Le nouvel Economiste n°1507

“C’est une évolution inéluctable”, souligne Laurent Guiraud, directeur de projet Google Enterprise. Le cloud computing s’inscrit dans la tendance générale des entreprises à l’externalisation de leurs ressources.
L’informatique devient enfin simple à gérer. Aux prestataires du cloud de s’en occuper. Aux entreprises de se consacrer à leur cœur de métier. Et aux”DSI” de revisiter leur politique de sécurisation de données.

Par Valérie Auribault

Pas de révolution, juste une évolution logique de l’informatique. C’est ainsi que Georges Epinette, DSI du groupe Les Mousquetaires et trésorier du Cigref, appréhende le cloud computing, littéralement “l’informatique dans les nuages”. “Il faut distinguer ce qui est une mode de ce qui ne l’est pas, précise-t-il. Le cloud est un changement de fond. C’est inéluctable.” Tous – DSI, prestataires, spécialistes de la sécurité informatique – s’entendent pour dire que le cloud deviendra, dans les années à venir, un concept commun au même titre que l’utilisation d’Internet et de la messagerie aujourd’hui. Il consiste à externaliser les ressources numériques des entreprises telles que les logiciels de messagerie électronique, de gestion, de comptabilité... vers des prestataires qui vont alors gérer ces données. Les entreprises louent des applications à un fournisseur plutôt que de les acheter. Les salariés peuvent accéder aux données de l’entreprise par connexions Internet puisque l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde sont liées par le réseau. Au sein du concept de cloud computing, deux services se distinguent : la virtualisation qui permet de mutualiser sur un serveur identique des logiciels opérant sur plusieurs machines différentes, et le SAAS, Software as a Service, lorsqu’un éditeur de logiciels loue ses produits au lieu de les vendre. Une économie considérable en temps de crise. “Le concept est pertinent, explique Dominique Morvan, directeur général d’Internet.fr. Autrefois, une entreprise avait besoin de 10 ou 20 serveurs. Désormais 4 ou 5 suffisent.” L’époque où les sociétés engrangeaient des serveurs et des logiciels utilisés à temps partiel n’existe plus. Désormais, elles ne déboursent que pour l’usage exact de leurs besoins. Un plus, notamment pour les PME qui ne pouvaient investir dans des serveurs trop coûteux, qui n’auraient d’ailleurs pas été amortis faute d’utilisation permanente. Le produit a fait place au service. Un choix pertinent selon Christophe Auberger, Ingénieur Système Senior chez Fortinet : “Les avantages sont nombreux : le concept de cloud computing n’est qu’un moyen, la finalité est une approche Saas (Software as a Service) qui apporte un nouveau modèle économique de consommation des applications à la carte.” Celles-ci sont consommées et payées à la demande (par utilisateur et par minute d’utilisation ou forfait mensuel) et non plus acquises par l’achat de licences ou d’équipements. “Ce concept ne présente aucune limite quant aux domaines auxquels il peut s’appliquer : application de gestion (ERP), applications métier, commerce en ligne, sécurité, surveillance... L’entreprise obtient ainsi un gain immédiat sur la réduction des coûts d’exploitation et de production, et surtout, l’assurance de ne payer que ce qu’elle consomme et donc d’avoir toujours une infrastructure dimensionnée au plus près de ses besoins, enfin de ne pas avoir de problématique d’amortissement”, décrit Christophe Auberger. Elle peut désormais se concentrer sur son cœur de métier.

La venue de géants
L’attrait du cloud a favorisé la venue de géants comme Google, IBM, Amazon ou même Microsoft, aspirant à proposer leurs services. Amazon affiche 94 millions de clients, IBM et son logiciel en ligne LotusLife est concurrencé par Google et ses services Google Apps qui revendique plus de 2 millions d’entreprises clientes dans le monde, 3 000 nouvelles entreprises adhérentes par jour, 6 millions d’utilisateurs pour Google Apps for Education et 40 000 entreprises pour Google Enterprises Security. “Le cloud est l’axe numéro un chez IBM”, assure Philippe Bournhonesque, directeur de la stratégie logiciel d’IBM France. “Le cloud permet des infrastructures dynamiques, souligne Philippe Roux, responsable marketing du programme DataCenter d’HP Solutions. Le système de paiement à l’usage plus ou moins important en fonction de l’utilisation ne peut que séduire les entreprises. C’est une nouvelle façon de consommer de l’informatique. Le choix des sociétés pour le cloud est principalement dû à la contraction des budgets en temps de crise notamment. Mais aussi au fait que le risque est externalisé. Les entreprises n’ont plus à investir pour installer une multitude de serveurs et de logiciels. Le fournisseur s’en charge. De plus, la virtualisation a considérablement évolué et répond pleinement aux besoins des clients.” Les entreprises confient désormais une partie de leur activité à un tiers et libèrent des ressources informatiques internes. Les PME semblent faire davantage appel à ces géants du Web que les grands comptes mieux équipés en interne.

