Gestion des données dans le cloud, posez-vous les bonnes questions
Dans cet article, nous tenterons d’en savoir plus sur le cloud, ses bénéfices, ses inconvénients et sur les bonnes pratiques à adopter afin d'en tirer profit pour la gestion des données.
Données et cloud, une introduction
Depuis plusieurs années déjà, le cloud computing s’est imposé comme une tendance importante et durable dans le paysage des technologies de l’information. Son développement ne semble pas ralentir, les analystes prévoyant une croissance soutenue pour la prochaine décennie au moins.
Le développement du cloud affecte aussi bien les particuliers que les entreprises. Avec des applications comme Netflix, Dropbox, Google Drive mais aussi Slack, Salesforce, Hubspot et bien d’autres, il est plus que jamais dans l’air du temps d’utiliser des applications déployées dans le cloud et d’y stocker ses propres données.
Faut-il pour autant suivre la tendance ? On vous a sans doute déjà vanté les mérites du cloud pour la gestion des données de votre entreprise : plus de flexibilité, des performances accrues, des coûts réduits… Mais dans les faits qu’en est-il vraiment ? Ne vaudrait-il pas mieux garder la main sur vos données en les stockant sur vos serveurs ? Et d’ailleurs, où se trouvent vos données une fois dans le « nuage » ?
Loin de la vision éthérée qu’on peut en avoir, le cloud correspond d’abord à une réalité matérielle et technologique qu’il faut prendre en considération avant d’envisager d’y mettre ses données.
Pour assurer la bonne gestion de ses données dans le cloud, il y a un certain nombre de questions qu’il est nécessaire de se poser ; celles-ci concernent aussi bien des aspects techniques qu’économiques et légaux. Pour commencer, il faut revenir à la définition même, le mot cloud étant trop souvent utilisé à tort et à travers.
Qu'est-ce que le cloud computing ?
Le cloud computing (aussi appelé parfois en France « informatique en nuage ») vise à fournir des ressources informatiques accessibles partout et à tout moment via un terminal (smartphone, tablette, ordinateur) connecté au réseau internet. Ces ressources peuvent être de natures diverses : serveurs, stockage, applications, services, etc. Ainsi, le cloud n’est pas une technologie à proprement parler mais plutôt un ensemble de technologies orientées vers un même but : fournir des ressources informatiques à la demande. Qu’il s’agisse d’Amazon Web Services, de Microsoft Azure ou de Google Cloud, les services de cloud partagent des caractéristiques communes qui permettent de les considérer comme tels.
Les caractéristiques essentielles du cloud
Libre-service à la demande
Un utilisateur peut accéder à des ressources informatiques (stockage, temps d’usage de serveurs) automatiquement. Ou, pour le dire autrement, les ressources sont accessibles sans délai et sans qu’il soit nécessaire d’interagir avec un opérateur humain. Ainsi, pour l’utilisateur du service la flexibilité est totale : il ne paye que ce qu’il consomme, et peut augmenter sa capacité à tout moment.
Accès global à travers le réseau
Grâce à des mécanismes standardisés, tels que les APIs, il est possible d’accéder aux ressources informatiques à partir de terminaux hétérogènes (smartphone, tablettes, ordinateurs de bureau ou ordinateurs portables), n’importe où et à n’importe quel moment.
Mutualisation des ressources
Le cloud computing repose sur un modèle de ressources mutualisées. Les ressources sont partagées entre plusieurs utilisateurs et sont allouées dynamiquement pour répondre à la demande de chacun. Des technologies de virtualisation permettent de regrouper les données de chaque utilisateur dans une machine virtuelle, une sorte de bulle étanche qui ne peut être accédée par les autres utilisateurs.
Élasticité
Le système s’ajuste automatiquement pour supporter des montées en charge importantes. La capacité du système paraît illimitée pour les utilisateurs qui peuvent accéder aux ressources demandées à n’importe quel moment.
Contrôle permanent
Les systèmes de cloud computing mesurent en permanence l’utilisation des ressources pour optimiser leur fonctionnement. Le fournisseur du cloud et l’utilisateur peuvent connaître à tout moment l’utilisation des ressources, ce qui assure un usage transparent du service.
Différents types de ressources peuvent être fournis par le cloud. Il peut s’agir, entre autres, de stockage de données, de capacité de calcul et d’applications. Les services de cloud peuvent être classés dans trois catégories différentes selon la nature des ressources informatiques fournies.
Les différents modèles de service
Infrastructure as a Service (IaaS)
Le fournisseur de service fournit uniquement les ressources informatiques de base : puissance de calcul, stockage, réseau… L’utilisateur doit installer le système d’exploitation et les applications qu’il souhaite utiliser, mais n’a pas à se préoccuper de l’infrastructure matérielle qui est complètement gérée par le fournisseur de cloud. Avec l’IaaS, il est possible de recréer un environnement réseau d’entreprise complet avec sous-réseaux isolés et firewalls.
