SlideShare une entreprise Scribd logo
1  sur  8
Télécharger pour lire hors ligne
Cloud COmputing :
la sécurisation
des données

L

es services de Cloud Computing s’industrialisent,
les fournisseurs sont techniquement prêts à répondre à la
demande. De leur côté, les entreprises se montrent de plus
en plus intéressées mais restent très prudentes avant de
se lancer. En effet, elles mettent toujours en avant les freins liés à
la sécurité des données et à la transférabilité de leurs données vers
une autre plateforme (ou en interne dans leur système d’information)
en cas de changement de fournisseur. Les sondages réalisés sur le
Cloud Computing auprès des entreprises par les plus grands cabinets
spécialisés (par exemple l’étude « Delivering on Cloud Expectations »
menée par  Forrester Research ou les conférences du dernier Gartner
Symposium/ITxpo 2013 à Barcelone) sont d’ailleurs unanimes en
relevant cette inquiétude au premier plan. Toutefois, aujourd’hui,
un certain nombre d’idées reçues, surtout d’ordre psychologiques,
circulent peut-être à tort autour de la sécurité du Cloud Computing.
D’autant que les efforts réalisés par les fournisseurs sont réels pour
garantir l’intégrité et la protection des données. Ce livre blanc vous
aidera donc à prendre connaissance et à prendre en compte les
points clés de la sécurisation de l’infrastructure, des données et des
applications lors de la signature avec un fournisseur de services Cloud.

Sommaire
Partie 1  P.02

Gare aux idées
reçues ! 		
Partie 2  P.03

L’importance de
la localisation
des données 	
Partie 3 P.04

Des outils et
des services
pour garantir
l’intégrité
des données,
pourquoi faire
confiance à ces
technologies ?	
Partie 4  P.08

La réversibilité
des données 
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES

1// Gare aux idées reçues !
« Je risque de perdre
mes données plus
facilement dans
un Cloud. »

FAUX. La perte de données est-elle réellement plus

fréquente dans le cadre du Cloud Computing ? Non à cette
idée reçue, le Cloud public peut même apporter plus de
sécurité. En effet, les entreprises bénéficient, très souvent
même, de meilleurs dispositifs et de services de sécurité
(matériel plus performant, réplication des données, plan
de reprise d’activité, etc) plus importants que ceux dont
elles disposaient auparavant. Si l’entreprise combine des règles d’accès avec une gestion accrue
des identités et des autorisations associées aux individus, elle bénéficie d’une protection plus
granulaire, plus précise, plus transparente et plus facile à gérer. De plus, ces dispositifs et
ces technologies sont mis à jour régulièrement.

FAUX. Là encore, il est erroné de dire qu’en adoptant

« Je ne suis plus

des services de Cloud Computing où les ressources,
maître de mes
il est vrai, sont souvent partagées et mutualisées,
applications et
l’entreprise n’a plus la maîtrise de ses données et de ses
de mes données. »
applications. Les fournisseurs de services Cloud, surtout
français et européens, garantissent en général à 99,99 %
la disponibilité et la fiabilité des données et l’accès aux
applications. Ils mentionnent aussi contractuellement la localisation de toutes les informations
et même pour certains clients, un service de cloisonnement des données est proposé.
Les entreprises doivent être très attentives sur les niveaux de garanties proposés dans le contrat
(dont la propriété exclusive de toutes les données stockées et donc sur les pénalités fixées).

« Je ne pourrais pas
forcément récupérer
mes données en cas
de rupture de contrat. »

FAUX. Le contrat établi entre l’entreprise cliente et

le fournisseur stipule que ce dernier s’engage sur
la réversibilité et la transférabilité des données.
En effet, contrairement à cette idée reçue, le client
est libre de partir avec ses données. Les fournisseurs
de services Cloud s’engagent sur ce point en mettant
à la disposition de leurs clients leurs données dans
un temps limité en cas de rupture de contrat. Les données ainsi récupérées par le client sont
disponibles sous des formats standards et peuvent être facilement ré-exploitables dans leur
système d’information ou chez un autre fournisseur.

2
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES

2// L’importance
de la localisation
des données

C

onnaître le lieu de stockage des données pour
une entreprise utilisatrice de services Cloud est
fortement recommandé. De ce fait, le choix du
prestataire est primordial. Il est donc conseillé
pour une entreprise de s’orienter vers un acteur reconnu
et bien implanté, car l’entreprise qui confie ses données
et ses applications à un opérateur tiers doit être certaine que
ce service sera hébergé et opéré en France ou en Europe
(leurs données informatiques sont hébergées dans les
datacenters du fournisseur) et qu’il dépendra, de ce fait,
des législations françaises et européennes
sur les données. En effet, le prestataire se doit
de respecter, d’un point de vue juridique,
les normes imposées par la France et l’Europe
sur la sécurité et le stockage des données. Selon
le droit français, et a fortiori européen, les données
confiées à un tiers restent ainsi la propriété du client
et la loi interdit au prestataire de les divulguer.

