Les défis et nouvelles opportunités du " cloud computing " - PANÉLISTES : 5e Symposium Fasken Martineau
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Les défis et nouvelles opportunités du
« cloud computing »
MODÉRATEUR : Christian Leblanc
Fasken Martineau
PANÉLISTES : Stéphane Gilker Antoine Aylwin Jérôme Arnaud
Fasken Martineau Fasken Martineau OVH
5e Symposium Fasken Martineau
Qu’est-ce que
le « cloud
computing »
2 5e Symposium Fasken Martineau
Définition National Institute of Standards and Technology (v. 15) [TRADUCTION] L’infonuagique est un modèle permettant de favoriser un accès ubiquitaire, commode et sur demande à un ensemble partagé de ressources informatiques configurables (par exemple, des réseaux, serveurs, ressources de stockage et logiciels) pouvant être déployées rapidement avec un minimum de gestion ou d’intervention de la part du prestataire de service. Ce modèle, qui favorise l’accessibilité, comporte cinq caractéristiques essentielles, trois modèles de services et quatre modèles de déploiement. 5e Symposium Fasken Martineau
Pourquoi « Cloud » ? Convention graphique du domaine des TI consistant à représenter Internet sous forme de « nuage » dans les diagrammes de systèmes informatiques. 5e Symposium Fasken Martineau
5e Symposium Fasken Martineau
Caractéristiques
essentielles
5e Symposium Fasken Martineau
Caractéristiques essentielles 1. Libre-service sur demande L’utilisateur peut accéder aux ressources informatiques - physiques et virtuelles - à tout moment et selon ses besoins et ce, sans intervention « humaine » de la part du prestataire du service infonuagique. Le stockage de données, le traitement informatique, la mémoire, la bande passante de réseau et les « appareils virtuels » sont des exemples de ces ressources. 5e Symposium Fasken Martineau
Caractéristiques essentielles 2. Accès ubiquitaire Les ressources informatiques sont accessibles en tout lieu, par Internet ou autre réseau de télécommunication, par l’intermédiaire de mécanisme d’accès usuels, même légers (fureteur, applications mobiles), et par l’entremise de multiples plateformes (ordinateurs portables, assistants numériques personnels ou téléphones cellulaires). 5e Symposium Fasken Martineau
Caractéristiques essentielles 3. Agrégation de ressources Les ressources informatiques sont mises à la disposition de plusieurs utilisateurs au moyen d’un modèle multi- client (« colocalisation »). Ces ressources peuvent ainsi être affectées et réaffectées aux utilisateurs en fonction de la demande. L’utilisateur n’a habituellement ni connaissance ni contrôle du lieu exact des ressources qui lui sont fournies; il peut toutefois préciser le lieu à un plus haut niveau d’abstraction (par exemple, le lieu géographique ou le centre de données). 5e Symposium Fasken Martineau
Caractéristiques essentielles 4. Ajustements rapides Les ressources peuvent être ajustées rapidement - voire instantanément - tant à la hausse qu’à la baisse, selon les besoins de l’utilisateur. Aux yeux de l’utilisateur, les capacités disponibles paraissent souvent illimitées, et il peut en acquérir à tout moment, sans limite de volume. 5e Symposium Fasken Martineau
Caractéristiques essentielles 5. Services Mesurables L'utilisation des ressources peut être contrôlée et mesurée par le prestataire, conditions essentielles pour la facturation, le contrôle d’accès, l’optimisation et la planification du déploiement des ressources informatiques et gage de transparence pour le prestataire et l’utilisateur du service. 5e Symposium Fasken Martineau
Modèles de
déploiement
5e Symposium Fasken MartineauModèles de déploiement
1. Système infonuagique « public » (« Public Cloud »)
• Les services sont mis à la disposition du grand public
par l’entremise d’Internet
• Les données des utilisateurs ne sont cependant pas,
par essence, accessibles au public, les fournisseurs
offrant normalement aux utilisateurs des mécanismes
de contrôle d’accès à leurs données
• Les services peuvent être fournis à titre gratuit ou
onéreux
• Le système appartient à une entreprise et est localisé
à l’externe
5e Symposium Fasken MartineauModèles de déploiement
2. Système infonuagique « privé » (« Private Cloud »)
• Le système est exploité pour le compte d’une seule
personne (individu, entreprise ou organisation).