Le DSI reste maître à bord
Reste à convaincre les DSI. “Certes, les directeurs des systèmes d’information perdent une partie de leur pouvoir, reconnaît Philippe Roux. Mais on ne réussit une externalisation que si l’on contrôle la relation client-fournisseur. Le DSI reste maître à bord. La stratégie informatique demeure interne.” De plus, l’externalisation ne peut être totale. “On touche au savoir-faire des entreprises, poursuit Philippe Roux. Des groupes comme Danone ou Carrefour peuvent choisir l’externalisation dans le but de stocker des fichiers car ce n’est pas leur métier. Mais le business principal de chaque entreprise se doit de rester interne.” Un juste équilibre à trouver donc, par un DSI qui doit de plus en plus faire preuve de subtilité. “Il doit maintenant avoir un rôle de conseil, estime Philippe Bournhonesque. Il doit restructurer sa propre infrastructure en interne. Il ne faut pas sous-estimer le rôle du DSI. Actuellement certains d’entre eux s’opposent au cloud. Dans l’ensemble, je m’attendais à plus de résistance en France. Mais d’une manière générale, les DSI ont su faire preuve d’ouverture. Ils n’ont pas le choix. Il faut évoluer.”

Le point noir actuel,
l’inquiétude sur la sécurité des données
Mais cette évolution annoncée avec fracas se fait encore dans la retenue. Selon les chiffres du cabinet Forrester de mai 2009, 46 % des entreprises interrogées sont intéressées par les services du cloud quand seules 5 % d’entre elles y ont recours. “Le cloud mettra dix ans à se généraliser. Cela ne peut pas se faire en trois ans”, explique Philippe Bournhonesque. Car des freins au changement existent. Ceux-ci portent princi- palement sur la sécurité. D’après une étude d’IBM auprès de ses clients, 74 % des entreprises résistent à l’appel du cloud pour des questions de sécurité. 63 % évoquent les problèmes de disponibilités du service. 63 % encore pointent du doigt la performance. L’externalisation doit-elle entraîner une refonte totale de la politique de sécurité de l’entreprise ? Y a-t-il un risque de perte de maîtrise des données internes ? “Le risque pour l’entreprise n’est pas de moins maîtriser ses données, celles-ci lui appartiennent toujours en propre, rappelle Christophe Auberger. En revanche, les problèmes fondamentaux sont la sécurisation de l’accès à la ressource et surtout la perte de la maîtrise de l’implantation des données ainsi que du cycle de vie des applications. En général lorsque l’on externalise, on achète un service, ce qui a certains avantages mais aussi quelques inconvénients. L’un d’eux est que l’entreprise qui choisit cette voie perd la capacité de choisir le type et les méthodes d’implantation des données ainsi que celle de choisir les infrastructures mises en œuvre, ce qui peut impacter les performances. De même en ce qui concerne le cycle de vie des applications : lorsqu’on utilise des SaaS, on ne maîtrise pas les versions utilisées, et on ne peut pas en imposer une plutôt qu’une autre. Cela peut avoir un impact aussi sur la sécurité : choix d’une version plus ou moins robuste, avec des patchs disponibles ou non, avec des vulnérabilités connues ou non...” Les spécialistes de la sécurité informatique mettent également en garde sur les données échangées vers et depuis des réseaux protégés qui circulent à travers des circuits de communication publics, qui créent autant d’occasions d’infection ou de vol de données. “La notion de confidentialité des données (financières, inventions, plans de prospection...) peut être mise à mal et cela peut devenir rédhibitoire dans certains cas. DG, DSI ou RSSI ne peuvent accepter que certaines données se trouvent stockées sur des infrastructures externalisées”, poursuit Christophe Auberger. Dans les banques, il est évidemment hors de question d’externaliser dans les domaines relatifs à la défense ou à la confidentialité. “La valeur de l’entreprise résidant essentiellement dans ses données, le risque de perte, de vol, de fuite, de compromission peut être jugé trop important : problèmes liés au surcoût induit par la protection des données elles-mêmes”, rappelle Christophe Auberger. Un avis partagé par Renaud Bidou, directeur technique de Deny All. “Nous parlons du cloud mais nous pourrions évoquer le “fog” (brouillard) au niveau de la sécurité. Les nouvelles technologies se mettent toujours rapidement en place. Beaucoup plus que la sécurité à laquelle les entreprises pensent après coup. Aujourd’hui, il n’existe aucun tampon ou certification justifiant une sécurité fiable et très peu de fournisseurs sont actuellement capables de fournir une sécurité appropriée. Il ne faut pas nier ces failles.” Selon les experts, le concept même de cloud serait en opposition avec les notions de données internes. “Celles-ci sont dans le nuage, qui par essence est sans localisation précise”, souligne Christophe Auberger.

