13 avril 2011

Cloud computing : risques et périls!

Mardi 12 avril 2011, j’ai fait une présentation intitulée "Cloud computing : risques et périls"  à la conférence sur la Protection des données et Cloud computing du Clusis.

J’ai commencé ma présentation par donner ma définition du Cloud computing et présenter la pyramide du Cloud. Durant cette introduction, j’ai présenté un nouveau concept qui commence à se répandre dans monde du Cloud. Il s’agit de la notion de "community Cloud". Ce dernier est une forme de coopérative appliquée aux systèmes d'information.

...

Après avoir parlé pendant de nombreuses années du cloud computing, j'ai migré ce site dans le cloud!

12 avril 2011

g-Cloud (government Cloud) vs. Cloud Computing

En matière de "Cloud Computing", gouvernements et entreprises ont des besoins similaires. Tous deux cherchent des solutions sécurisées, fiables (offrant de la haute disponibilité avec un SLA de 99,99…%) et économiquement intéressantes. Dans cet article je vais donc rappeler quelques principes de bases. Puis, je parlerai des différences entre les deux types de Cloud.

Le Cloud Computing, comme je l’ai écrit dans mon article sur "La pyramide du Cloud Computing", offre des services (IaaS, PaaS et SaaS) qui peuvent être hiérarchisés en trois catégories : "infrastructure", "platform" et "application".

Sur l’image ci-dessus et sur les images suivantes plus le bleu est foncé, plus le gouvernement / l’entreprise peut contrôler et garder la maîtrise sur ses données et inversement plus le bleu est clair et plus il est difficile de contrôler et de garder la maîtrise de son système d’information.

Ces trois catégories de services peuvent être déployées selon plusieurs modèles, comme je l’ai décrit dans mon article "Public et Private Cloud".
Les "Clouds" publics sont généralement exploités par des sociétés tierces comme Amazon, Google, Microsoft, GoGrid, etc. Ce sont des infrastructures mutualisées et partagées par un grand nombre d’utilisateurs. Cela permet de bénéficier d’économies d’échelles.
Les "Clouds" privés sont des solutions dédiées à un client. Ils sont hébergés soit au sein de l’entreprise / du gouvernement ou chez un prestataire de services (infrastructure dédiée). Cela permet de garder un plus grand contrôle sur les données.
Les "Clouds" hybrides combinent les deux types de "Cloud". Ce modèle permet de garantir la sécurité et la confidentialité des données tout en offrant la possibilité d’absorber une plus grande charge de manière temporaire.

 Un gouvernement / une entreprise n’aura pas le même contrôle sur ses données, en choisissant d’héberger sa solution (par exemple Oracle) en interne, sur un "Cloud" privé ou à l’autre extrême sur un "Cloud" public, en utilisant un service de type "Software as a Service". Il devra donc choisir sa solution de "Cloud Computing" en fonction de la criticité de son information.
Nous pouvons donc définir trois niveaux de criticité de l’information : publique, confidentielle et secrète. L’information publique peut être accessible par tout le monde. Cette information est rendue publique au travers de site web, d’application ou de web service. L’information classée secrète doit être accessible uniquement à des personnes clairement identifiées. Si cette information est divulguée au public ou arrive entre les mains d’un autre gouvernement, cela pourrait nuire à la sécurité nationale. Toutefois, certaines administrations comme l’U.S. Air Force [1], ont mandaté des spécialistes du "Cloud" pour étudier et développer des solutions capables de protéger les données sensibles d’un gouvernement. Entre ces deux extrêmes, nous retrouvons toute l’information que nous n’aimerions pas que d’autres personnes connaissent, comme par exemple notre dernière déclaration d’impôts.



g-Cloud vs. Cloud Computing

Nous venons de rappeler les concepts de base du "Cloud Computing". Ces concepts sont valables aussi bien pour les entreprises que pour les gouvernements. Plusieurs points  font la différence entre le "Cloud Computing" pour les entreprises et le "g-Cloud" pour les gouvernements.
Le premier point concerne la législation. Par exemple à Genève (Suisse) nous avons la LIPAD [2]. Cette loi, qui s’applique aux institutions publiques, n’interdit pas à ces dernières d’héberger des données publiques à l’étranger. Par contre, comme toutes les lois du même type (par exemple : la loi fédérale du 19 juin 1992 sur la protection des données (LPD) en Suisse, la loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 en France ou la loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (8/12/1992) en Belgique), elle vise à protéger les données à caractère personnel. Ces lois ne s’appliquent pas uniquement au "Cloud Computing", mais d’une façon plus générale à tous les traitements de données au sein d’une administration publique et/ou d’une entreprise (en fonction du pays). De plus, ces lois contiennent des restrictions quant à la transmission des données personnelles à des tiers, ce qui limite les possibilités d’utilisation du "Cloud Computing".
Mon second aspect en matière de législation couvre les lois applicables dans le pays de domiciliation des serveurs ou de domiciliation des entreprises qui commercialisent les services. Par exemple aux États-Unis, l’USA PATRIOT Act [3] donne au FBI le pouvoir de demander à n'importe quelle organisation de fournir toutes les pièces tangibles pour une enquête de lutte contre le terrorisme international ou les activités d'intelligence clandestines. Des lois de ce type, qui peuvent être décrétées de façon inattendue, ne permettent pas de garantir la sécurité et la confidentialité des données traitées sur des plateformes de "Cloud Computing" domiciliées en dehors du territoire du gouvernement.

