Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cloud Computing : Comment éviter l’évaporation de ses données dans les nuages ?

février 2012 par Kurt Salmon

Le stockage et le partage de données en ligne, notamment par l’intermédiaire d’une solution « Cloud Computing » pour les particuliers et les entreprises, présentent d’indéniables avantages : accessibilité, facilité d’utilisation, synchronisation multi-formats, coûts, … La fermeture sans préavis du service par les autorités américaines du site Megaupload met néanmoins en évidence la fragilité de l’accès aux données, même légales. Des dispositifs techniques et juridiques permettent de se prémunir contre ce genre de désagrément, mais il convient d’être vigilant et ne pas mettre tous ses œufs dans… le même nuage.

La securité des données : un enjeu majeur pour les DSI

De nombreuses entreprises et particuliers utilisaient MegaUpload, au même titre que d’autres fournisseurs de solution de stockage dans le « Cloud » (OVH, Apple, Amazon, …), pour stocker et échanger des données légales. Ces solutions présentent de nombreux avantages comme la haute disponibilité, la protection contre les principaux risques (incendie, inondations, pertes de données …) et l’accessibilité. Même si ces solutions peuvent encore poser des questions sur la sécurité ou l’export de données sensibles, de plus en plus d’entreprises ont recours à ces services. L’accès aux données stockées et échangées est donc devenu en enjeu vital pour ces entreprises, comme le montre deux études du Gartner datant de 2011 et qui indiquent que la sécurité des données fait partie des préoccupations majeures des DSI et que les dépenses moyennes de sécurité des DSI représentent 5,6%, en augmentation régulière, du budget de la DSI, en particulier pour la sécurisation des données.

L’arrêt brutal, sans préavis, et très probablement définitif de MegaUpload prive ces entreprises et ces particuliers non seulement de l’accès à leurs données, mais également de leur récupération. Quand bien même l’action menée par l’Electronic Frontier Foundation (EFF), permettrait-elle la récupération, sinon totale au moins partielle des données, les délais de récupération, encore incertains aujourd’hui, ne sont pas compatibles avec les exigences de réactivité des entreprises. Or, inutile de se voiler la face, l’expérience montre que la fermeture soudaine d’un service en ligne n’est pas l’apanage des prestataires aux activités illégales (ex : faillite de Foreversafe). Par ailleurs, la rupture temporaire peut être aussi préjudiciable que la fermeture définitive (ex : panne sévère, arrêt non planifié, …).

Comment dès lors se prémunir de ces désagréments et profiter au maximum des avantages proposés par ces solutions ?

Pour Yannick Stachon, Manager au sein du département CIO Advisory du cabinet de conseil Kurt Salmon, « Le premier enjeu consiste à définir une stratégie claire et partagée de gestion des données, qui permettra d’identifier et de catégoriser les données externalisables ». Il s’agira notamment d’identifier les données sensibles (ex : données nominatives, confidentielles, …) dont l’export est soumis à des réglementations strictes (ex : CNIL) et les données indispensables à la poursuite des activités de l’entreprise afin de mettre en place le service adapté à la sensibilité de ces données et avec les niveaux de services adaptés.

Le deuxième enjeu consiste naturellement à bien identifier les conditions contractuelles proposées par les fournisseurs de solutions, et à les adapter le cas échéant. « Même si la transparence et la clarté des informations sont aussi dans l’intérêt des fournisseurs de solution, la relative faible maturité des contrats de services « Cloud Computing » fait que cet exercice n’est actuellement pas toujours évident pour nos clients », confie Philip Bessière, Senior Manager au sein du département CIO Advisory. Il ne faut alors pas hésiter à écarter les prestataires en question pour la gestion des données sensibles, malgré les promesses alléchantes qu’ils ne manqueront pas de fournir.

« Il ne faut pas oublier que l’application de pénalités financières, même fortes, ne remplacera pas le préjudice subi par l’inaccessibilité, voire la perte de données, mais doit rogner la marge du prestataire et ainsi l’inciter à respecter ses engagements », rappelle par ailleurs Yannick Stachon. L’effort de négociations contractuelles doit donc être plutôt porté sur les conditions de service, plutôt que sur des pénalités.

Enfin, des mesures techniques permettent également de réduire le risque de perte ou d’inaccessibilité des données. Dans le cas d’une solution « SaaS » (Software as a Service), manipulant des données indispensables à la continuité de l’activité de l’entreprise, il est recommandé de mettre en place des mesures de copie et de rapatriement régulier des données dans un environnement géré par le client. Ces mesures ont un coût (matériel, ressources, maintenance) qu’il faut prendre en compte dans le comparatif des différentes solutions envisageables.

En conclusion, comme pour beaucoup d’enjeux vitaux pour les entreprises, le risque zéro n’existe pas. Cependant des mesures juridiques et techniques permettent aux entreprises de bénéficier des avantages des solutions de stockage en ligne proposées par les prestataires de Cloud Computing. Elles seront d’autant plus efficaces qu’elles auront été intégrées dès la recherche du prestataire.




Voir les articles précédents

    

Voir les articles suivants