Le Patriot Act américain, un risque
non négligeable pour les entreprises

Cette localisation des données pour les entreprises est d’autant plus importante qu’elle fait suite
à l’actualité brulante et récente de l’affaire Prism sur les écoutes et la cybersurveillance opérées
par la NSA (Agence de la sécurité nationale des Etats-Unis) sur toute l’Europe. En effet,
le gouvernement américain a eu, entre autres, accès à des données sur les serveurs installés
dans des datacenters de grandes entreprises américaines. Il faut savoir que suite aux attentats du
11 septembre 2001 à New York, les Etats-Unis ont mis en place une loi « anti-terroriste » baptisée
le Patriot Act, qui permet à l’administration américaine de consulter et d’accéder à tout moment
aux données des hébergeurs et des opérateurs de services Cloud. Ainsi, dès lors que les contenus
d’un datacenter sont situés sur le sol américain ou opérés par une entreprise américaine, c’est la
législation des Etats-Unis (dont le Patriot Act) qui s’applique. On le voit bien, le choix du Cloud est
certes la bonne solution mais les données dépendent aussi de la garantie offerte par le fournisseur
et du lieu où elles se trouvent. Résultat, de nombreuses entreprises s’orientent, de plus en plus,
vers des datacenters nationaux et locaux de proximité.

3
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES

3// Des outils et des services pour
garantir l’intégrité des données,
pourquoi faire confiance
à ces technologies ?

S

i les entreprises sont de plus en plus nombreuses
à se tourner vers des prestataires de services
Cloud, c’est aussi qu’elles ne maîtrisent
plus forcément la sécurité de leur propre
système d’information. En effet, les entreprises
font face maintenant à la multiplication des
nouveaux services et usages, ce qu’on appelle
aujourd’hui, la consumérisation de l’IT. Toutes les
entreprises sont effectivement confrontées à des salariés qui
utilisent régulièrement leurs propres équipements informatiques
et leurs propres applications (smartphones, PC portables, réseaux
sociaux, collaboratifs, bureautiques, etc) à des fins professionnelles. Résultat :
la consumérisation IT augmente la menace interne, et les entreprises doivent faire face à de
nouvelles questions de sécurité liées à davantage de liberté du côté de l’utilisateur. En se tournant
vers des prestataires de service Cloud, ces mêmes entreprises espèrent réduire toutes ces
menaces mais restent en parallèle très méfiantes sur les outils de sécurité mis en place par leur
prestataire pour garantir l’intégrité et la protection de leurs données. Cette méfiance est clairement
due à un manque de confiance envers les fournisseurs sur le déploiement de ce type d’outils.
Il faut bien dire que tous ces outils montrent une réelle efficacité si une gouvernance autour de la
sécurité est menée pour avoir une vue globale du datacenter. D’autre part, l’efficacité est aussi
valable si ces dits outils sont parfaitement paramétrés. Voici donc les approches que devraient
mettre en place les fournisseurs de services Cloud pour garantir la sécurisation physique de
l’infrastructure et logique des données et des applications :

Classification des datacenters

Les fournisseurs de services Cloud disposent soit de leur propre datacenter ou signent des
accords avec des partenaires hébergeurs ou opérateurs de datacenters. Il faut savoir que
les datacenters sont classés par un organisme (Uptime Institute) suivant la disponibilité et la
sécurisation des données. Cette classification permet donc aux entreprises clientes de mesurer
le niveau de sécurité mis en place par le fournisseur.

Datacenter certifié Tier I

Ce faible niveau de sécurisation et de fiabilité indique que ce datacenter ne dispose pas
d’infrastructure et de climatisation redondante. De plus, une seule alimentation électrique
subsiste.

4
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES

Datacenter certifié Tier II

Dans ce niveau, le datacenter dispose de certains éléments et de composants redondants
mais bénéficie toujours d’un seul circuit électrique pour l’énergie et pour la distribution de
refroidissement.

Datacenter Tier III

Ce niveau signifie que tous les éléments de l’infrastructure sont redondants et en double
alimentation. Toutefois, une seule alimentation électrique fonctionne en mode actif.

Datacenter Tier IV

Dans ce cas de figure, le datacenter offre un taux de disponibilité de 99,995 %,
les infrastructures sont redondantes, les alimentations électriques et les climatisations
sont doublées et fonctionnent en actif/actif.

Pour plus de sécurité, certaines entreprises portent même leur choix sur un fournisseur
dont le datacenter est certifié ISO 27001, une norme internationale de système de gestion
de la sécurité de l’information. Cette norme décrit les exigences de sécurité afin d’assurer
la protection des biens sensibles d’une entreprise sur un périmètre défini.

Virtualisation

Certes, la virtualisation permet de réduire les coûts en masquant la nature physique des
ressources aux systèmes qui les consomment. Elle améliore aussi la disponibilité des systèmes et
l’évolution vers une infrastructure dynamique qui alloue en temps réel les ressources matérielles
nécessaires à l’exécution des applications. Toutefois, la virtualisation comporte aussi des risques
comme la simple erreur humaine, la malveillance ou encore le manque d’étanchéité entre les
machines virtuelles. Ainsi, l’entreprise qui choisit un prestataire de service Cloud doit s’assurer que
ce dernier respecte certaines règles dont l’analyse des risques pour chaque application et chaque
service concerné, et prendre en compte l‘interdépendance avec l’infrastructure existante. Il lui faut
aussi mesurer l’impact d’un dysfonctionnement ou de l’arrêt du serveur hôte. Il doit par ailleurs
mettre en place un contrôle des accès et une gestion des droits afin de diminuer au maximum
ces risques. Des outils permettant une automatisation et une orchestration des environnements
physiques et virtuels sont devenus indispensables pour limiter les risques.