Platform as a Service (PaaS)
Le fournisseur de service prend en charge la gestion de l’infrastructure informatique et des logiciels de base tel le système d’exploitation. En optant pour le PaaS, le client bénéficie d’un environnement prêt-à-l’emploi pour le déploiement d’applications.
Software as a Service (SaaS)
Le fournisseur de service donne accès à une application déployée sur une infrastructure de cloud. L’utilisateur n’a pas à se soucier des mécanismes sous-jacents qui rendent l’utilisation de l’application possible. L’application est prête à être utilisée et est accessible via un navigateur internet ou un programme dédié. C’est le cas par exemple d’applications telles que Google Drive, Salesforce ou bien Opendatasoft.
Les différents modèles de déploiement
Il est également possible de classer les services de cloud selon les types de publics qui peuvent accéder au service.
Cloud privé
L’infrastructure matérielle de cloud est dédiée à l’usage exclusif d’une organisation.
Cloud public
L’infrastructure de cloud peut être utilisée par tout un chacun. L’infrastructure peut être possédée et contrôlée par une entreprise commerciale, un organisme de recherche ou encore une organisation gouvernementale. Les clouds Amazon Web Services ou Microsoft Azure sont des clouds publics.
Cloud souverain
Il ne nous était pas possible de faire l’impasse sur le cloud souverain tant celui-ci a gagné en notoriété ces derniers temps. Il ne s’agit pas d’un modèle de déploiement mais plutôt d’une sous-catégorie du cloud public. Typiquement française, la notion de cloud souverain a été précisée par le Ministère de l’Intérieur et le Ministère de la Culture dans une note d’information signée en avril 2016 et publiée au Journal Officiel en juin 2016. Le cloud souverain y est défini comme un cloud qui « permet […] de garantir que l’ensemble des données sont stockées et traitées sur le territoire français ». Les prestataires de cloud souverain sont donc des entreprises de droit français.
Pour résumer : les solutions open data et Smart City proposées par Opendatasoft sont des solutions en SaaS déployées dans un cloud public (et parfois dans un cloud souverain selon les besoins de nos clients).
Où sont vos données une fois dans le cloud ?
Lorsque vous faites appel aux services d’un fournisseur de cloud, les ressources auxquelles vous accédez se trouvent dans un data center (ou « centre de données » en français). Ces installations regroupent au même endroit de nombreux équipements informatiques, notamment des serveurs. Elles sont reliées au réseau Internet grâce à des connexions à très haut débit.
Etant donnée la façon dont est conçu le cloud, il est impossible de savoir précisément sur quelle machine physique présente dans le data center se trouvent vos données. En revanche, dès que vous souscrivez aux services d’un fournisseur de cloud, vous êtes amené à choisir une « région ». Une région est composée d’un ou plusieurs data centers situés sur un territoire donné. Vos ressources seront alors instanciées sur le matériel hébergé dans les data centers de la région choisie.
Chaque région est indépendante et, sauf démarche volontaire de votre part, vos données ne sortiront pas de la région que vous avez choisie. Ainsi, vous gardez le contrôle sur la zone géographique de résidence de vos données. Par exemple, si vous utilisez le cloud Amazon Web Services et que vous choisissez la région « Europe (Francfort) », vous pouvez être sûr que vos données ne quitteront pas l’Allemagne.
Nous avons désormais une idée plus claire de ce qu’est le cloud. S’il est autant utilisé aujourd’hui c’est parce qu’il présente un certain nombre d’avantages par rapport aux serveurs et aux applications déployés et gérés en interne. Mais le cloud soulève également un certain nombre de questions relatives à la protection des données. Faut-il renoncer aux bénéfices du cloud pour garantir la sécurité et la confidentialité de ses données ?
Quels sont les avantages du cloud ?
Une utilisation simplifiée
Qu’il s’agisse de puissance de calcul, d’espace de stockage ou encore d’applications, le cloud vous donne accès aux ressources dont vous avez besoin sans même qu’il soit nécessaire que vous ayez connaissance des mécanismes qui rendent leur mise en œuvre possible.
Par exemple, dans le cas où vous utilisez une application en SaaS, peu vous importe le processeur du serveur sur lequel l’application tourne, ni même le système d’exploitation utilisé. Après vous être abonné, vous pouvez utiliser immédiatement l’application. Les questions matérielles et logicielles relèvent du fournisseur du service. Vous pouvez vous concentrer sur le cœur de votre activité sans avoir à gérer des problématiques relatives au déploiement d’un logiciel.
