Dossier du CCTI L'informatique en nuage : une introduction - Malik Datardina, CA Yvon Audette, CGEIT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Dossier du CCTI
L’informatique en nuage :
une introduction
Malik Datardina, CA • Yvon Audette, CGEIT
PUBLIÉ À L’ORIGINE PAR L’UNE DES ORGANISATIONS UNIFIÉES AU SEIN DE CPA CANADAD ossier du CCTI L’informatique en nuage : une introduction Malik Datardina, CA • Yvon Audette, CGEIT Le présent document, initialement publié par l’Institut Canadien des Comptables Agréés en 2010, a été mis à jour par les Comptables professionnels agréés du Canada.
ii Dossier du CCTI L’informatique en nuage : une introduction
Auteur et directeur de projet
Malik Datardina, CA, CISA
Coauteur
Yvon Audette, CGEIT
Comité consultatif sur les technologies de l’information
Président
Ray Henrickson, CA•IT, CA•CISA, Scotiabank, Toronto
Membres
Chris Anderson CA(NZ), CISA, CMC, CISSP, PCI QSA, Grant Thornton, Toronto
Efrim Boritz, FCA, CA•TI/CISA, Ph.D., Université de Waterloo, Toronto
Nancy Y. Cheng, FCA, Bureau du vérificateur général du Canada, Ottawa
Malik Datardina, CA, CISA, Data Sync Consulting Inc., Mississauga
(conseiller du Comité)
Mario Durigon, CA, KPMG LLP, Toronto
Henry Grunberg, CA•TI, Ernst & Young LLP, Toronto
Andrew Kwong, CA, Deloitte & Touche LLP, Toronto
Carole Le Néal, CISA, CISSP, CIA, Mouvement des caisses Desjardins, Montréal
Richard Livesley, Bank of Montreal, Toronto
Robert G. Parker, FCA, CA•CISA, Deloitte & Touche LLP, Toronto
Robert J. Reimer, CA•TI, CA•CISA, CISM, PricewaterhouseCoopers LLP, Winnipeg
Permanent de l’ICCA
Bryan C. Walker, CA, Directeur, Orientation et soutien
Le Comité consultatif sur les technologies de l’information (CCTI) relève de la division
Développement des connaissances de l’ICCA. Il joue un rôle de soutien et de conseil
sur les questions de TI qui ont une incidence sur la profession de CA et sur le milieu
des affaires.
2010 L’Institut Canadien des Comptables Agréés
Tous droits réservés. Cette publication est protégée par des droits d’auteur et ne peut être
reproduite, stockée dans un système de recherche documentaire ou transmise de quelque
manière que ce soit (électroniquement, mécaniquement, par photocopie, enregistrement
ou toute autre méthode) sans autorisation écrite préalable.
Pour obtenir des renseignements concernant l’obtention de cette autorisation, veuillez
écrire à permissions@cica.ca.Dossier du CCTI L’informatique en nuage : une introduction 1
INTRODUCTION
L’informatique en nuage est rapidement passée du stade de concept à celui de phé-
nomène largement répandu. En 2008, Nick Carr a publié The Big Switch (Le grand
virage), l’une des premières tentatives d’exploration de l’impact de l’«informatique
à la demande», la capacité de payer des ressources informatiques au compteur. En
trois ans, ce phénomène est devenu monnaie courante, non seulement par l’intermé-
diaire des publicités imprimées et télévisées de Microsoft1, mais aussi lorsque Amazon a
hébergé (puis «déshébergé») Wikileaks dans le cadre de son offre de services en nuage,
Amazon Web Services.
Dans cette note d’information du CCTI, nous allons examiner quelques aspects clés de
l’informatique en nuage. Nous commencerons par la définition généralement accep-
tée de ce qu’est l’informatique en nuage, puis nous déterminerons quelle est sa pro-
position de valeur, nous étudierons les implications de ce concept en matière d’audit
et de contrôle, puis nous finirons par une liste de ressources complémentaires sur
l’informatique en nuage.
1 Exemple de telles publicités à cette adresse : http://www.youtube.com/watch?v=
-HRrbLA7rss&feature=relmfu (en anglais)2 Dossier du CCTI L’informatique en nuage : une introduction
Dossier du CCTI L’informatique en nuage : une introduction 3
QU’EST-CE QUE L’INFORMATIQUE
EN NUAGE?
Bien qu’il n’existe aucune définition officielle de l’informatique en nuage, celle du
National Institute of Standards and Technology (NIST) est plus ou moins devenue la
norme de facto. Comme nous allons le voir plus en détail ci-après, cette définition
traite des éléments suivants :
1. Les modèles de services en nuage,
2. Les caractéristiques de l’informatique en nuage, et
3. Les modèles de déploiement du nuage.
1. Modèles de services en nuage
Les modèles de services en nuage sont couramment qualifiés de «modèles SPI», car ils
reposent sur les services de base proposés par les fournisseurs de services en nuage,
à savoir SaaS (Software as-a-Service, ou logiciel-service), PaaS (Platform-as-a-Service,
ou plateforme-service) et IaaS (Infrastructure as-a-Service, ou infrastructure-service)2.
SaaS (logiciel-service)
Le NIST définit les fournisseurs de SaaS comme des entreprises permettant à leurs
clients d’accéder aux «applications du fournisseur qui s’exécutent sur une infrastruc-
ture en nuage». Ces services en nuage sont consommés directement par l’intermé-
diaire d’un navigateur. L’exemple le plus marquant de cette catégorie est Salesforce.
com. Cette entreprise est présente depuis plus de 10 ans dans le domaine des systèmes
de gestion des relations clients (CRM) à base de nuage. On peut citer également des
exemples tels que Google Apps3, Intuit4 et plusieurs autres. Pour d’autres exemples,
reportez-vous à la section intitulée «Valeur de l’informatique en nuage».
PaaS (plateforme-service)
Les fournisseurs de services en nuage de cette catégorie s’occupent de l’infrastruc-
ture sous-jacente, mais fournissent les outils nécessaires pour créer les applications5.