Cloisonnement des clients et séparation des espaces clients

A la demande de certaines entreprises, très exigeantes en termes de sécurisation des données,
certains fournisseurs de Cloud Computing n’hésitent pas à proposer des zones de cloisonnement
privées. Ce sont le plus souvent des espaces grillagés privatifs qui renferment les serveurs,
les baies, les commutateurs et même des systèmes d’alimentations et de refroidissements
personnalisés, et qui comprennent également un contrôle d’accès additionnel. Dans cette zone
protégée, les entreprises bénéficient non seulement de configurations sur mesure mais aussi
de possibilité d’extension de la surface d’hébergement à mesure que les besoins de cellesci augmentent ou évoluent. D’autre part, dans certains datacenters, des mesures assurant la
séparation des espaces clients telles que l’anti-spoofing de l’adresse IP, la segmentation et

5
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES

l’isolation des domaines de broadcast, l’anti-flooding des adresses MAC, garantissent aussi
l’imperméabilité de votre environnement IT vis-à-vis de celui des autres clients.

Détection des attaques en temps réel

Bien sûr, à l’instar du système d’information d’une entreprise, les infrastructures dans les
datacenters sont potentiellement soumises aux menaces externes (virus, malware, intrusion, déni
de service par saturation, etc). Il faut dire qu’avec le développement des offres Cloud, les centres
de calcul deviennent des pièces maîtresses et suscitent l’intérêt des cybercriminels. Pour faire face
à ces attaques, une multitude d’outils sont déployés pour garantir la sécurisation des données,
qui vont des firewalls aux systèmes de détection d’intrusion logicielle en passant par des solutions
d’automatisation et de surveillance du réseau.

Chiffrement

L’un des aspects de la protection des données est bien sûr la confidentialité des données et
surtout la protection de la vie privée. Pour renforcer ces deux critères, les entreprises se tournent
naturellement vers des prestataires capables de proposer des solutions de chiffrement de
données. Mais, le chiffrement seul ne suffit plus. En effet, une communication chiffrée ne permet
pas, par exemple, de masquer l’identité des parties qui communiquent. L’idée est donc d’enrichir
l’architecture de sécurité par l’ajout de redondances intelligentes en utilisant des codes correcteurs
linéaires (code de Reed-Muller). Pour résumer, dans un contexte Cloud, il faut repenser la gestion
de l’identité en utilisant des outils de cryptographie basés sur l’identité.

Cyber-défense : se prémunir des menaces
persistantes avancées
Très médiatisés depuis deux ans, des groupes
organisés mènent des attaques de grande
ampleur sur le système d’information des
entreprises dont l’objectif final est bien souvent
financier : vendre des informations stratégiques
ou des secrets professionnels à des tiers.
La particularité de ces groupes est qu’ils
attaquent de manière ciblée une entreprise ou
une organisation le plus discrètement possible
contrairement aux menaces classiques (virus,
dénis de service, phishing...) dont la cible est
très large. Ces attaques ont été baptisées
par les spécialistes « menaces persistantes
avancées » ou APT («Advanced Persistent
Threat «) en anglais. Persistantes, car le pirate
va essayer de manière répétée d›atteindre
son objectif, et avancées car il exploite des
vulnérabilités et des technologies sophistiquées.

6

Pour contrer ce type de menaces,
les fournisseurs de services Cloud n’hésitent
plus à adopter des outils et des compétences
pointues (le plus souvent une plateforme de
surveillance de la sécurité supervisée par une
équipe d’experts) qui agissent comme une
cellule de veille. Cette plateforme permet donc
de centraliser des informations provenant d’une
multitude d’équipements, qui contribuent à
une base de réputation et à la mise à jour des
règles de sécurité. Cette plateforme devient
donc l’élément proactif (à travers une action de
centralisation des alertes) capable de réagir et
d’arrêter des attaques en cours de réalisation
(détection et arrête des attaques signaux forts,
détection et arrêt des attaques signaux faibles et
détection et arrêt des comportements anormaux
et des atypies).
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES

Les services d’exploitation

Pour les entreprises utilisatrices, la sécurité des données doit aussi tenir compte d’un certain
nombre de services d’exploitations (PRA, duplication, administration, extension de ressources,
etc.) que proposent les fournisseurs de services Cloud. Voici les principaux :

Plan de reprise d’activité

Parmi les multiples services d’exploitation, le PRA (Plan de reprise d’activité) offre une
véritable garantie supplémentaire en termes de sécurité. En effet, pouvoir relancer
rapidement le fonctionnement du système en cas de sinistre majeur sur l’infrastructure
principale est essentiel pour une entreprise. Pour garantir ce PRA, les fournisseurs de
services Cloud disposent de plusieurs datacenters interconnectés qui leur permettent de
basculer rapidement l’infrastructure de leur client depuis un site distant en cas de crash.

Déduplication des données

La déduplication reste essentiellement exploitée lors des opérations de sauvegarde.
C’est une fonction majeure dans la sécurisation des données car elle permet de sauvegarder
les données de manière optimale, c’est-à-dire d’éliminer les doublons dans un système
de fichiers. Et plus l’analyse est granulaire, plus les chances de détecter et d’éliminer les
informations en double sont élevées. Point important : en cas de rupture de contrat avec
le prestataire, les clients devront aussi se poser la question de l’effacement des données
stockées sur les serveurs Cloud.

