Le cloud computing ou « informatique en nuage » est une infrastructure dans laquelle la puissance de calcul et le stockage sont gérés par des serveurs distants auxquels les usagers se connectent via une liaison Internet sécurisée. L’ordinateur de bureau ou portable, le téléphone mobile, la tablette tactile et autres objets connectés deviennent des points d’accès pour exécuter des applications ou consulter des données qui sont hébergées sur les serveurs. Le cloud se caractérise également par sa souplesse qui permet aux fournisseurs d’adapter automatiquement la capacité de stockage et la puissance de calcul aux besoins des utilisateurs.

Pour le grand public, le cloud computing se matérialise notamment par les services de stockage et de partage de données numériques type Box, Dropbox, Microsoft OneDrive ou Apple iCloud sur lesquels les utilisateurs peuvent stocker des contenus personnels (photos, vidéos, musique, documents…) et y accéder n’importe où dans le monde depuis n’importe quel terminal connecté. Ce que propose le provider de cloud renvoie donc au stockage de données, traitement des données, à leur accès par le biais d’internet.

Le Cloud sert pour l’instant uniquement à de l’hébergement de données. Il permet d’avoir accès à distance à des services informatiques. La prestation de cloud renvoie notamment au fait de stocker des données qui sont sur un serveur et surtout qui sont détenus par une société.

• SaaS (software as a service): un « logiciel en tant que service » est une solution logicielle applicative hébergée et exploitée en dehors de l’organisation ou de l’entreprise par un tiers, et accessible à la demande via un accès Internet. L’utilisation de la solution est facturée sous forme d’un abonnement tout compris couvrant l’ensemble des services souscrits par le client. Les avantages d’une solution en SaaS sont la rapidité de mise en place, la disponibilité et l’infrastructure, il s’agit de technologies avancées. Cependant, les risques inhérents à cette solution sont nombreux : perte des données, portabilité des données, perte de savoir-faire ou encore fuite des données.

 

• PaaS (Platform as a service) : c’est un environnement de développement et de déploiement complet dans le cloud, avec les ressources nécessaires pour permettre de fournir n’importe quel service, de la simple application cloud aux applications d’entreprise sophistiquées. Il s’agit de faire l’acquisition des ressources dont vous avez besoin auprès d’un fournisseur de services cloud, avec un paiement à l’utilisation, et vous y accédez via une connexion Internet sécurisée. PaaS comprend l’infrastructure, à savoir les serveurs, le stockage et les composants réseau, mais aussi les intergiciels (middleware), les outils de développement, les services d’aide à la décision (BI, Business Intelligence), les systèmes de gestion de bases de données, etc. Le PaaS est conçu pour prendre en charge l’intégralité du cycle de vie de l’application web : conception, test, déploiement, gestion et mise à jour.

 

• IaaS (infrastructure as a service) : une « Infrastructure en tant que Service » est la base du cloud computing et cela veut dire que les entreprises peuvent se libérer des contraintes d’avoir des serveurs dans leurs entreprises et d’utiliser uniquement les ressources en serveur dont elles ont besoin.

 

• On-premises : les données, applications, soft sont installées « chez nous ». Dans le on-premise, nous sommes plus libres que dans le Cloud car nous ne sommes tributaires d’aucun outil. Une fois que le logiciel est installé, il n’y a plus de question à se poser.

Au delà des différentes solutions de Cloud proposées, il existe différents types de cloud : cloud privé, cloud public et cloud hybride.

• Le Cloud privé (IaaS et PaaS): Il s’agit d’un ensemble de services de calcul accessibles via Internet ou un réseau interne privé à un ensemble restreint d’utilisateurs sélectionnés plutôt qu’au grand public. Le cloud interne ou cloud d’entreprise présente les avantages d’un cloud public dont le libre-service, l’extensibilité et l’élasticité, auxquels s’ajoutent les possibilités de contrôle et de personnalisation que permettent des ressources dédiées sur une infrastructure de calcul hébergée localement. De plus, les cloud privés offrent un niveau de sécurité et de confidentialité supérieur résultant des pare-feu de l’entreprise et de l’hébergement interne, qui garantissent que les opérations et les données sensibles ne sont pas accessibles à des fournisseurs tiers. Un inconvénient est qu’il incombe au service informatique de l’entreprise de maîtriser les coûts et d’assurer la gestion du cloud privé. Ainsi, un cloud privé occasionne les mêmes dépenses en personnel, gestion et maintenance que la propriété d’un centre de données traditionnel.

 

• Le cloud public : il s’agit de l’ensemble des services de calcul offerts par des fournisseurs tiers sur l’Internet public, disponibles pour quiconque souhaite les utiliser ou les acheter. Ces services peuvent être gratuits ou vendus à la demande, de telle sorte que les clients ne doivent payer que pour les cycles de processeur, le stockage ou la bande passante qu’ils consomment. À la différence des clouds privés, les clouds publics permettent aux entreprises de réaliser des économies sur les coûts d’achat, de gestion et de maintenance d’une infrastructure matérielle et applicative locale, à charge pour le fournisseur de service cloud d’assurer la gestion et la maintenance du système. Dans le cas d’un Cloud public, les serveurs sont partagés entre les différents clients d’un fournisseur. Les serveurs sont toujours hors-site, puisqu’ils sont situés dans les Data Centers du fournisseur. Pour résumer, les serveurs sont gérés par un prestataire et le service cloud est accessible à tous les clients du prestataire.