Selon le fournisseur de PaaS, les utilisateurs ont la possibilité de fournir les applications
directement à leurs clients via le Web ou uniquement aux employés de l’entreprise.
Google App Engine (qui permet le développement dans les langages de programma-
tion Python ou Java) et Microsoft Windows Azure (qui prend en charge l’infrastructure
de développement .NET) sont deux exemples de fournisseurs de PaaS.
2 Pour une liste plus complète, voir David S. Linthicum, Cloud Computing and SOA Convergence in
your Enterprise (Boston : Addison-Wesley Professional, 2009).
3 www.google.com/apps/intl/fr/business/index.html
4 http://quickbooksonline.intuit.com (en anglais)
5 Pour plus d’information sur ces définitions, voir : http://www.csrc.nist.gov/groups/SNS/cloud-
computing/cloud-def-v15.doc (en anglais)4 Dossier du CCTI L’informatique en nuage : une introduction
Certains fournisseurs de PaaS assurent le développement pour une autre offre de SaaS
(logiciel-service). Par exemple, Bungee Labs a élaboré une application de gestion des
stocks qui s’intègre en toute transparence à l’application de gestion de la clientèle
(CRM) de Salesforce.com. Les entreprises SaaS elles-mêmes peuvent également pro-
poser des services PaaS. Par exemple, des entreprises telles que Salesforce et Intuit
mettent des services PaaS (force.com et Intuit Partner Platform, respectivement) à la
disposition des programmeurs pour leur permettre de créer des applications desti-
nées aux clients de leurs propres offres SaaS.
IaaS (infrastructure-service)
Selon la définition du NIST, les entreprises IaaS «assurent le traitement, le stockage,
les réseaux et toutes les ressources informatiques fondamentales qui permettent au
consommateur de déployer et d’exécuter un logiciel arbitraire, ce qui peut inclure des
systèmes d’exploitation et des applications6». Amazon Web Services (AWS) est de
loin le plus important fournisseur de services IaaS. Cette entreprise propose Ama-
zon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Vir-
tual Private Cloud (VPC), Amazon SimpleDB et d’autres offres de services en nuage.
Grâce au service EC2, les clients peuvent déployer des images AMI (Amazon Machine
Images), qui consistent en un «système d’exploitation et en logiciels d’application pré-
configurés utilisés pour créer une machine virtuelle7». Par le biais de ces instances
virtuelles, les entreprises peuvent héberger leur propre application interne, ainsi qu’un
site Web accessible au public en général. L’exemple le plus connu de ce type de site
Web est probablement Wikileaks, qui a été brièvement hébergé par Amazon en 2010.
Rackspace, GoGrid et Storm On Demand Cloud Hosting sont d’autres exemples de
fournisseurs de services IaaS.
D’autres acteurs du secteur IaaS sont des entreprises telles que Rightscale, qui offrent
des services de gestion de nuage. Rightscale propose «ServerTemplates8» qui peut
être déployé de façon transparente sur de nombreux fournisseurs de nuage (par
exemple AWS, Rackspace, etc.).
6 Pour plus d’information sur ces définitions, voir : http://csrc.nist.gov/groups/SNS/cloud-compu-
ting/cloud-def-v15.doc (en anglais)
7 Source : Amazon; voir : http://aws.amazon.com/amis (en anglais)
8 Pour en savoir plus sur les différences entre le service ServerTemplate de Rightscale et les
images machine (proposées par exemple par Amazon ou d’autres fournisseurs IaaS), voir : www.
rightscale.com/products/advantages/servertemplates-vs-machine-images.php (en anglais)Dossier du CCTI L’informatique en nuage : une introduction 5
2. Caractéristiques du nuage
En plus de définir des modèles de nuage spécifiques, le NIST a identifié les caractéris-
tiques clés d’un nuage :
• «Large accès au réseau» : comme l’indique le terme «nuage», le traitement s’ef-
fectue chez le fournisseur de services en nuage. L’utilisateur a donc la possibilité
d’accéder à l’application par l’intermédiaire d’un navigateur ou d’une autre «pla-
teforme client légère ou lourde» installée sur son bureau, son téléphone intelli-
gent, sa tablette ou tout autre appareil informatique.
• «Élasticité rapide» et «libre-service à la demande» : l’informatique en nuage a la
capacité de s’étendre et de se réduire à la demande. Si la demande de l’entreprise
en ressources informatiques augmente, le fournisseur de services en nuage peut
augmenter son approvisionnement en ressources de façon entièrement automati-
sée, sans aucune intervention manuelle de sa part.
• «Service mesuré» et tarification à l’utilisation : le NIST souligne que les services
doivent être délivrés de façon transparente pour l’utilisateur. Du point de vue de
la tarification, cela signifie que les services en nuage sont vendus en fonction
de l’utilisation plutôt que de nécessiter un investissement initial important en
termes de matériel, de logiciel ou de quantité de ressources informatiques. Les
nuages permettent au client de payer uniquement pour les ressources qu’il utilise,
tout comme pour les services publics; c’est ce qu’on appelle l’«informatique à la
demande». L’unité de mesure de l’utilisation varie d’un fournisseur à l’autre. Par
exemple, les services AWS sont vendus à l’heure, alors que la tarification de
Google Apps est basée sur le nombre d’utilisateurs.
• «Mise en commun des ressources» : les vendeurs de services informatiques
peuvent desservir plusieurs clients avec des ressources informatiques mises en
commun qui utilisent «un modèle de service partagé dans lequel différentes res-
sources physiques et virtuelles sont affectées et réaffectées dynamiquement en
fonction de la demande du client». Une des conséquences de ce modèle est que
l’emplacement physique exact des ressources informatiques peut ne pas être
connu, mais peut se trouver à un niveau d’abstraction plus élevé (par exemple
un pays, un état ou un centre de traitement)».6 Dossier du CCTI L’informatique en nuage : une introduction
3. Modèles de déploiement du nuage
Les modèles de déploiement du nuage identifiés par le NIST sont différenciés en fonc-
tion du niveau de contrôle et de propriété qu’un client ou groupe de clients a sur
l’infrastructure sous-jacente du nuage, ainsi que de l’endroit où le nuage est hébergé.