Administration des ressources

Pour l’entreprise cliente, il est primordial de garder le contrôle et donc la maîtrise du cycle de
vie de ses applications et de ses données. Il ne faut pas oublier que ce sont les applications
qui pilotent, via des outils d’orchestration et d’automatisation, les ressources comme les
systèmes virtuels, le stockage et la mémoire, pas l’inverse. Ainsi, un certain nombre de
fournisseurs de services Cloud mettent à la disposition de leurs clients des outils permettant
de superviser les ressources en temps réel, de paramétrer les alertes, de suivre leur
consommation de bande passante, de visualiser l’activité des machines virtuelles et des
capacités de stockage et de faciliter la supervision du trafic.

Agilité dans la mutualisation des ressources

Dans l’utilisation d’un Cloud, l’entreprise doit pouvoir bénéficier, en cas de montée en
charge, de ressources technologiques supplémentaires puis de les libérer une fois
la charge ramenée à la normale. En accordant des ressources de cette manière, les
fournisseurs diminuent d’environ 50 % la durée et la planification des processus et des
tâches. Aujourd’hui, cette agilité doit se faire par un portail libre-service. Le client peut ainsi
configurer, gérer et ajuster automatiquement ses propres ressources en fonction de ses
besoins.

7
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES

4// La réversibilité
des données

P

our l’entreprise, cela va de soi qu’elle doit pouvoir
récupérer ses données et ses applications en
toute simplicité en cas de rupture de contrat
avec son fournisseur. Quant aux formats
de données récupérées, ils doivent être lisibles et
exploitables chez un autre fournisseur ou directement
en interne dans le système d’information de l’entreprise.
Pour cela, deux points importants sont listés lors de l’établissement du contrat ; d’une part,
la prévision de la clause de réversibilité et d’autre part, cette clause doit être, de préférence,
accompagnée d’un plan de réversibilité détaillé dans l’une des annexes du contrat. Ces contrats
Cloud sont importants pour les futurs clients. Ils permettent surtout d’étudier le degré de maturité
de l’offre, des problématiques analysées par les prestataires et des réponses apportées. Car, dans
les faits, les garanties de la réversibilité ne sont pas toujours très claires.

La question de l’interopérabilité des solutions techniques…

A leur décharge, les fournisseurs de services Cloud relèvent, à juste titre, le manque
d’interopérabilité des solutions techniques. Par exemple, bouger des machines virtuelles en
exploitation d’un hyperviseur à un autre reste une tâche compliquée voire impossible dans certains
cas, même si des outils agnostiques permettent d’échanger entre les principaux hyperviseurs
du marché. Toutefois, au niveau de l’IaaS (Infrastructure as a service), les fournisseurs adoptent
de plus en plus de solutions basées sur des standards ouverts comme OpenStack, par exemple,
qui se veut une alternative aux IaaS propriétaires. La technologie OpenStack, en s’adaptant aux
standards, donne aux entreprises clientes les moyens de déplacer des charges de travail d’un
prestataire de services Cloud à un autre sans être verrouillées.

…surtout au niveau du Saas et du Paas

Ce manque d’interopérabilité est surtout visible pour les environnements Saas (Software as a
service) et Paas (Platform as a service). En effet, les services Paas sont basés essentiellement
sur des frameworks spécifiques propres à chaque fournisseur. Quant aux Saas, les formats de
fichiers sont le plus souvent prioritaires. De plus, de nombreuses applications Saas ne disposent
pas d’API, c’est d’ailleurs souvent des applications spécifiques que l’on retrouve dans les petites
et moyennes entreprises qui répondent, il est vrai, à leurs besoins. Dans ce cas, on est bloqué. On
le voit, ce manque de standardisation pénalise indirectement la transférabilité des données d’une
plateforme à une autre. Et donc, les surcoûts engendrés par cette ré-exploitation des données en
interne ou sur une autre plateforme peuvent être conséquents. Les choses avancent néanmoins
au niveau des interfaces pour la gestion des identités. En effet, l’industrie s’oriente, de plus en plus,
vers l’adoption de protocoles d’identification et d’authentification (SAML v2, OpenID/oAuth).
8

Contenu connexe

Tendances

La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business Services
Romain Fonnier
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
Geoffroy Moens
 

Tendances (20)

Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risques
 
111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Parlons-en du Cloud Event - Cloud definition and use cases
Parlons-en du Cloud Event - Cloud definition and use casesParlons-en du Cloud Event - Cloud definition and use cases
Parlons-en du Cloud Event - Cloud definition and use cases
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business Services
 
Presentation du contrat SaaS
Presentation du contrat SaaSPresentation du contrat SaaS
Presentation du contrat SaaS
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentaux
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud Computing
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
 

Similaire à Numergy la sécurité des données dans le cloud

CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015
COMPETITIC
 
DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1
AIR-LYNX
 
Livre Blanc
Livre Blanc Livre Blanc
Livre Blanc
abir.rzg
 

Similaire à Numergy la sécurité des données dans le cloud (20)

Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Formation fibrenoire
Formation fibrenoireFormation fibrenoire
Formation fibrenoire
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015
 
Le cloud
Le cloudLe cloud
Le cloud
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratique
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
 
