition vers le Cloud de manière contrôlée, et d’éviter un remplacement radical des plus risqués et onéreux, tout en étant capables de fournir des avantages opérationnel de manière pratique.

Le Cloud tend à s’étendre dans les entreprises qui affirment clairement leur volonté de bénéficier de cette technologie. 74 % des sociétés interrogées par KPMG ont ou vont démarrer dans l’année qui vient un projet Cloud. Le résultat est plus marqué en France (80% des entreprises interrogées), dont un tiers envisage un usage du Cloud sur des domaines du coeur de métier.

Les applications du Cloud les plus courantes sont : la messagerie électronique, le CRM (gestion des ventes), la gestion des ressources humaines et les points de vente. La proportion des entreprises interrogées estimant que le budget alloué au Cloud représente plus de 11% de leur budget IT global passe de 19 % en 2011 à 36 % en 2012, soit une augmentation de 17 points. Les entreprises investissent prioritairement dans le SaaS[1] (46 % dans le monde et 49 % en France). Néanmoins, un nombre significatif des utilisateurs finaux envisage également une exploitation en mode IaaS[2] (35 % dans le monde et 34% en France) et PaaS[3] (34 % dans le monde et 31% en France).

Une rupture nécessaire du modèle économique

Le Cloud crée de nouvelles opportunités impliquant la transformation des modèles commerciaux et opérationnels au sein de l’entreprise. 88 % des entreprises interrogées pensent que le Cloud va transformer leur business et la façon dont elles exercent leurs activités : 50 % d’entre elles estiment que cela va permettre de réduire leurs coûts, 39 % que cette technologie va modifier leurs interactions avec leurs clients et leurs fournisseurs et 32 % que cela va changer fondamentalement leur modèle économique. Pour 80 % des entreprises interrogées (83% en France), l’adoption du Cloud est motivée notamment par les nouvelles possibilités offertes par cette technologie, plus rapide à mettre en oeuvre, plus accessible, et plus riche en fonctionnalités. L’ensemble des fonctions interrogées, y compris les prestataires de services, pensent que le Cloud va également générer des économies d’échelle importantes (76 % dans le monde et 74% en France) et se traduire par une rationalisation des processus dans les entreprises (76 % dans le monde et 86% en France).

« Bien plus qu’une simple technologie, le Cloud Computing est perçu comme une véritable opportunité pour les entreprises, source de développement et de gains potentiels. Il va donner plus d’ampleur et d’intensité aux échanges interentreprises et va favoriser l’émergence de Clouds communautaires », explique Laurent Gobbi, Associé, responsable des activités IT Advisory de KPMG en France.

La sécurité au coeur des préoccupations

La mise en place du Cloud s’accompagne de défis opérationnels et techniques liés à la technologie, la sécurité, le coût total d’acquisition et l’interface entre la stratégie commerciale et les opérations.

44 % des entreprises interrogées considèrent les aspects liés à la sécurité comme le principal frein au développement du Cloud dans le monde de l’entreprise. Cette inquiétude est moins forte en France (31%). Les utilisateurs s’inquiètent des risques liés à la performance des prestataires, à l’accessibilité et la sécurité des données. Néanmoins, les réponses obtenues de la part des prestataires tendent à démontrer que les environnements
Cloud seront plus sûrs et plus fiables au fur et à mesure du développement d’offres de plus en plus matures. Le Cloud privé, c’està- dire le développement d’infrastructures spécifiques à l’entreprise, reste la solution privilégiée par 41 % des entreprises interrogées (40% en France). Autre point de vigilance révélé par l’étude : la gouvernance. Les responsables opérationnels et les directeurs informatiques sont en effet en désaccord quant à la gestion d’un projet de Cloud. Les cadres informatiques considèrent qu’un projet de migration vers le Cloud fait partie de leur champ de compétences, et que sa direction incombe au Directeur Informatique (33 % dans le monde). En revanche, pour les cadres opérationnels, c’est le Directeur Général qui devrait diriger un tel projet (26 % dans le monde).

« Dans la pratique, les responsabilités seront probablement partagées en fonction des domaines : les cadres dirigeants auront la responsabilité de définir le cadre général et les priorités stratégiques du projet Cloud, tandis que la gestion de la relation avec les prestataires et le développement du projet et son implémentation à proprement parler incombera aux cadres informatiques. Il est vraisemblable que l’adoption des services Cloud engendrera une forte évolution de l’organisation de la DSI qui limitera ses interventions sur les domaines purement techniques et évoluera davantage vers de la maîtrise d’oeuvre
et de la coordination avec les prestataires du Cloud.», souligne Sylvain Leterrier, Directeur, activités IT Advisory de KPMG en France.
KPMG
Réseau de cabinets nationaux indépendants
présent dans 150 pays avec des
des activités d’audit, d’expertise comptable,
de conseil et d’accompagnement
juridique et fiscal.
www.kpmg.fr

Ces mécanismes peuvent d’ailleurs être renforcés par les solutions Corporate clients, de gestion d’identités, qui sont alors placées en amont d’un lien unique avec le fournisseur de solutions Cloud ; notons cependant que certains fournisseurs seulement acceptent une telle architecture. Les entreprises clientes doivent toutefois considérer les points suivants :
• Quels types d’informations sont accessibles dans le Cloud ? Qui peut y accéder et comment sont-elles isolées des éléments non sécurisés ?
• Qui dispose de droits pour envoyer et recevoir des données sensibles en dehors du périmètre de l’entreprise ?
• Quels sont les mécanismes de sécurité qui garantissent la confidentialité des données de l’entreprise au sein du cloud public ?
• Comment les données sensibles doivent-elles être envoyées et comment sont-elles accessibles?