Le modèle implique également le niveau de panachage des données, c’est-à-dire que
plusieurs clients se partagent les ressources informatiques mises en commun. Ces
modèles sont les suivants :
• Nuage public : l’infrastructure du nuage est hébergée par un fournisseur externe,
comme Salesforce (SaaS), Microsoft Azure (PaaS) ou Amazon Web Services
(IaaS). Les technologies sous-jacentes sont contrôlées par le fournisseur et les
données du client sont panachées avec les données d’autres clients qui achètent
également des services à ce fournisseur.
• Nuage privé : aucun panachage des données n’a lieu dans ce modèle car l’infras-
tructure du nuage est soit hébergée à l’interne, soit hébergée auprès d’un four-
nisseur externe qui gère le nuage exclusivement pour ce client.
• Nuage communautaire : l’infrastructure du nuage est contrôlée par plusieurs
clients qui se rassemblent pour former un nuage répondant à leurs besoins spé-
cifiques, en particulier d’un point de vue de contrôle, de sécurité et de confor-
mité. Par exemple, l’Hôpital Mont-Sinaï et 14 autres hôpitaux locaux de Toronto
travaillent à la mise sur pied d’un nuage communautaire pour accéder à une appli-
cation d’échographie fœtale et stocker les données de patients9.
• Nuage hybride : le NIST définit ce modèle comme une infrastructure de nuage
formée de «deux ou plusieurs nuages (privés, communautaires ou publics) qui
demeurent des entités uniques mais sont reliés par une technologie standardi-
sée ou propriétaire permettant la portabilité des données et des applications».
Les nuages privés sont-ils vraiment des nuages et sont-ils
intrinsèquement plus sûrs?
Le modèle de nuage privé était à l’origine celui qui soulevait le plus la controverse.
Contrairement aux nuages publics, ce modèle ne possède pas l’avantage de coût inhé-
rent à l’utilisation des ressources à la demande. Par ailleurs, l’infrastructure matérielle
et logicielle sous-jacente doit être achetée à l’avance. Pourtant, son principal avan-
tage par rapport au modèle de nuage public est qu’il demeure sous le contrôle exclu-
sif du client. Bien que cela ne protège pas l’environnement informatique contre les
risques de sécurité traditionnels tels que logiciels malveillants, piratage et autres, cela
garantit que les données sont physiquement séparées des autres entités. Cet avan-
tage est important, car une enquête menée sous l’égide de Novell a montré que 91 %
des répondants étaient préoccupés par les problèmes de sécurité associés au nuage
public, et que 50 % identifiaient la sécurité comme le principal obstacle à leur adoption
du nuage.
9 Laura Smith, «A health care community cloud takes shape», http://searchcio.
techtarget.com/news/2240026119/A-health-care-community-cloud-takes-shape (21 décembre 2010).Dossier du CCTI L’informatique en nuage : une introduction 7
Un autre point de vue est que les nuages privés constituent le début d’une démarche
qui peut mener à l’utilisation de nuages publics. La même enquête de Novell a montré
que 89 % des personnes interrogées considéraient les nuages privés comme «la pro-
chaine étape logique pour les organisations qui recouraient déjà à la virtualisation10».
Jim Ebzery, un dirigeant de Novell, a souligné que les entreprises commençaient par
un nuage privé dans le but de passer aux nuages publics. Ce point de vue est éga-
lement partagé par Thomas Bittman, analyste chez Gartner, qui voit le nuage privé
comme un «marchepied» possible vers le nuage public11.
Cela dit, les nuages privés ne sont pas automatiquement plus sûrs que les nuages
publics. Comme le souligne George Reese12,
…la clé du déploiement sécurisé d’une infrastructure en nuage public est la trans-
parence. Il ne faut pas confondre cet objectif avec l’impression trompeuse que la
transparence est synonyme de sécurité. La transparence est un élément néces-
saire pour évaluer les risques inhérents à toute infrastructure. Cela peut égale-
ment vous aider à établir des contrôles de compensation pour répondre à des
situations insatisfaisantes sur l’infrastructure cible… Cependant, la transparence
ne rend pas comme par magie n’importe quel environnement plus sûr13.
Pour viser une solution plus sûre que le nuage public, les entreprises doivent s’entourer
des talents nécessaires pour sécuriser l’infrastructure de nuage sous-jacente. Reese
souligne également que «les services TI des entreprises peu techniques sont en géné-
ral moins compétents en tant que groupe en matière de sécurité des TI que leurs équi-
valents sur un nuage public». Ainsi, les nuages privés ne sont pas intrinsèquement plus
sûrs, mais ils garantissent un contrôle direct de l’infrastructure de nuage sous-jacente
à l’entreprise qui déploie le nuage.
10 «Novell survey reveals widespread enterprise adoption of private clouds»,
www.informationweek.in/Cloud_Computing/10-10-05/Novell_survey_reveals_
widespread_enterprise_adoption_of_private_clouds.aspx (5 octobre 2010).
11 http://blogs.gartner.com/thomas_bittman/2009/10/22/talk-of-clouds-and-
virtualization-in-orlando/
12 George Reese, Cloud Application Architectures: Building Applications and Infrastructure in the
Cloud (Sebastopol : O’Reilly, 3 avril 2009), inclus dans la liste des lectures complémentaires ci-après.