Samedi SQL Québec - Intro par Louis Roy
Samedi SQL Québec - Intro par Louis RoySamedi SQL Québec - Intro par Louis Roy
Samedi SQL Québec - Intro par Louis Roy
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
 
Une sécurité basée sur la confiance et non pas sur la peur
Une sécurité basée sur la confiance et non pas sur la peurUne sécurité basée sur la confiance et non pas sur la peur
Une sécurité basée sur la confiance et non pas sur la peur
 
m213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfm213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdf
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
 
Chap1-Centre-de-donnees - -Une-introduction (1).pdf
Chap1-Centre-de-donnees - -Une-introduction (1).pdfChap1-Centre-de-donnees - -Une-introduction (1).pdf
Chap1-Centre-de-donnees - -Une-introduction (1).pdf
 
DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1
 
Quand le cloud computing a besoin d'une tour de controle
Quand le cloud computing a besoin d'une tour de controleQuand le cloud computing a besoin d'une tour de controle
Quand le cloud computing a besoin d'une tour de controle
 
Le cloud computing
Le cloud computingLe cloud computing
Le cloud computing
 
Livre Blanc
Livre Blanc Livre Blanc
Livre Blanc
 
Ebauche livre-blanc
Ebauche livre-blancEbauche livre-blanc
Ebauche livre-blanc
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 

Plus de Bee_Ware

Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to go
Bee_Ware
 

Plus de Bee_Ware (20)

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape report
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challenges
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends study
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance report
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - Kaspersky
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to go
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAM
 
Websense security prediction 2014
Websense   security prediction 2014Websense   security prediction 2014
Websense security prediction 2014
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santé
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security Survey
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cps
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013
 