D’autres problèmes spécifiques au Cloud restent posés, notamment :

• Difficulté d’obtenir que certaines données restent localisées dans un pays désigné, le Cloud ne connaît pas de frontières ! Il faut alors être prêt à ce que le fournisseur doive se conformer à des réglementations comme la Directive Européenne de Protection des Données ou le USA Patriot Act, qui peuvent autoriser les autorités locales à prendre connaissance des données (cette possibilité est toutefois largement théorique)
• Impossibilité d’assurer la traçabilité des données, par exemple en vue des certifications SAS 70, Sarbanes Oxley ou autres, qui doivent garantir que nul n’a pu modifier des données sans qu’il en reste une trace.

Sécurite physique

Le Cloud Computing, par nature, est associé à une sorte de « dématérialisation » de l’hébergement (le nuage). En effet, le lieu d’hébergement du Cloud est généralement multiple, et réparti sur plusieurs data centers, en France et/ou à l’étranger. Dans le cas du Cloud public, le client ne connaît donc pas avec précision le ou les lieux d’hébergement du Cloud. Cette caractéristique, gage de disponibilité du Cloud, entraîne un changement important pour le client dans le mode de sélection de l’hébergeur. Une visite de data center ne suffit plus pour évaluer le niveau d’hébergement garanti par un fournisseur de Cloud. Ce dernier doit être en mesure d’apporter des garanties sur les conditions d’hébergement associées à son offre. Un certain nombre de certifications et/ou de classifications existent à ce sujet, sont reconnues et adoptées par l’ensemble des hébergeurs. L’une des plus représentatives étant la classification « Tier » de l’Uptime Institute .

Traçabilité

Point critique de la sécurité physique, le contrôle des accès doit être maitrisé, que l’on soit dans un contexte de cloud privé, public ou privé externalisé. Dans ces deux derniers cas, c’est au client final de s’assurer que les bonnes pratiques sont mises en oeuvre chez son prestataire de service/opérateur de cloud.

SYNTEC NUMERIQUE
3 rue Léon Bonnat – 75016 Paris
Tel : 01 44 30 49 70
Fax : 01 42 88 26 84
www.syntec-numerique.fr

RISQUE 1 : la perte de maîtrise et/ou de gouvernance

Concerne : Cloud externe. Comme dans toute externalisation informatique traditionnelle, l’utilisation de services d’un prestataire Cloud se traduit d’une certaine manière par :

• un renoncement au contrôle sur son infrastructure
• la perte de la maîtrise directe du système d’information
• une gestion et une exploitation opaques.

RISQUE 2 : des déficiences au niveau des interfaces et des APIs

Concerne : Cloud interne et Cloud externe
Le niveau de portabilité actuel des services, des applications et surtout des données est encore peu probante : il y a peu de garanties sur les outils, les procédures, les formats de données et les interfaces de services. En cas de réversibilité ou de migration vers un autre fournisseur de services Cloud, les opérations peuvent être rendues très complexes, longues et coûteuses. En cas d’impossibilité de pouvoir revenir en arrière, le risque est élevé de se trouver captif d’une offre particulière. D’autre part, le manque de clarté des spécifications des interfaces de programmation (APIs), leur pauvreté et le peu de contrôle à portée des clients sont autant de facteurs de risques supplémentaires.

RISQUE 3 : conformité(s) et maintien de la conformité

Concerne : Cloud externe Le contexte protéiforme du Cloud génère de nombreuses questions liées aux aspects règlementaires et juridiques. Et notamment :

• la responsabilité des données et des traitements
• la coopération avec les entités légales et de justice (des différents pays)
• la traçabilité de l’accès aux données aussi bien dans le Cloud, que lorsque ces données sont sauvegardées ou archivées
• la possibilité de réaliser des contrôles et des audits sur le respect des modes opératoires et des procédures

RISQUE 4 : localisation des données

Concerne : Cloud externe
La dématérialisation des données sur des sites physiques de stockage différents peut conduire à un éclatement des données et une répartition dans différents pays. Un manque de maîtrise de cette répartition géographique est susceptible de provoquer le non-respect de contraintes réglementaires liées à la localisation des données sur le territoire d’un Etat.