13 George Reese, «The Delusion of Private Cloud Security», http://broadcast.oreilly.com/2010/08/
the-delusion-of-private-cloud-security.html (7 août 2010).8 Dossier du CCTI L’informatique en nuage : une introduction
Dossier du CCTI L’informatique en nuage : une introduction 9 LA VALEUR DE L’INFORMATIQUE EN NUAGE En réalité, il n’y a rien de technologiquement nouveau dans l’informatique en nuage : la virtualisation, le service partagé et d’autres technologies à la base de l’informatique en nuage existent depuis longtemps. De plus, les nuages publics comme Salesforce. com, Netsuite, Hotmail et autres, sont sur le marché depuis au moins la fin des années 90. Cependant, ce qui est nouveau, c’est que le nuage offre une nouvelle façon de consommer les TI : les ressources informatiques peuvent être louées. Ce glissement apparemment mineur est source de nombreux avantages, comme expliqué ci-après. Possibilité de financer des projets TI sur les dépenses de fonctionnement Avec la possibilité de louer leurs ressources informatiques, les entreprises peuvent transférer leurs frais de TI des dépenses en capital («CapEx») aux dépenses de fonc- tionnement («OpEx»). Pour les jeunes entreprises en développement, c’est un avantage particulièrement intéressant : elles peuvent en effet préserver leur capital en louant les ressources dont elles ont besoin. Toutes les entreprises qui veulent poursuivre leurs projets TI mais qui éprouvent des difficultés à obtenir le capital initial peuvent égale- ment tirer parti de l’informatique en nuage de cette façon. Approche de la technologie basée sur le paiement à l’utilisation Avant l’informatique en nuage, les entreprises devaient trouver des millions de dollars pour créer des centres de traitement destinés à héberger et à mettre en œuvre leurs applications. Les entreprises présentes uniquement sur le Web ou délivrant du contenu sur le Web (par exemple de la vidéo à la demande) faisaient face au défi supplémen- taire de devoir acheter la capacité appropriée : une trop grosse dépense risquait de grever leur capital sans générer de revenu et une trop faible dépense entraînait une mauvaise expérience utilisateur, source de perte de clientèle. Avec l’informatique en nuage, ces entreprises paient exactement les ressources qu’elles utilisent. Pour une jeune entreprise en démarrage, cela permet une meilleure adéquation des sorties de fonds (en technologie) à l’utilisation de leurs services. Les entreprises qui optent pour un modèle de déploiement de nuage hybride peuvent utiliser des nuages privés pour faire face aux niveaux attendus d’utilisation des ressources, mais transférer le traite- ment sur le nuage public pour faire face aux pics de demande imprévus.
10 Dossier du CCTI L’informatique en nuage : une introduction
Maintenance, correctifs et mises à niveau exécutés par
logiciel-service (SaaS)
Dans un environnement SaaS, les correctifs, les mises à niveau et autres frais de main-
tenance sont inclus dans l’abonnement. Par exemple, Workday14 met automatique-
ment à niveau son application tous les quatre mois. IaaS possède un avantage partiel
dans ce domaine. La maintenance quotidienne effective des systèmes appartient au
fournisseur de services IaaS, mais «la plus grande partie des coûts de gestion du logi-
ciel demeure les mises à niveau, l’application de correctifs, etc.15». Pour les entreprises
PaaS, l’application des correctifs sur le serveur sous-jacent revient au fournisseur, mais
l’application des correctifs de l’application revient à l’utilisateur (c’est-à-dire le déve-
loppeur de l’application)16.
Utilisation plus efficace des ressources informatiques
Les avantages cités ci-dessus sont généralement obtenus par l’utilisation de nuages
publics. Cependant, nuages publics et nuages privés bénéficient tous deux d’une allo-
cation plus efficace des ressources informatiques. Grâce au déploiement de nuages
privés, les entreprises peuvent consolider leurs ressources. Par exemple, avec la vir-
tualisation, plusieurs serveurs peuvent être hébergés dans un seul environnement phy-
sique. De même, par l’auto-approvisionnement automatisé des ressources, les utilisa-
teurs peuvent déployer un serveur virtuel en quelques minutes sans avoir à attendre
des mois que le service de TI interne achète, adapte et installe le serveur. Les nuages
publics, comme expliqué plus haut, permettent aux entreprises d’étendre et de réduire
leurs ressources pour s’adapter au trafic ou au volume auquel elles font face.
Voici quelques exemples qui illustrent les avantages ci-dessus :
• Flightcaster17 est une jeune entreprise en démarrage qui propose une application
mobile pour prévoir les retards de vols. Le programme intègre les données de
la FAA, des compagnies aériennes et des services météorologiques et utilise,
pour faire ses prédictions, des techniques d’inférence et d’apprentissage auto-
matique (ou analytique gourmande en ressources TI) utilisées par les Facebook,
Google et autres. Bien que cela soit technique, cela reflète le fait que le modèle
de gestion de l’entreprise repose sur des ressources TI de grande puissance.
Selon Bradford Cross, architecte principal à Flightcaster, seulement deux per-
sonnes (dont lui-même) ont conçu toute l’intelligence et les analyses évolu-
tives. Il explique que cet effort aurait été impossible deux ans auparavant, car
il dépend d’approvisionnement en ressources TI sur le nuage. Cela aurait coûté
des millions de dollars pour créer les systèmes tolérants aux pannes sous-
jacents et Flightcaster aurait dû embaucher et payer le personnel nécessaire
pour en assurer la maintenance18 .
14 www.workday.com; pour en savoir plus sur l’offre de Workday, voir la section de cet article intitu-
lée «Are clouds less expensive?» (en anglais).
15 Michael Armburst, et al., «Above the Clouds: A Berkeley View of Cloud Computing»
(10 février 2009), p. 13, www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.html
16 Tim Mather et al., «Cloud Security and Privacy» (Cambridge : O’Reilly Media Inc, 2009), p. 131.
17 www.flightcaster.com (en anglais)
18 John M. Willis, «Haddop and Cascading With Flightcaster», www.johnmwillis.com/ec2/cloud-
cafe-38-haddop-and-cascasding-with-flightcaster (19 août 2009).Dossier du CCTI L’informatique en nuage : une introduction 11
• Animoto 19 est une autre jeune entreprise en démarrage qui tire parti de l’infor-
matique en nuage. Cette entreprise offre une application qui crée des vidéos en
combinant des photos téléchargées par les utilisateurs avec de la musique en
utilisant un programme spécial pour la synchronisation. Elle a utilisé Rightscale
pour gérer son infrastructure d’informatique en nuage. Une fois cette infrastruc-
ture en place, elle a été capable d’augmenter de façon transparente le volume de
son environnement de 25 000 utilisateurs (environ 50 serveurs) à 250 000 utili-
sateurs (environ 3 500 serveurs), et ce, en trois jours20.