• Le système est géré soit par cette personne, soit par une
tierce partie, et peut être localisé à l’interne ou à l’externe.
• Ce système réduit les enjeux liés à la sécurité des données
et à la conformité statutaire et règlementaire (localisation
des données, vérification,…)
• Les avantages de l’infonuagique peuvent être toutefois
largement atténués par ce modèle sauf si le système est
hybridé à un système public, ou s’il est sécurisé (« système
privé virtuel »)
5e Symposium Fasken MartineauModèles de déploiement
3. Système infonuagique communautaire
(« Community Cloud »)
• L’infrastructure infonuagique est contrôlée et utilisée
par des personnes partageant des préoccupations ou
intérêts communs (mission, exigences de sécurité,
politiques, exigences en matière de conformité).
• Ce système est géré soit par ces personnes, soit par
une tierce partie, et peut être localisé à l’interne ou à
l’externe.
5e Symposium Fasken MartineauModèles de déploiement
4. Système infonuagique « hybride »
(« Hybrid Cloud »)
• Ce système est composé d’au moins deux autres
modèles de déploiement infonuagiques, normalement
« privé » et « public ».
• Ce modèle permet par exemple à une entreprise de
conserver certaines données ou application sensibles
sous la protection d’un système infonuagique privé en
permettant le déploiement (permanent ou occasionnel)
de ses autres données ou application vers un système
public (« cloud bursting »), par exemple pour répondre à
une demande accrue en période de pointe.
5e Symposium Fasken MartineauModèles de
services
infonuagiques
5e Symposium Fasken MartineauModèles de services infonuagiques
1. Modèle « Logiciel en tant que service »
(« Software as a Service » ou « SaaS »)
• L’utilisateur a uniquement accès à une application
logicielle aux fins l’utilisation de cette dernière.
• L’utilisateur peut contrôler la configuration de
l’application logicielle en fonction de ses besoins.
• L’utilisateur n’a toutefois aucun contrôle sur
l’infrastructure informatique sous-tendant l’application
logicielle (système d’exploitation, équipements
informatiques et réseau)
5e Symposium Fasken MartineauModèles de services infonuagiques
2. Modèle « Plateforme en tant que service »
(« Platform as a Service » ou « PaaS »)
• L’utilisateur a accès à un environnement de
développement (langage et outils de programmation)
et d’hébergement d’applications logicielles
• L’utilisateur choisit et gère les applications exécutées
dans l’environnement et peut avoir un certain contrôle
de l’environnement d’hébergement mais ne contrôle
pas l’infrastructure informatique sous-jacente
(système d’exploitation, infrastructure matérielle,
réseau)
5e Symposium Fasken MartineauModèles de services infonuagiques
3. Modèle « Infrastructure en tant que service »
(« Infrastructure as a Service » ou « IaaS »)
• L’utilisateur a accès à des ressources informatiques
fondamentales : capacité de traitement, capacité de
stockage de données, composantes réseau,
intergiciels (middleware)
• L’utilisateur peut contrôler le système d’exploitation, le
système de stockage, les applications logicielles et les
composantes réseau (coupe-feux, répartiteur de
charges) mais pas l’infrastructure infonuagique sous-
jacente
5e Symposium Fasken MartineauModèles de services infonuagiques Autres (exemples) • Données en tant que Services (DaaS) • Bases de donnée en tant que Services (DBaaS) • Communications en tant que Services (CaaS) • Réseau en tant que Service (NaaS) 5e Symposium Fasken Martineau
Différences avec acquisitions « traditionnelles »
de ressources informatiques
Acquisition ressources informatiques Infonuagique
• Achat d’équipement Services à la demande
• Licences logicielles
• Services accessoires (personnalisation,
configuration, installation, S&M)
Personnalisation Standard (ou personnalisation par le client)
Spécifications fonctionnelles Niveaux de services
Dépense capitale (ponctuelle/importante) Dépense opération (étalée/ modérée et
proportionnelle)
Obsolescence Constamment mis à jours