 

• Le Cloud hybride: c’est un environnement Cloud constitué de ressources de Cloud privé sur site combinées avec des ressources de Cloud public tiers connectées entre elles par un système d’orchestration. D’après la définition du National Institute of Standards and Technology, le Cloud hybride est  « une infrastructure Cloud composée de deux infrastructures Cloud distinctes -ou plus- pouvant être privées ou publiques et qui restent des entités uniques, mais sont connectées par une technologie standard ou propriétaire permettant la portabilité des données et des applications ».

OVH est une entreprise française spécialisée dans les services de cloud computing.

Fondé en 1999 par Octave Klaba, le groupe propose des solutions de cloud public et privé, des serveurs dédiés, de l’hébergement mutualisé, du housing (ou colocation), de l’enregistrement de noms de domaines, de la fourniture d’accès Internet par lignes ADSL, VDSL, SDSL et fibre, ainsi que de la téléphonie sur IP.

La société affirme desservir plus d’un million de clients dans le monde en s’appuyant sur un réseau de 20 data centers répartis entre l’Europe, l’Amérique du Nord et l’Asie Pacifique.  

En Septembre 2019, OVH regroupe 1 300 000 clients. Il regroupe 300 000 serveurs. De fait, OVH se place comme un réel leader dans le domaine du cloud computing.

Il s’agit de bien identifier la sécurité, le niveau de contrôle qu’on peut avoir sur les données, d’un point de vue opérationnel sur le process de traitement des données. Le risque principal renvoie à la réglementation sur les données personnelles : il faut s’assurer de la localisation des datacenters, la qualité des échanges et l’accès aux données, notamment lorsqu’elles sont situées en dehors de l’Union Européenne.

Par exemple, la Commission Européenne met à disposition des clauses contractuelles types à insérer dans les différents contrats afin de s’assurer de l’intégrité des données traitées et d’assurer un niveau de protection en accord avec la réglementation européenne. Ainsi, pour contractualiser en mode SaaS, il faut s’assurer de la technologie et de la sécurité, tout cela ne renvoie donc pas à un travail de juriste mais plutôt à un travail mené de front avec les équipes techniques et juridiques. Ainsi, il est nécessaire d’insérer une clause relative au transfert de données personnelles dans les contrats de SaaS : cette clause permet le transfert des données dans l’Union Européenne ou dans un Etat qui offre un niveau de conformité suffisant. Ceci explique donc l’importance de connaitre l’identification du lieu du datacenter et des sous-traitant afin de veiller à l’obligation du respect de la mise en conformité avec la réglementation dans le pays en question.

Un risque important est la cyberattaque. En effet, un SaaS exige un niveau de sécurité important. L’ANSII recommande à ce sujet d’appliquer les normes ISO qui y sont relatives, mais aussi de prévoir un process de test régulier afin de détecter les anomalies ou potentielles menaces de manière à opérer une remontée rapide en cas d’incidence de sécurité.

Par ailleurs, la sécurité d’un contrat SaaS, encore plus que dans les autres solutions de Cloud, passe par des clauses importantes qui doivent figurer dans ce contrat. La clause d’audit est centrale, dans la mesure ou elle permet en outre, de s’assurer d’un niveau suffisant de sécurité.

Les problématiques sont liées à la sécurité des données stockées, il est donc nécessaire de fixer la responsabilité du provider en cas de fuite de données. Concernant les données personnelles, il est nécessaire de faire attention à leur confidentialité. Ainsi, il est nécessaire d’intégrer dans les contrats un SLA (Service Level Agreement), qui permet de fixer et de déterminer ce que l’on attend du service en question.

Il faut garantir un certain niveau de service, en s’engageant par exemple à rendre le Cloud accessible 24/24-7/7, en ajoutant qu’en cas d’anomalie, le provider s’engage à intervenir dans les 48h et à proposer des solutions de contournement, à résoudre les anomalies. Coté provider, il s’agit d’éviter de se voir imputer des manquements, d’ou la nécessité de bien fixer la question de sa responsabilité, afin de savoir ce qui est de son ressort ou non. Il est d’usage de limiter la responsabilité dans les contrats de SaaS : en général, la réparation des dommages directs est plafonnée au montant annuel du contrat.

Par ailleurs, autant le SLA n’est pas une obligation légale, autant les clauses concernant la conformité au RGPD le sont. Il s’agit d’un préalable au service, il ne s’agit en aucun cas d’un service en soi.

N’hésitez pas à aller faire un tour sur notre blog ou sur notre page Facebook pour découvrir l’intégralité de nos actualités ! Nous en sortons une par semaine !