• Le Washington Post a utilisé l’informatique en nuage pour convertir 17 481 pages PDF
non interrogeables en texte lisible par la machine. À l’aide du service EC2 d’Amazon,
l’entreprise a activé 200 instances de serveurs et a effectué le travail en 26 heures.
Le coût : 144,62 $21. Le New York Times a utilisé le nuage d’une manière similaire, en
convertissant 11 millions d’articles, ou 4 téraoctets de fichiers TIFF, en fichiers PDF plus
faciles à diffuser. Ce travail a coûté 240 $ et a été effectué en 24 heures sur 100 ser-
veurs. Derek Gottfrid, le programmeur logiciel du NY Times qui a dirigé le travail, a
admis qu’en d’autres circonstances, l’entreprise aurait probablement abandonné le
projet en raison de coûts trop élevés ou de problèmes de ressources22.
Les nuages sont-ils moins onéreux?
Certains estiment que les nuages sont des solutions moins onéreuses que les applica-
tions sur site. Par exemple, Workday fournit des logiciels destinés à l’entreprise (gestion
des ressources humaines, paye et gestion financière) par l’intermédiaire d’un modèle
de logiciel-service. Selon le président-directeur général adjoint de l’entreprise, Aneel
Bhusri, Workday est une meilleure solution parce qu’elle est moins chère et peut être
mise en œuvre plus rapidement. Selon Bhusri, Sony Pictures Entertainment a choisi
Workday pour les raisons suivantes : «moitié du temps et un tiers du coût», et cela en
dépit du fait que Sony Pictures Entertainment avait déjà payé les licences d’utilisation
du logiciel de ressources humaines SAP 23.
Bien que cet exemple tende à démontrer que le nuage est plus rentable, il y a de nombreux
facteurs à considérer lors de l’évaluation des économies assurées par le nuage, par exemple :
• Analyse de rentabilité : avant d’examiner les problèmes de coûts, l’entreprise
doit procéder à une analyse de rentabilité précise pour l’utilisation de l’infor-
matique en nuage. Dans certains cas, les avantages sont indubitables, comme
pour le Washington Post et le New York Times. Dans d’autres cas, les respon-
sables doivent s’asseoir avec leurs directeurs informatiques et déterminer en
quoi les avantages de l’informatique en nuage présentés ci-dessus amélioreront
leur capacité à mieux servir leurs clients et à assurer davantage de valeur à leurs
actionnaires. De plus, des préoccupations telles que la confidentialité, la sécurité
et d’autres exigences de conformité peuvent s’avérer des obstacles insurmon-
tables. Dans de telles situations, les économies de coûts ne sont plus pertinentes.
19 www.animoto.com (en anglais)
20 «Animoto’s Facebook scale-up», http://blog.rightscale.com/2008/04/23/animoto-facebook-
scale-up (23 avril 2008).
21 http://aws.amazon.com/solutions/case-studies/washington-post (en anglais)
22 Nicholas Carr, «The new economics of computing», www.roughtype.com/
archives/2008/11/the_new_economi.php (5 novembre 2008).
23 Dana Gardner, «Move to Cloud Increasingly Requires Adoption of Modern
Middleware to Support PaaS and Dynamic Workloads», http://briefingsdirect.blogspot.
com/2009/10/executive-interview-workdays-aneel.html (14 octobre 2009).12 Dossier du CCTI L’informatique en nuage : une introduction
• Largeur de bande : afin de déterminer le coût de la largeur de bande, il est
nécessaire d’estimer la quantité de données qui seront transférées du fournis-
seur de nuage au client. Les montants facturés varient selon les fournisseurs.
Par exemple, Microsoft demande 10 cents pour télécharger des données vers
l’amont et 15 cents vers l’aval24. Selon Bernard Golden, auteur d’ouvrages sur la
virtualisation et consultant dans le domaine de l’informatique en nuage, ce coût est
la principale source d’écarts dans le processus d’évaluation25. De même, la largeur
de bande fournie par le fournisseur de services Internet (FSI) peut s’avérer insuffi-
sante pour prendre en charge les exigences de l’application en termes de volume
de données26.
• Intégration : les entreprises doivent également évaluer les efforts et les res-
sources nécessaires pour intégrer la nouvelle application en nuage, à la fois à des
logiciels sur site et à d’autres applications situées sur le nuage. Cela peut s’avérer
particulièrement difficile avec les applications patrimoniales. Par exemple, une
entreprise a dû créer sa propre interface pour intégrer une application en nuage
à un logiciel sur site qui s’exécutait sur un serveur AS/40027.
• Prix au comptant et prix de gros : comme le souligne Frank Gillett, de Forrester, la
consommation de TI par l’intermédiaire du nuage est l’équivalent d’acheter des
services publics sur le «marché au comptant; cela revient plus cher de payer à
l’heure que de consentir un investissement initial28». On peut même aller plus loin
et dire que lorsqu’une entreprise atteint une certaine taille, il est probable qu’il lui
sera plus rentable d’héberger ses propres applications et l’infrastructure néces-
saire, plutôt que de les louer auprès d’un fournisseur d’infrastructure-service.
24 Allan Leinwand, «The Hidden Cost of the Cloud: Bandwidth Charges» (17 juillet 2009). http://
gigaom.com/2009/07/17/the-hidden-cost-of-the-cloud-bandwidth-charges
25 Bernard Golden, «The Skinny Straw: Cloud Computing’s Bottleneck and How to Address It»,
www.cio.com/article/499137/The_Skinny_Straw_Cloud_Computing_s_Bottleneck_and_How_
to_Address_It (6 août 2009).