Numergy la sécurité des données dans le cloud

  • 1. Cloud COmputing : la sécurisation des données L es services de Cloud Computing s’industrialisent, les fournisseurs sont techniquement prêts à répondre à la demande. De leur côté, les entreprises se montrent de plus en plus intéressées mais restent très prudentes avant de se lancer. En effet, elles mettent toujours en avant les freins liés à la sécurité des données et à la transférabilité de leurs données vers une autre plateforme (ou en interne dans leur système d’information) en cas de changement de fournisseur. Les sondages réalisés sur le Cloud Computing auprès des entreprises par les plus grands cabinets spécialisés (par exemple l’étude « Delivering on Cloud Expectations » menée par  Forrester Research ou les conférences du dernier Gartner Symposium/ITxpo 2013 à Barcelone) sont d’ailleurs unanimes en relevant cette inquiétude au premier plan. Toutefois, aujourd’hui, un certain nombre d’idées reçues, surtout d’ordre psychologiques, circulent peut-être à tort autour de la sécurité du Cloud Computing. D’autant que les efforts réalisés par les fournisseurs sont réels pour garantir l’intégrité et la protection des données. Ce livre blanc vous aidera donc à prendre connaissance et à prendre en compte les points clés de la sécurisation de l’infrastructure, des données et des applications lors de la signature avec un fournisseur de services Cloud. Sommaire Partie 1  P.02 Gare aux idées reçues ! Partie 2  P.03 L’importance de la localisation des données Partie 3 P.04 Des outils et des services pour garantir l’intégrité des données, pourquoi faire confiance à ces technologies ? Partie 4  P.08 La réversibilité des données 
  • 2. CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 1// Gare aux idées reçues ! « Je risque de perdre mes données plus facilement dans un Cloud. » FAUX. La perte de données est-elle réellement plus fréquente dans le cadre du Cloud Computing ? Non à cette idée reçue, le Cloud public peut même apporter plus de sécurité. En effet, les entreprises bénéficient, très souvent même, de meilleurs dispositifs et de services de sécurité (matériel plus performant, réplication des données, plan de reprise d’activité, etc) plus importants que ceux dont elles disposaient auparavant. Si l’entreprise combine des règles d’accès avec une gestion accrue des identités et des autorisations associées aux individus, elle bénéficie d’une protection plus granulaire, plus précise, plus transparente et plus facile à gérer. De plus, ces dispositifs et ces technologies sont mis à jour régulièrement. FAUX. Là encore, il est erroné de dire qu’en adoptant « Je ne suis plus des services de Cloud Computing où les ressources, maître de mes il est vrai, sont souvent partagées et mutualisées, applications et l’entreprise n’a plus la maîtrise de ses données et de ses de mes données. » applications. Les fournisseurs de services Cloud, surtout français et européens, garantissent en général à 99,99 % la disponibilité et la fiabilité des données et l’accès aux applications. Ils mentionnent aussi contractuellement la localisation de toutes les informations et même pour certains clients, un service de cloisonnement des données est proposé. Les entreprises doivent être très attentives sur les niveaux de garanties proposés dans le contrat (dont la propriété exclusive de toutes les données stockées et donc sur les pénalités fixées). « Je ne pourrais pas forcément récupérer mes données en cas de rupture de contrat. » FAUX. Le contrat établi entre l’entreprise cliente et le fournisseur stipule que ce dernier s’engage sur la réversibilité et la transférabilité des données. En effet, contrairement à cette idée reçue, le client est libre de partir avec ses données. Les fournisseurs de services Cloud s’engagent sur ce point en mettant à la disposition de leurs clients leurs données dans un temps limité en cas de rupture de contrat. Les données ainsi récupérées par le client sont disponibles sous des formats standards et peuvent être facilement ré-exploitables dans leur système d’information ou chez un autre fournisseur. 2
  • 3. CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 2// L’importance de la localisation des données C onnaître le lieu de stockage des données pour une entreprise utilisatrice de services Cloud est fortement recommandé. De ce fait, le choix du prestataire est primordial. Il est donc conseillé pour une entreprise de s’orienter vers un acteur reconnu et bien implanté, car l’entreprise qui confie ses données et ses applications à un opérateur tiers doit être certaine que ce service sera hébergé et opéré en France ou en Europe (leurs données informatiques sont hébergées dans les datacenters du fournisseur) et qu’il dépendra, de ce fait, des législations françaises et européennes sur les données. En effet, le prestataire se doit de respecter, d’un point de vue juridique, les normes imposées par la France et l’Europe sur la sécurité et le stockage des données. Selon le droit français, et a fortiori européen, les données confiées à un tiers restent ainsi la propriété du client et la loi interdit au prestataire de les divulguer. Le Patriot Act américain, un risque non négligeable pour les entreprises Cette localisation des données pour les entreprises est d’autant plus importante qu’elle fait suite à l’actualité brulante et récente de l’affaire Prism sur les écoutes et la cybersurveillance opérées par la NSA (Agence de la sécurité nationale des Etats-Unis) sur toute l’Europe. En effet, le gouvernement américain a eu, entre autres, accès à des données sur les serveurs installés dans des datacenters de grandes entreprises américaines. Il faut savoir que suite aux attentats du 11 septembre 2001 à New York, les Etats-Unis ont mis en place une loi « anti-terroriste » baptisée le Patriot Act, qui permet à l’administration américaine de consulter et d’accéder à tout moment aux données des hébergeurs et des opérateurs de services Cloud. Ainsi, dès lors que les contenus d’un datacenter sont situés sur le sol américain ou opérés par une entreprise américaine, c’est la législation des Etats-Unis (dont le Patriot Act) qui s’applique. On le voit bien, le choix du Cloud est certes la bonne solution mais les données dépendent aussi de la garantie offerte par le fournisseur et du lieu où elles se trouvent. Résultat, de nombreuses entreprises s’orientent, de plus en plus, vers des datacenters nationaux et locaux de proximité. 3