Une question de confiance
entre le client et le fournisseur
“Il faut convaincre l’opérateur d’adhérer à la demande de l’entreprise cliente. Les systèmes de sécurité doivent être vérifiés régulièrement, les technologies applicatives (webservice) doivent être protégées par un firewall-XML fiable et correctement paramètré”, insiste Renaud Bidou. De leur côté, lesdits opérateurs répondent que “la sécurité physique des centres de traitement de données est un point essentiel, comme le souligne Eran Feigenbaum, directeur de la sécurité pour Google Apps. Par exemple, chez Google, les données des clients sont répliquées dans plusieurs centres de traitement de données. En cas de panne de l’un de ces centres, l’infrastructure garantit que les données restent protégées et accessibles. Certes, aucun système n’est infaillible. Tout système est affecté à un moment ou un autre par un problème de sécurité. La vraie question est : quels sont les moyens – personnes, processus et technologies – mis en place pour réduire les effets de ces incidents et quel est le temps requis pour résoudre un problème ?”. “La confiance, c’est notre marque de confiance, renchérit Laurent Guiraud. Google protège vos données comme une banque. C’est dans notre ADN. Nous travaillons actuellement à l’obtention d’une certification et faisons en sorte qu’il n’y ait pas de vulnérabilité.” Hugues Gendre, utilisateur de Google Apps, se rappelle : “La sécurité, nous y avons pensé tout de suite, dès que nous avons décidé l’externalisation en 2005. Dès lors, nous nous sommes tournés vers Google que nous jugeons imbattable sur le marché. En terme de sécurité, ils ont immédiatement répondu à nos attentes. C’est une question de confiance entre le client et le fournisseur. Elle existe ou pas.” Même son de cloche chez IBM où Philippe Bournhonesque estime que “le cloud est davantage un business-model qu’une nouvelle technologie ; la sécurité va toujours de soi et est toujours incluse dans les contrats proposés aux clients. Nous pouvons toujours améliorer l’existant mais l’essentiel est là”. Pourtant, un sentiment d’appréhension demeure. Sentiment “qui peut être dépassé, estime Thierry Mennesson du cabinet de conseil en stratégie Accenture. Cela dépend de la capacité du fournisseur à prouver sa fiabilité. Cela implique de prendre en compte cet élément dans la politique de l’entreprise, un suivi sécurité qui tienne la route”. “Le cloud nécessite de revoir sa sécurité interne. Pas de fond en comble, certes. Mais il est utile de la revisiter”, confirme Georges Epinette. Pour les experts, il convient de sécuriser les accès aux données en authentifiant les utilisateurs, en chiffrant les flux en transit de et vers le nuage afin de se prémunir des interceptions de données ou de l’usurpation d’identité. “Ensuite, sécuriser les données elles-mêmes, explique Christophe Auberger. Dans le but de se prémunir de l’exploitation des informations prises à la source : un vol de données stockées dans le nuage est sans impact puisque les données sont inexploitables.” Une mise en œuvre néanmoins complexe.

L’ “externalisation interne”
Pour autant, le cloud computing n’implique pas systématiquement une externalisation. Il peut être privé et interne. “Dans ce cas précis, la sécurisation est assez simple”, explique Christophe Auberger. Il peut également être privé et externe. Un concept proche de l’hébergement. Le cloud peut être public (les logiciels SalesForce ou encore les offres pare-feux des MSSP – fournisseurs de services managés de sécurité). “Il est certain que d’ici 2011 et au-delà, les entreprises devraient porter un intérêt de plus en plus soutenu à ces services puisque, selon le type de cloud computing envisagé (privé Internet, privé externe ou public), elles devraient être entre 33 et 50 % à y recourir, estime Christophe Auberger. La tendance semble néanmoins en faveur des clouds privés internes, même si les entreprises ne se limitent pas obligatoirement à ces services et devraient sans aucun doute combiner les solutions entre elles. Mettre en place la sécurité nécessaire et répondre pleinement aux exigences des entreprises “va peut-être freiner le développement vers le cloud, estime Renaud Bidou. Mais le concept ne peut qu’exploser car le cloud computing est incontestablement une solution formidable”. Une analyse sur laquelle bon nombre semblent unanimes : “La virtualité est une évolution, conclut Dominique Morvan. Le concept va se stabiliser afin d’être digéré. Il va connaître des paliers car le phénomène est assez récent, notamment en France.”