26 Ibid.
27 Kim S. Nash, «Cloud Computing: What CIOs Need to Know About Integration»
www.cio.com/article/593811/Cloud_Computing_What_CIOs_Need_to_Know_About_Integra-
tion (15 mai 2010).
28 Dana Gardner, «Dana Gardner Interviews Forrester’s Frank Gillett on Future of Mission-Critical
Cloud Computing», http://briefingsdirect.blogspot.com/2009/06/dana-
gardner-interviews-forresters.html (1er juin 2009).Dossier du CCTI L’informatique en nuage : une introduction 13
14 Dossier du CCTI L’informatique en nuage : une introduction
RISQUES ET DÉFIS DU NUAGE
Il est important de souligner que l’adoption de l’informatique en nuage en est encore à
ses tout débuts. Au moment de la publication de cette note d’information du CCTI, l’in-
formatique en nuage était en phase de «pic des espérances» du Hype Cycle de Gartner
et entrait en phase de «désillusionnement»29. C’est pourquoi de nombreux risques et
défis doivent être pris en considération.
Gouvernance
Comme l’illustre l’«analyse de rentabilité du nuage» effectuée avec le Washington Post
et le New York Times, un employé peut s’acheter des services d’informatique en nuage
avec sa carte de crédit. Cela ouvre la porte à d’éventuels «nuages incontrôlables» : le
risque que certains groupes d’une entreprise achètent des services d’informatique en
nuage par l’intermédiaire du «processus de note de frais», en contournant le processus
normal et contrôlé d’approvisionnement des TI30. Cela n’aboutira pas uniquement à
exposer les données aux risques propres aux nuages, mais également à entraîner des
dépassements de coûts31. En ce qui concerne ces derniers, le risque est comparable
au fait de passer d’une location d’appartement «tous services inclus» à une location
«électricité en sus» : les premières factures seront probablement élevées, car l’utilisa-
teur n’est pas habitué à se voir facturer les ressources utilisées. De plus, si l’applica-
tion devient importante pour le fonctionnement global de l’organisation, les TI seront
confrontées au défi d’intégrer le nuage dans le reste de l’environnement informatique
sur site. Cependant, l’implication clé de ce risque est que les entreprises peuvent être
déjà sur le nuage sans le savoir.
Comme pour les projets d’impartition traditionnels, le problème de la viabilité du four-
nisseur est aussi un point important à considérer. Digital Railroad, un service basé sur
le nuage assurant le stockage et la vente de photos pour le compte de photographes
professionnels, a soudainement fermé ses portes. Un autre risque est que le fournis-
seur, bien que viable, soit acheté. Cela laisserait le client à la merci de l’entreprise
acheteuse, qui pourrait fermer le service que le client utilise. Ces deux problèmes
illustrent le fait que même si le nuage est une nouvelle façon de s’approvisionner en
technologie, les entreprises doivent néanmoins mettre en place des stratégies de sau-
vegarde et de disponibilité pour s’assurer que leurs données demeurent disponibles
indépendamment du nuage.
L’autre défi ayant trait à la viabilité du fournisseur est de comprendre ses dépendances.
Par exemple, la panne du service de stockage en nuage S3 d’Amazon a empêché Twit-
ter de gérer les avatars de ses utilisateurs32. En d’autres termes, lorsqu’une compagnie
se fie à Twitter, elle se fie également à Amazon.
29 «Gartner’s 2010 Hype Cycle Special Report Evaluates Maturity of 1,800 Technologies», www.
gartner.com/it/page.jsp?id=1447613 (7 octobre 2010).
30 Chris Murphy, «Get Ready For Rogue Clouds», http://informationweek.com/blog/main/
archives/2008/12/get_ready_for_r.html (9 décembre 2008).
31 Daryl C. Plummer, «Cloud Elasticity Could Make You Go Broke», http://blogs.gartner.com/daryl_
plummer/2009/03/11/cloud-elasticity-could-make-you-go-broke (11 mars 2009).
32 Jon Brodkin, «More outages hit Amazon’s S3 storage service», www.computerworlduk.com/
news/security/10155/more-outages-hit-amazons-s3-storage-service
(22 juillet 2008).Dossier du CCTI L’informatique en nuage : une introduction 15
Sécurité
Comme l’a souligné l’enquête de Novell, la préoccupation majeure en ce qui concerne
l’informatique en nuage est la sécurité. Une fois que l’information se trouve sur un
nuage public — en-dehors du pare-feu de l’entreprise — il existe un risque qu’elle soit
accessible à des utilisateurs non autorisés. Cela est dû au fait que l’informatique en
nuage recourt au partage, dans lequel les données de plusieurs clients sont mêlées
au sein de l’application du fournisseur d’informatique en nuage. Un exemple d’un tel
risque pour un fournisseur IaaS (par exemple AWS) est l’«attaque latérale», qui permet
à un éventuel utilisateur mal intentionné d’accéder aux ressources informatiques d’une
organisation33. Pour ce faire, les attaquants identifient l’emplacement de l’instance de
la victime, deviennent «corésidents» de leur victime et exploitent l’information diffu-
sée par la machine virtuelle pour placer leur attaque34. L’autre risque lié au partage
est que le fournisseur de nuage divulgue accidentellement l’information au mauvais
utilisateur. Par exemple, Google Docs a connu une faille de sécurité qui a entraîné le
partage accidentel de documents avec quiconque avait déjà été autorisé à consulter
ces documents par le passé35.
Les risques de sécurité émergent aussi de la virtualisation, dont dépendent de nom-
breux déploiements de nuages. Selon Gartner, 60 pour cent des serveurs virtualisés
seraient moins sûrs que les serveurs physiques qu’ils remplacent36. Certains de ces pro-
blèmes sont dus à des raisons techniques, mais ce communiqué de presse de Gartner
souligne également un manque de contrôle de l’organisation, comme ne pas impliquer
les responsables de la sécurité de l’information dans les projets de virtualisation et une
attention inadéquate portée à la séparation des tâches.