  • 4. CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 3// Des outils et des services pour garantir l’intégrité des données, pourquoi faire confiance à ces technologies ? S i les entreprises sont de plus en plus nombreuses à se tourner vers des prestataires de services Cloud, c’est aussi qu’elles ne maîtrisent plus forcément la sécurité de leur propre système d’information. En effet, les entreprises font face maintenant à la multiplication des nouveaux services et usages, ce qu’on appelle aujourd’hui, la consumérisation de l’IT. Toutes les entreprises sont effectivement confrontées à des salariés qui utilisent régulièrement leurs propres équipements informatiques et leurs propres applications (smartphones, PC portables, réseaux sociaux, collaboratifs, bureautiques, etc) à des fins professionnelles. Résultat : la consumérisation IT augmente la menace interne, et les entreprises doivent faire face à de nouvelles questions de sécurité liées à davantage de liberté du côté de l’utilisateur. En se tournant vers des prestataires de service Cloud, ces mêmes entreprises espèrent réduire toutes ces menaces mais restent en parallèle très méfiantes sur les outils de sécurité mis en place par leur prestataire pour garantir l’intégrité et la protection de leurs données. Cette méfiance est clairement due à un manque de confiance envers les fournisseurs sur le déploiement de ce type d’outils. Il faut bien dire que tous ces outils montrent une réelle efficacité si une gouvernance autour de la sécurité est menée pour avoir une vue globale du datacenter. D’autre part, l’efficacité est aussi valable si ces dits outils sont parfaitement paramétrés. Voici donc les approches que devraient mettre en place les fournisseurs de services Cloud pour garantir la sécurisation physique de l’infrastructure et logique des données et des applications : Classification des datacenters Les fournisseurs de services Cloud disposent soit de leur propre datacenter ou signent des accords avec des partenaires hébergeurs ou opérateurs de datacenters. Il faut savoir que les datacenters sont classés par un organisme (Uptime Institute) suivant la disponibilité et la sécurisation des données. Cette classification permet donc aux entreprises clientes de mesurer le niveau de sécurité mis en place par le fournisseur. Datacenter certifié Tier I Ce faible niveau de sécurisation et de fiabilité indique que ce datacenter ne dispose pas d’infrastructure et de climatisation redondante. De plus, une seule alimentation électrique subsiste. 4
  • 5. CLOUD COMPUTING LA SÉCURISATION DES DONNÉES Datacenter certifié Tier II Dans ce niveau, le datacenter dispose de certains éléments et de composants redondants mais bénéficie toujours d’un seul circuit électrique pour l’énergie et pour la distribution de refroidissement. Datacenter Tier III Ce niveau signifie que tous les éléments de l’infrastructure sont redondants et en double alimentation. Toutefois, une seule alimentation électrique fonctionne en mode actif. Datacenter Tier IV Dans ce cas de figure, le datacenter offre un taux de disponibilité de 99,995 %, les infrastructures sont redondantes, les alimentations électriques et les climatisations sont doublées et fonctionnent en actif/actif. Pour plus de sécurité, certaines entreprises portent même leur choix sur un fournisseur dont le datacenter est certifié ISO 27001, une norme internationale de système de gestion de la sécurité de l’information. Cette norme décrit les exigences de sécurité afin d’assurer la protection des biens sensibles d’une entreprise sur un périmètre défini. Virtualisation Certes, la virtualisation permet de réduire les coûts en masquant la nature physique des ressources aux systèmes qui les consomment. Elle améliore aussi la disponibilité des systèmes et l’évolution vers une infrastructure dynamique qui alloue en temps réel les ressources matérielles nécessaires à l’exécution des applications. Toutefois, la virtualisation comporte aussi des risques comme la simple erreur humaine, la malveillance ou encore le manque d’étanchéité entre les machines virtuelles. Ainsi, l’entreprise qui choisit un prestataire de service Cloud doit s’assurer que ce dernier respecte certaines règles dont l’analyse des risques pour chaque application et chaque service concerné, et prendre en compte l‘interdépendance avec l’infrastructure existante. Il lui faut aussi mesurer l’impact d’un dysfonctionnement ou de l’arrêt du serveur hôte. Il doit par ailleurs mettre en place un contrôle des accès et une gestion des droits afin de diminuer au maximum ces risques. Des outils permettant une automatisation et une orchestration des environnements physiques et virtuels sont devenus indispensables pour limiter les risques. Cloisonnement des clients et séparation des espaces clients A la demande de certaines entreprises, très exigeantes en termes de sécurisation des données, certains fournisseurs de Cloud Computing n’hésitent pas à proposer des zones de cloisonnement privées. Ce sont le plus souvent des espaces grillagés privatifs qui renferment les serveurs, les baies, les commutateurs et même des systèmes d’alimentations et de refroidissements personnalisés, et qui comprennent également un contrôle d’accès additionnel. Dans cette zone protégée, les entreprises bénéficient non seulement de configurations sur mesure mais aussi de possibilité d’extension de la surface d’hébergement à mesure que les besoins de cellesci augmentent ou évoluent. D’autre part, dans certains datacenters, des mesures assurant la séparation des espaces clients telles que l’anti-spoofing de l’adresse IP, la segmentation et 5
  • 6. CLOUD COMPUTING LA SÉCURISATION DES DONNÉES l’isolation des domaines de broadcast, l’anti-flooding des adresses MAC, garantissent aussi l’imperméabilité de votre environnement IT vis-à-vis de celui des autres clients. Détection des attaques en temps réel Bien sûr, à l’instar du système d’information d’une entreprise, les infrastructures dans les datacenters sont potentiellement soumises aux menaces externes (virus, malware, intrusion, déni de service par saturation, etc). Il faut dire qu’avec le développement des offres Cloud, les centres de calcul deviennent des pièces maîtresses et suscitent l’intérêt des cybercriminels. Pour faire face à ces attaques, une multitude d’outils sont déployés pour garantir la sécurisation des données, qui vont des firewalls aux systèmes de détection d’intrusion logicielle en passant par des solutions d’automatisation et de surveillance du réseau. Chiffrement L’un des aspects de la protection des données est bien sûr la confidentialité des données et surtout la protection de la vie privée. Pour renforcer ces deux critères, les entreprises se tournent naturellement vers des prestataires capables de proposer des solutions de chiffrement de données. Mais, le chiffrement seul ne suffit plus. En effet, une communication chiffrée ne permet pas, par exemple, de masquer l’identité des parties qui communiquent. L’idée est donc d’enrichir l’architecture de sécurité par l’ajout de redondances intelligentes en utilisant des codes correcteurs linéaires (code de Reed-Muller). Pour résumer, dans un contexte Cloud, il faut repenser la gestion de l’identité en utilisant des outils de cryptographie basés sur l’identité. Cyber-défense : se prémunir des menaces persistantes avancées Très médiatisés depuis deux ans, des groupes organisés mènent des attaques de grande ampleur sur le système d’information des entreprises dont l’objectif final est bien souvent financier : vendre des informations stratégiques ou des secrets professionnels à des tiers. La particularité de ces groupes est qu’ils attaquent de manière ciblée une entreprise ou une organisation le plus discrètement possible contrairement aux menaces classiques (virus, dénis de service, phishing...) dont la cible est très large. Ces attaques ont été baptisées par les spécialistes « menaces persistantes avancées » ou APT («Advanced Persistent Threat «) en anglais. Persistantes, car le pirate va essayer de manière répétée d›atteindre son objectif, et avancées car il exploite des vulnérabilités et des technologies sophistiquées. 