Des coûts moindres
D’une part, il n’est plus nécessaire de réaliser des investissements de départ importants en infrastructure et en logiciel. En effet, le cloud fonctionnant « as a Service » vous payez un abonnement qui vous donne accès aux ressources nécessaires. Plus besoin d’investir massivement dès le départ dans du matériel informatique, tels que des serveurs. Grâce au cloud, la dépréciation de votre matériel n’est plus un souci.
D’autre part, tout ce qui relève de la maintenance des infrastructures informatiques est externalisé et pris en charge par le fournisseur de cloud. Dans le cas du SaaS, vous n’aurez même pas à vous soucier de la mise à jour des logiciels que vous utilisez, celle-ci étant gérée par le fournisseur du service.
Une flexibilité accrue
Avec le cloud, vous payez seulement ce que vous utilisez. Imaginons que vous ayez besoin d’espace de stockage pour vos données. Vous pouvez investir dans un serveur géré en interne tout en sachant que les capacités du serveur ne seront probablement pas utilisées au maximum. Deuxième solution, vous pouvez choisir d’utiliser le cloud et de demander de l’espace de stockage pour vos données quand vous avez besoin. Bien entendu, la dernière solution sera pour vous la plus efficace et la moins onéreuse.
Par ailleurs, avec le cloud, il devient très facile de changer d’échelle. Imaginons cette fois que votre entreprise soit en forte croissance et ait besoin d’augmenter rapidement l’espace de stockage à sa disposition. Répondre à ce problème par l’installation de serveurs en interne, impliquerait un coût financier et un coût en temps important. Il faut non seulement prendre en compte le coût du matériel et le coût jour/homme pour l’installation mais aussi les délais d’appel d’offres, de négociation, de commande, d’installation… Avec le cloud vous pouvez augmenter pratiquement instantanément l’espace de stockage à votre disposition, et cela sans coûts fixes.
Sauvegarde et récupération des données
Les fournisseurs de cloud répliquent automatiquement vos données à plusieurs endroits différents ce qui assure qu’en cas de défaillance matérielle vos données pourront facilement être récupérées. Dans le cas où vous gérez vos données en interne, il vous faudra pallier vous-même aux éventuelles pannes matérielles.
Cloud vs. serveur interne : lequel est le plus sûr ?
La question de la sécurité est sans doute celle qui revient le plus souvent lorsqu’on évoque le cloud. Il est vrai que laisser à une tierce partie la charge de conserver vos données et d’organiser leur protection peut laisser dubitatif. Faut-il pour autant bannir l’usage du cloud pour la gestion des données de votre entreprise ? La réponse n’est pas aussi simple.
Pour les fournisseurs de cloud, la sécurité des données est tout d’abord essentielle pour conserver la confiance de leurs clients. Ainsi, de nombreuses mesures ont été mises en place pour garantir un haut niveau de sécurité des données dans le cloud. Côté sécurité, le cloud possède des arguments qui peuvent faire pencher la balance en sa faveur par rapport à des ressources informatiques gérées en interne.
D’une part, l’environnement physique des data centers dans lesquels se trouvent vos données est sous contrôle strict. Il est improbable qu’un individu malveillant ait accès au matériel informatique contenant vos données. Les data centers sont des installations hautement sécurisées dont l’accès est restreint au personnel autorisé. Sur place, des équipes de sécurité veillent en permanence et des caméras vidéo permettent de suivre les faits et gestes des personnes présentes. Des systèmes complexes de climatisation, d’alimentation et de protection contre les incendies assurent le fonctionnement continu des équipements informatiques même en cas d’aléas.
D’autre part, vos données sont aussi protégées contre les intrusions informatiques. Les fournisseurs de cloud emploient d’importantes équipes d’experts pour contrôler régulièrement la sécurité de leur plate-forme cloud. La plupart des fournisseurs possèdent des certifications, tels que la certification ISO 27001, qui témoignent du respect de normes de sécurité très strictes.
Si le département en charge de la sécurité du fournisseur de cloud considéré dépasse en taille et en compétences ce que vous pourriez atteindre au sein de votre entreprise, alors il peut être pertinent pour la sécurité de vos données d’opter pour le cloud.
En résumé, le cloud c’est :
- Un modèle flexible dans lequel vous ne payez que les ressources informatiques que vous consommez.
- Des data centers dont l’accès et le fonctionnement sont rigoureusement contrôlés.
- Le respect de normes de sécurité très strictes telles que les normes ISO/IEC 27001.
- Des équipes d’ingénieurs qui testent régulièrement la sécurité du système.
- L’assurance que vos données seront toujours disponibles même en cas de défaillance matérielle grâce à la redondance de l’information.