Couvrir tous les problèmes de sécurité associés à l’informatique en nuage va bien au-
delà de l’objet du présent document. Cependant, il existe de nombreuses ressources pour
en savoir plus. Reportez-vous aux sections ci-après intitulées «Directives de sécurité et
normes pour le nuage» et «Informatique en nuage : ressources complémentaires».
Audit
Les auditeurs internes et externes seront amenés à faire face aux défis de l’informatique
en nuage public lorsqu’elle s’intégrera à des processus dont ils sont supposés assurer
la conformité. Comme les fournisseurs de services en nuage sont indépendants, il est
nécessaire de pouvoir vérifier leurs installations ou alors d’obtenir un rapport sur leurs
contrôles. D’un point de vue proactif, les auditeurs devraient travailler avec les TI ou
d’autres services utilisant les nuages publics pour s’assurer que les ententes qu’ils ont
conclues avec les fournisseurs de nuages publics comportent une clause d’audit
ou alors une disposition pour permettre un rapport sur les contrôles, comme un
rapport SysTrust.
33 Thomas Ristenpart et al., «Hey, You, Get Off of My Cloud! Exploring Information Leakage in Third-
Party Compute Clouds», Proceedings of the ACM Conference on Computer and Communications
Security (CCS) (Chicago, IL, novembre 2009), http://cseweb.ucsd.edu/~savage/papers/CCS09.pdf
34 Ibid.
35 Jason Kincaid, «Google Privacy Blunder Shares Your Docs Without Permission»,
http://techcrunch.com/2009/03/07/huge-google-privacy-blunder-shares-your-docs-without-
permission (7 mars 2009).
36 «Gartner Says 60 Percent of Virtualized Servers Will Be Less Secure Than the Physical Servers
They Replace Through 2012», www.gartner.com/it/page.jsp?id=1322414 (15 mars 2010).16 Dossier du CCTI L’informatique en nuage : une introduction
Bien qu’il s’agisse là d’une pratique exemplaire, les auditeurs doivent être conscients
qu’il est peu probable que les grandes entreprises, comme Amazon, personnalisent
leur offre pour répondre aux besoins de leurs clients. Par exemple, on dit qu’Eli Lilly
a abandonné tout projet d’extension de son utilisation d’AWS parce que «les deux
parties ne pouvaient s’entendre sur les modalités de leur responsabilité légale et des
problèmes d’indemnisation en cas de pannes ou de brèches de sécurité qui affecte-
raient les affaires d’Eli Lilly37».
Un des défis d’audit plus spécifiquement liés au nuage est le problème de la disparition
des preuves. La possibilité d’utiliser les ressources informatiques seulement quand on
en a besoin, comme un service, est un avantage clé de l’informatique en nuage. Les
utilisateurs peuvent tout simplement «fermer le robinet» quand les ressources ne sont
plus nécessaires. Comme le fait remarquer Shahed Latif, de KPMG38, lorsque le client
interrompt le service, la preuve d’audit qui réside sur le serveur virtuel disparaît «en
même temps qu’on ferme le robinet39».
Lors de la planification de l’audit, il est également nécessaire de déterminer le nombre
de fournisseurs de services en nuage qui participent effectivement à l’application uti-
lisée par l’entreprise ou le client. Comme discuté à la section Modèles de services en
nuage ci-dessus, les entreprises SaaS donnent l’opportunité aux développeurs indé-
pendants de créer des applications qui seront vendues à leurs clients SaaS. Comme
ces applications peuvent s’intégrer de façon transparente à l’application SaaS, l’utili-
sateur final ne sait peut-être pas qu’il ne traite pas en fait avec Salesforce.com ou avec
Intuit, mais avec un tiers complètement indépendant. Dans les cas où le fournisseur
SaaS offre un rapport sur les contrôles, les auditeurs devront évaluer le travail supplé-
mentaire nécessaire pour bien cerner le traitement effectué par l’application créée par
le développeur tiers.
Les plans d’audit doivent également déterminer où finit la responsabilité du fournis-
seur et où commence celle du client. Par exemple, Salesforce.com donne accès à son
rapport de services de fiducie, qui aborde la sécurité, la confidentialité et la disponibi-
lité40. Cependant, s’assurer que les employés qui ont quitté l’entreprise n’ont plus accès
à une telle application SaaS est de la responsabilité du client.
37 Joe Maitland, «Eli Lilly ends talks to expand Amazon Web Services use»,
http://searchcloudcomputing.techtarget.com/news/1517662/Eli-Lilly-ends-talks-to-expand-
Amazon-Web-Services-use (2 août 2010).
38 Shahed Latif, coauteur de Cloud Security and Privacy: An Enterprise Perspective on Risks and
Compliance; voir la section Livres ci-après pour en savoir plus sur cet ouvrage.
39 OreillyMedia, «O’Reilly Webcast — Cloud Security & Privacy», www.youtube.com/
watch?v=tF2EV5olkbQ (30 septembre 2009).
40 Voir http://trust.salesforce.com/trust/assets/pdf/Misc_SysTrust.pdfDossier du CCTI L’informatique en nuage : une introduction 17
Comme pour la section relative à la sécurité, toute la gamme des problèmes d’audit va
bien au-delà de l’objectif de ce document. Cependant, l’ISACA (Information Systems
Audit and Control Association) a beaucoup œuvré dans le domaine de l’informatique
en nuage et propose un certain nombre d’articles et de publications pour aider les
professionnels de la certification avec les problèmes spécifiques aux nuages41 :
• Cloud Computing Management Audit/Assurance Program
• Cloud Computing: Business Benefits With Security, Governance and Assurance
Perspectives
• IT Audit of Cloud and SaaS
• Making Sure You Really Are Walking on Cloud Nine
L’AICPA (American Institute of Certificated Public Accountants) ne propose pas de
ressources spécifiques à l’informatique en nuage mais, au moment de la rédaction
de la présente note d’information, cet organisme était sur le point de dévoiler des
directives pour les nouveaux rapports SOC (Service Organization Control) appelés à
remplacer les rapports SAS 7042 :
• Rapport SOC 1 — Report on Controls at a Service Organization Relevant to User
Entities’ Internal Control over Financial Reporting
• Rapport SOC 2 — Report on Controls at a Service Organization Relevant to
Security, Availability, Processing Integrity, Confidentiality or Privacy
• Rapport SOC 3 — Trust Services Report for Service Organizations.