6 Pour contrer ce type de menaces, les fournisseurs de services Cloud n’hésitent plus à adopter des outils et des compétences pointues (le plus souvent une plateforme de surveillance de la sécurité supervisée par une équipe d’experts) qui agissent comme une cellule de veille. Cette plateforme permet donc de centraliser des informations provenant d’une multitude d’équipements, qui contribuent à une base de réputation et à la mise à jour des règles de sécurité. Cette plateforme devient donc l’élément proactif (à travers une action de centralisation des alertes) capable de réagir et d’arrêter des attaques en cours de réalisation (détection et arrête des attaques signaux forts, détection et arrêt des attaques signaux faibles et détection et arrêt des comportements anormaux et des atypies).
  • 7. CLOUD COMPUTING LA SÉCURISATION DES DONNÉES Les services d’exploitation Pour les entreprises utilisatrices, la sécurité des données doit aussi tenir compte d’un certain nombre de services d’exploitations (PRA, duplication, administration, extension de ressources, etc.) que proposent les fournisseurs de services Cloud. Voici les principaux : Plan de reprise d’activité Parmi les multiples services d’exploitation, le PRA (Plan de reprise d’activité) offre une véritable garantie supplémentaire en termes de sécurité. En effet, pouvoir relancer rapidement le fonctionnement du système en cas de sinistre majeur sur l’infrastructure principale est essentiel pour une entreprise. Pour garantir ce PRA, les fournisseurs de services Cloud disposent de plusieurs datacenters interconnectés qui leur permettent de basculer rapidement l’infrastructure de leur client depuis un site distant en cas de crash. Déduplication des données La déduplication reste essentiellement exploitée lors des opérations de sauvegarde. C’est une fonction majeure dans la sécurisation des données car elle permet de sauvegarder les données de manière optimale, c’est-à-dire d’éliminer les doublons dans un système de fichiers. Et plus l’analyse est granulaire, plus les chances de détecter et d’éliminer les informations en double sont élevées. Point important : en cas de rupture de contrat avec le prestataire, les clients devront aussi se poser la question de l’effacement des données stockées sur les serveurs Cloud. Administration des ressources Pour l’entreprise cliente, il est primordial de garder le contrôle et donc la maîtrise du cycle de vie de ses applications et de ses données. Il ne faut pas oublier que ce sont les applications qui pilotent, via des outils d’orchestration et d’automatisation, les ressources comme les systèmes virtuels, le stockage et la mémoire, pas l’inverse. Ainsi, un certain nombre de fournisseurs de services Cloud mettent à la disposition de leurs clients des outils permettant de superviser les ressources en temps réel, de paramétrer les alertes, de suivre leur consommation de bande passante, de visualiser l’activité des machines virtuelles et des capacités de stockage et de faciliter la supervision du trafic. Agilité dans la mutualisation des ressources Dans l’utilisation d’un Cloud, l’entreprise doit pouvoir bénéficier, en cas de montée en charge, de ressources technologiques supplémentaires puis de les libérer une fois la charge ramenée à la normale. En accordant des ressources de cette manière, les fournisseurs diminuent d’environ 50 % la durée et la planification des processus et des tâches. Aujourd’hui, cette agilité doit se faire par un portail libre-service. Le client peut ainsi configurer, gérer et ajuster automatiquement ses propres ressources en fonction de ses besoins. 7
  • 8. CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 4// La réversibilité des données P our l’entreprise, cela va de soi qu’elle doit pouvoir récupérer ses données et ses applications en toute simplicité en cas de rupture de contrat avec son fournisseur. Quant aux formats de données récupérées, ils doivent être lisibles et exploitables chez un autre fournisseur ou directement en interne dans le système d’information de l’entreprise. Pour cela, deux points importants sont listés lors de l’établissement du contrat ; d’une part, la prévision de la clause de réversibilité et d’autre part, cette clause doit être, de préférence, accompagnée d’un plan de réversibilité détaillé dans l’une des annexes du contrat. Ces contrats Cloud sont importants pour les futurs clients. Ils permettent surtout d’étudier le degré de maturité de l’offre, des problématiques analysées par les prestataires et des réponses apportées. Car, dans les faits, les garanties de la réversibilité ne sont pas toujours très claires. La question de l’interopérabilité des solutions techniques… A leur décharge, les fournisseurs de services Cloud relèvent, à juste titre, le manque d’interopérabilité des solutions techniques. Par exemple, bouger des machines virtuelles en exploitation d’un hyperviseur à un autre reste une tâche compliquée voire impossible dans certains cas, même si des outils agnostiques permettent d’échanger entre les principaux hyperviseurs du marché. Toutefois, au niveau de l’IaaS (Infrastructure as a service), les fournisseurs adoptent de plus en plus de solutions basées sur des standards ouverts comme OpenStack, par exemple, qui se veut une alternative aux IaaS propriétaires. La technologie OpenStack, en s’adaptant aux standards, donne aux entreprises clientes les moyens de déplacer des charges de travail d’un prestataire de services Cloud à un autre sans être verrouillées. …surtout au niveau du Saas et du Paas Ce manque d’interopérabilité est surtout visible pour les environnements Saas (Software as a service) et Paas (Platform as a service). En effet, les services Paas sont basés essentiellement sur des frameworks spécifiques propres à chaque fournisseur. Quant aux Saas, les formats de fichiers sont le plus souvent prioritaires. De plus, de nombreuses applications Saas ne disposent pas d’API, c’est d’ailleurs souvent des applications spécifiques que l’on retrouve dans les petites et moyennes entreprises qui répondent, il est vrai, à leurs besoins. Dans ce cas, on est bloqué. On le voit, ce manque de standardisation pénalise indirectement la transférabilité des données d’une plateforme à une autre. Et donc, les surcoûts engendrés par cette ré-exploitation des données en interne ou sur une autre plateforme peuvent être conséquents. Les choses avancent néanmoins au niveau des interfaces pour la gestion des identités. En effet, l’industrie s’oriente, de plus en plus, vers l’adoption de protocoles d’identification et d’authentification (SAML v2, OpenID/oAuth). 8