RISQUE 5 : ségrégation / isolement des environnements et des données

Concerne : Cloud externe
La mutualisation des moyens est l’une des caractéristiques fondamentale du Cloud. Mais les risques afférents sont nombreux, souvent liés aux mécanismes de séparation :
> L’étanchéité entre différents environnements utilisateurs.
> L’isolation des données sous leurs différentes formes.
> L’allocation des ressources.

RISQUE 6 : perte et destruction maîtrisée de données

Concerne : Cloud externe
Les pertes de données ne sont pas spécifiquement liées au Cloud, et les deux grandes familles de risques sont :
> Les pertes liées à des problèmes lors de l’exploitation et la gestion du Cloud ;
> Un défaut de sauvegarde des données gérées dans le Cloud.

RISQUE 7 : récupération des données

Concerne : Cloud externe, Cloud interne Il est indispensable d’avoir la garantie de disposer des moyens pour la récupération de données en cas de problèmes autres que les cas de nondisponibilité.

RISQUE 8 : malveillance dans l’utilisation

Concerne : Cloud externe, Cloud interne
Les architectures de type Cloud sont gérées et exploitées par des personnes disposant de privilèges élevés et qui sont donc à risque élevé. Des dommages peuvent être causés par ces spécialistes techniques. Les risques d’accès non-autorisés aux données ou d’utilisation abusive doivent être pris anticipés. Les dommages causés par des administrateurs système du Cloud – même s’ils sont rares – s’avèrent plus dévastateurs que dans un environnement informatique classique.

RISQUE 9 : usurpation

Concerne : Cloud externe, Cloud interne

Les risques d’usurpation d’identité sont de deux natures :

> L’usurpation de service offert par l’architecture Cloud : il peut s’agir de services similaires, voire identiques, offerts par d’autres offreurs ou en d’autres points du Cloud pour d’autres clients. A l’extrême, on peut se retrouver confronté à des problématiques telles que celle du phishing (hameçonnage).

> L’usurpation d’identité d’utilisateurs ou de clients des services du Cloud : il peut s’agir d’attaques liées au vol de l’identité d’utilisateurs de services suite à des déficiences dans les mécanismes d’authentification. De faux clients utiliseraient de façon indue des ressources, voire accèderaient aux données des clients légitimes.

Les solutions Cloud reposent sur des technologies de virtualisation et d’automatisation. Trois caractéristiques clés du Cloud le différencient de solutions traditionnelles :

• Services à la place de produits technologiques avec mise à jour en continu et automatiquement
• Self-service et paiement à l’usage(en fonction de ce que l’onconsomme)
• Mutualisation et allocation dynamique de capacité (adaptation élastique aux pics de charge).

Vu des entreprises utilisatrices (du grand compte multinational à la PME locale), le Cloud Computing peut se définir comme une approche visant à disposer d’applications, de puissance de calcul, de moyens de stockage, etc. comme autant de « services ». Ceux-ci seront mutualisés, dématérialisés (donc indépendants de toutes contingences matérielles, logicielles et de communication), contractualisés (en termes de performances, niveau de sécurité, coûts…), évolutifs (en volume, fonction, caractéristiques…) et en libre-service. Avec le CC, où passent donc les progiciels applicatifs, les bases de données, les serveurs et autres systèmes physiques de distribution, de communication, de sauvegarde et de stockage ?
Les machines, applications et données pourront être disséminées ou centralisées dans un, ou dans différents sites internes, chez des prestataires, dans un data center situé à l’autre bout de la planète ou sur une myriade de serveurs appartenant à un même « nuage ».

Partant de ces capacités d’abstraction et du paradigme des « services », le Cloud Computing peut être représenté en trois composantes principales – dont il est indifféremment l’une, les deux ou les trois combinées :
• SaaS (Software as a Service) :
concerne les applications d’entreprise : CRM, outils collaboratifs, messagerie, BI, ERP,… Le modèle SaaS permet de déporter une application chez un tiers. Ce modèle convient à certaines catégories d’applications qui se doivent d’être globalement identiques pour tout le monde, la standardisation étant un des principes du cloud. Le terme SaaS évoque bien un service dans le sens où le fournisseur vend une fonction opérationnelle, et non des composants techniques requérant une compétence informatique.
• PaaS (Platform as a Service) :
concerne les environnements middleware, de développement, de test,… Le modèle PaaS consiste à mettre à disposition un environnement prêt à l’emploi, l’infrastructure étant masquée. Une plate-forme PaaS permet par exemple d’avoir un environnement de développement immédiatement disponible.
• IaaS (Infrastructure as a Service) :
concerne les serveurs, moyens de stockage, réseau, Le modèle IaaS consiste à pouvoir disposer d’une infrastructure informatique disponible via un modèle de déploiement cloud computing. L’accès à la ressource est complet et sans restriction, équivalent de fait à la mise à disposition d’une infrastructure physique réelle. Ainsi une entreprise pourra par exemple louer des serveurs Linux, Windows ou autres systèmes, qui tourneront en fait dans une machine virtuelle chez le fournisseur de l’IaaS.