Le deuxième point qui peut faire la différence entre le "g-Cloud" et le "Cloud Computing" est la confiance. Suivant la nature et l’importance du projet, avant de déployer un projet sur le "Cloud", il faut obtenir la confiance des utilisateurs. Pour un gouvernement, ce groupe d’utilisateurs varie fortement d’un projet à l’autre. Le groupe s’étend du fonctionnaire au citoyen sans oublier les élus. Par exemple, héberger sur le "Cloud" une application qui gère les stocks de sels pour déneiger les routes, nécessitera d’obtenir la confiance d’un petit groupe de fonctionnaires. A l’autre extrême, héberger une application de vote par internet ou une application pour déclarer ses revenus ainsi que sa fortune en ligne nécessitera de gagner la confiance des élus et des citoyens.
Pour gagner cette confiance la sécurité doit être au maximum et il faut pouvoir facilement auditer la solution. En matière de sécurité, il existe des normes (par exemple : ISO 27000), des lois (par exemple : aux États-Unis FISMA (http://csrc.nist.gov/groups/SMA/fisma/ , loi américaine spécifique à la gestion de la sécurité des systèmes d’information dans les administrations) et des recommandations issues des bonnes pratiques de l’industrie. Valider la bonne mise en œuvre de ces normes, lois et recommandations n’est pas forcément facile, voir impossible pour une administration. Il faut donc faire confiance à un tiers qui effectuera un audit en suivant une norme comme SAS 70 (norme américaine en termes d’audit). Chaque pays, chaque entreprise doit donc définir ses normes de sécurité et les standards de validation de ces derniers.

Le dernier point qui peut faire la différence entre le "g-Cloud" et le "Cloud Computing" pour les entreprises est la dépendance. En choisissant d’héberger un projet ou de consommer un service sur le "Cloud" un gouvernement ou une entreprise devient ainsi dépendant. Cette dépendance porte sur les aspects technologiques et logiciels, ainsi que sur les aspects réseau internet.
Pour les aspects technologiques et logiciels, l’Open Cloud Manifesto a été créé au printemps 2009 [4], mais aucun des "pionniers" et acteurs majeurs du Cloud comme Amazon, Google, Microsoft Azure ou Salesforce n’ont signé ce manifeste. Pour remédier à ce manque de standards, l’IEEE (Institute of Electrical and Electronics Engineers) a annoncé le 4 avril 2011 [5], qu’il allait créer un groupe de travail pour définir les standards en matière de Cloud computing.  Ce manque de standards ouverts peut poser des problèmes d’étique à certaines administrations qui sont demandeuses (voir contraintes) d’utiliser des solutions open-source.
Le réseau est également un élément critique en termes de dépendance pour un gouvernement. En effet, en fonction de la domiciliation des serveurs, le réseau traverse un certain nombre de pays. En fonction des relations diplomatiques, ainsi que de la base légale de ces pays traversés, l’accès aux serveurs du Cloud peut être bloqué.

En conclusion, je peux dire qu’un gouvernement peut comme n’importe quelle entreprise déployer des applications, des services ou consommer des services sur le Cloud. Comme toutes les autres entreprises, l’administration devra choisir la solution et le modèle de déploiement qui lui permettra de ne pas être dans l’illégalité. Elle devra respecter certaines normes et être auditable. Finalement, cette solution devra être acceptée par tous les acteurs du projet.
Certaines administrations utilisent déjà des services dans le Cloud. C’est le cas de l’Administration fédérale suisse avec son projet swisstopo [6]. Ce projet a permis de réduire le délai de mise en service d’un nouveau service cartographique. Migrer sur le Cloud offre à swisstopo une plus grande élasticité des infrastructures et par conséquent une meilleure qualité de service pour ses internautes.

[1] IBM, U.S. Air Force Selects IBM to Design and Demonstrate Mission-Oriented Cloud Architecture for Cyber Security, http://www-03.ibm.com/press/us/en/pressrelease/29326.wss, publié le 4/02/2010, consulté le 18/11/2010
[2] GRAND CONSEIL de la République et canton de Genève, Loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD), http://www.ge.ch/legislation/rsg/f/rsg_a2_08.html, entrée en vigueur 1/01/2010, consulté le 20/11/2010
[3] Senate and House of Representatives of the United States of America, Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT Act) act of 2001, http://www.gpo.gov/fdsys/pkg/PLAW-107publ56/pdf/PLAW-107publ56.pdf, entrée en vigueur 26/10/2001, consulté le 11/11/2010.
[4] Open Cloud Manifesto, http://www.opencloudmanifesto.org/ , consulté le 11/04/2011
[5] IEEE LAUNCHES PIONEERING CLOUD COMPUTING INITIATIVE, IEEE, http://standards.ieee.org/news/2011/cloud.html, publié le 04/04/2011, consulté le 04/04/2011
[6] AWS Case Study: swisstopo, Amazon, http://aws.amazon.com/solutions/case-studies/swisstopo/, consulté le 15/11/2010