Au contraire, des serveurs gérés en interne correspondent souvent à :
- Un investissements conséquent aussi bien en termes de matériels, de logiciels que de main d’oeuvre.
- Une infrastructure dont l’environnement physique n’est pas suffisamment contrôlé.
- Des vulnérabilités logicielles car le système n’est pas suffisamment testé.
- Un poids supplémentaire pour le département informatique de votre entreprise.
Comment assurer la confidentialité de vos données ?
La protection des données personnelles dans l’Union européenne
La protection des données personnelles dans l’UE est régie par la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995.
Dans le cadre de cette législation, les données personnelles ne peuvent être récoltées que dans des conditions strictes et pour un usage légitime. Les personnes et les organisations qui collectent et gèrent ces données doivent les protéger contre les abus et doivent respecter les droits des propriétaires des données qui sont garantis par les lois européennes.
La législation européenne définit notamment deux principes fondamentaux de la protection des données personnelles : le privacy by design et le privacy by default.
- Privacy by design signifie que chaque organisation utilisant et gérant des données personnelles doit prendre en compte la protection des données et ce pendant tout le cycle de développement du produit.
- Privacy by default signifie que les paramètres de sécurité les plus stricts s’appliquent automatiquement quand un client acquiert un produit ou un service.
La question de la protection des données dans l’UE étant extrêmement complexe nous ne rentrerons pas ici dans les détails (pour de plus amples informations, vous pouvez vous rendre ici). Sachez seulement que c’est une problématique qu’il vous faut garder à l’esprit si vous gérez des données personnelles dans l’UE. Par ailleurs, cette réglementation s’applique bien entendu aux fournisseurs de cloud opérant dans l’UE et permet de garantir un haut niveau de protection des données personnelles qui leur sont confiées.
Transfert des données en dehors de l’Espace économique européen
Aussi, les lois européennes interdisent le transfert des données personnelles des citoyens en dehors de l’Espace économique européen, sauf si le pays de destination est considéré comme fournissant une protection adéquate des données en conformité avec la protection offerte par la législation européenne.
Safe Harbor
Pendant un temps, l’accord Safe Harbor passé entre l’Union européenne et les Etats-Unis permettait aux entreprises américaines d’auto-certifier qu’elles fournissaient une protection adéquate aux données de leurs utilisateurs européens. En adhérant aux Safe Harbor Privacy Principles, les entreprises américaines étaient alors autorisées à réaliser des transferts de données transatlantiques.
Cependant, le 6 octobre 2015, la Cour de Justice de l’Union européenne a invalidé l’accord Safe Harbor.
EU Model Clauses
Les entreprises américaines étaient alors tenues de s’en remettre à des clauses contractuelles standardisées les « EU Model Clauses », conclues entre elles et leurs clients, pour pouvoir transférer des données hors de l’Espace économique européen.
Privacy Shield
Le 12 juillet 2016, le Privacy Shield a été adopté par la Commission européenne. Il établit un nouveau cadre pour les transferts transatlantiques de données après des mois d’incertitude juridique consécutifs à l’invalidation du Safe Harbor.
Patriot Act, Freedom Act et Cloud Souverain: y voir plus clair
Une autre question reste en suspens, celle de l’accès à vos données par des organismes gouvernementaux, notamment aux Etats-Unis.
Le Patriot Act a été adopté comme une loi d’exception par les Etats-Unis après le 11 septembre 2001. Jusqu’en juin 2015, la section 215 du Patriot Act permettait à l’administration américaine d’accéder aux données informatiques des particuliers et des entreprises ayant un lien avec les Etats-Unis, avec l’autorisation d’un tribunal secret (FISA).
Cependant, certaines dispositions (autres que celles contenues dans la section 215) ont été prolongées à la suite de l’adoption par le Sénat du Freedom Act (mardi 2 juin 2015). Les autorités conservent ainsi la possibilité » de se faire fournir des métadonnées en temps réel, mais selon des « critères spécifiques » [« specific selection term »] liés au terrorisme, visant des individus, des comptes ou des terminaux uniques. » Source
Cela peut poser des problèmes de confidentialité pour une entreprise qui stocke ses données chez un hébergeur soumis au Freedom Act et ce, même s’il s’agit d’une filiale localisée dans un pays différent. Comment faire dans ce cas pour assurer la confidentialité des données dans le cloud ? En France, il est possible de stocker ses données sur un cloud souverain (par exemple via Outscale). Par définition, un cloud souverain stocke et traite les données sur le territoire français. Le prestataire de cloud souverain est une entreprise de droit français et n’est pas soumise au Freedom Act.
Dans cet article, explorez nos innombrables possibilités d’intégration conçues pour permettre à nos clients de concrétiser tous leurs projets de connectivité et d’industrialiser facilement la collecte et la centralisation de leurs données.