41 Veuillez noter que ces publications peuvent nécessiter d’être membre de l’ISACA; pour en savoir
plus, voir www.isaca.org (en anglais)
42 Pour en savoir plus, voir www.aicpa.org (en anglais)18 Dossier du CCTI L’informatique en nuage : une introduction
NUAGE-CONTRÔLE
Un des aspects intéressants du nuage est de pouvoir appliquer son modèle écono-
mique au concept de contrôle. Comme expliqué plus haut, le nuage permet de louer
des ressources informatiques à la demande. Dans certains cas, cet avantage du nuage
peut affecter l’analyse «coûts-avantages» des contrôles et permettre leur application
alors qu’auparavant, ils ne pouvaient pas l’être parce que beaucoup trop coûteux. La
liste ci-après n’est en aucun cas exhaustive, mais donne une idée de cet impact du
nuage sur les contrôles.
Tests de systèmes sur le nuage
Avec la possibilité d’utiliser des systèmes sur demande, les entreprises n’ont plus
besoin de dépenser des milliers de dollars pour créer un environnement de test repro-
duisant leur environnement de production. Au lieu de cela, elles peuvent louer un envi-
ronnement en fonction de leurs besoins auprès d’un fournisseur IaaS comme Amazon
ou recourir aux services d’entreprises telles que Soasta43. Du point de vue du contrôle,
les avantages liés à un environnement de test spécifique sont maintenant possibles
grâce aux économies que procure l’informatique en nuage. Cela dit, des contrôles
appropriés doivent malgré tout être mis en place lors de l’utilisation de tels services.
Par exemple, les données de production ne doivent pas être utilisées dans un environ-
nement de test hébergé sur un nuage; tout comme elles ne devraient pas l’être dans
un environnement de test hébergé à l’interne.
Reprise après sinistre et planification de la continuité des opérations
sur le nuage
Tout comme pour les tests de systèmes, le nuage affecte le calcul coûts-avantages de
la création d’un site de traitement de secours. Comme le souligne David Linthicum44,
dans le cas d’un site de traitement de secours hébergé sur le nuage, «aucun investis-
sement en centre de traitement n’est requis, et il n’y a pas de coûts de matériel ou de
logiciel. Qui plus est, on peut l’activer lorsque nécessaire, et on ne sera facturé que
pour les ressources effectivement utilisées. Cela ouvre de nouvelles opportunités aux
entreprises qui ne pouvaient normalement pas s’offrir le luxe d’un centre de secours.
Le coût estimé est d’environ un quart de celui des sites de secours traditionnels, en
grande partie grâce aux économies réalisées en frais d’exploitation45». Cet article sou-
ligne également que, dans un contexte de reprise après sinistre, les employés pourront
accéder plus facilement aux ressources car il leur suffira de se connecter à un réseau,
au lieu d’un véritable site de traitement de secours.
43 www.soasta.com (en anglais)
44 David Linthicum est considéré comme un grand expert de l’informatique en nuage. Il est fré-
quemment invité à des conférences pour faire des présentations sur ce sujet,
a écrit plusieurs ouvrages dans ce domaine et dirige une émission en baladodiffusion. Voir la
section Ressources pour en savoir plus sur lui. L’adresse de son blogue est
www.infoworld.com/blogs/david-linthicum (en anglais)
45 David Linthicum, «Leveraging Cloud Computing for Business Continuity», Disaster Recovery
Journal (été 2010), p. 28, 30, www.drjournal-digital.com/drjournal/2010Summer?pg=30#pg30Dossier du CCTI L’informatique en nuage : une introduction 19
Les entreprises intéressées à assurer la sauvegarde d’applications spécifiques peuvent
identifier des partenaires SaaS spécifiques, selon l’application en question. Par
exemple, Google propose le service Google Message Continuity, qui assure la sau-
vegarde sur un nuage de la configuration Microsoft Exchange Server de l’entreprise
installée sur le site. Grâce à ce service, les utilisateurs peuvent basculer vers Gmail en
cas d’indisponibilité de leur serveur de courriel interne46.
L’autre «SaaS» : la sécurité-service (Security-as-a-Service)
Contrairement aux tests de systèmes et à la reprise après sinistre sur le nuage, la sécu-
rité-service offre bien plus de solutions spécifiques pour remédier à des problèmes
de sécurité spécifiques. L’application la plus courante de tels services de sécurité est
l’anti-pourriel47. Une filiale de Google (Postini) propose un service qui assure une pro-
tection contre le pourriel et les virus, ainsi que le chiffrement des courriels48. Il existe
d’autres offres de sécurité-service, comme la gestion de l’identité. Cependant, éva-
luer leur rapport coûts-avantages est comparable à l’impartition d’autres applications
aux fournisseurs de services en nuage et n’offre pas une évaluation coûts-avantages
convaincante, comme dans le cas du transfert des tests de systèmes ou de la reprise
après sinistre sur le nuage.
L’intérêt du nuage en tant que contrôle pour la gestion est qu’il permet de faire plus
avec les ressources à sa disposition et de bâtir un meilleur environnement de contrôle.
Pour les auditeurs, les contrôles qui étaient jusqu’alors négligés pour des raisons de
coûts méritent qu’on s’y attarde à nouveau pour voir si le nuage affecte suffisamment
l’aspect économique afin que leur mise en œuvre soit envisageable.
46 «Bringing Gmail’s reliability to Microsoft® Exchange», http://googleenterprise.
blogspot.com/2010/12/bringing-gmails-reliability-to.html, (9 décembre 2010)
47 Andreas M. Antonopoulos, «Security-as-a-service growing», www.networkworld.com/columnists
/2010/083110antonopoulos.html (31 août 2010)
48 www.google.com/postini/email.html (en anglais)Vous pouvez aussi lire