Contrôle direct de la sécurité et de la Obligations contractuelles, sous-traitance
confidentialité des données (in situ) et enjeux d’extra-territorialité (ex situ)
5e Symposium Fasken MartineauDifférences avec impartition
(« outsourcing »)
Impartition Infonuagique
Contrat hautement personnalisé Contrat standard et simple
et complexe
Transaction importante Contrat d’adhésion en ligne
(enjeux avec personnel)
Sous-traitance limitée et Sous-traitance
contrôlée, y compris importante (services souvent
géographiquement basés sur des services sous-
jacents préexistants)
Longue durée Durée courte ou indéterminée
Lois locales Lois étrangères
5e Symposium Fasken MartineauPrincipaux
enjeux
juridiques
5e Symposium Fasken MartineauPrincipaux enjeux juridiques Propriété intellectuelle • Compatibilité et informité des licences préexistantes du client avec le modèle Infonuagique • Propriété des données (input, output), métadonnées, applications conçues dans un contexte de PaaS 5e Symposium Fasken Martineau
Principaux enjeux juridiques Données • Localisation géographique • Intégrité, disponibilité, sauvegardes (back ups) et confidentialité • Portabilité et interopérabilité (format) • Sécurité (physique et logique) stockée et en transit (vérifications diligentes, certification (ISO27001, SAS70), chiffrement,…) • Fin du contrat : Rétention, remise (formats natifs, CSV) et effacement irrémédiable des données, métadonnées, structures de données 5e Symposium Fasken Martineau
Principaux enjeux juridiques Sous-traitants • Localisation (juridiction) • Liens juridiques avec le client 5e Symposium Fasken Martineau
Principaux enjeux juridiques • Technologies propriétaires du prestataire (dépendance technologique, coûts de conversion, réécriture,…) • Niveaux de services et remèdes • Conformité règlementaire et vérifications • Terminaison et suspension (causes et préavis) • Impact sur le client et ses utilisateurs finaux d’un défaut d’un utilisateur final • Changement de contrôle du prestataire (concurrent, localisation) • Garanties et limitations de responsabilités • Amendements unilatéraux • Lois applicables et juridictions 5e Symposium Fasken Martineau
Des garanties
en réponse aux
préoccupations
5e Symposium Fasken MartineauDes garanties en réponse aux préoccupations • la géographie • la réplication et le transit • l'accès logique • le cloisonnement • l'accès physique • la sous-traitance • le réseau • la réversibilité 5e Symposium Fasken Martineau
Des garanties en réponse aux préoccupations Quelle garantie à obtenir concernant l’accès aux données • Importance d’avoir une maitrise de la chaîne d’hébergement • Explication sommaire de ce qui est un fibre noir • Questions à se poser sur le réseau • Réversibilité de l’impartition 5e Symposium Fasken Martineau
Des garanties en réponse aux préoccupations Ségrégation des données • Qu’est-ce que le cloisonnement? • Cloisonnement : préoccupation et demandes habituelles des usagers 5e Symposium Fasken Martineau
Protection des
renseignements
personnels
5e Symposium Fasken MartineauRisques potentiels 34 5e Symposium Fasken Martineau
Loi sur la protection des renseignements
personnels dans le secteur privé
17. La personne qui exploite une entreprise au Québec et
qui communique à l'extérieur du Québec des
renseignements personnels ou qui confie à une personne
à l'extérieur du Québec la tâche de détenir, d'utiliser ou de
communiquer pour son compte de tels renseignements
doit au préalable prendre tous les moyens raisonnables
pour s'assurer :
1° que les renseignements ne seront pas utilisés à des
fins non pertinentes à l'objet du dossier ni communiqués à
des tiers sans le consentement des personnes
concernées sauf dans des cas similaires à ceux prévus
par les articles 18 et 23.
35 5e Symposium Fasken MartineauLoi sur la protection des renseignements
personnels dans le secteur privé
2° dans le cas de listes nominatives, que les personnes
concernées aient une occasion valable de refuser l'utilisation
des renseignements personnels les concernant à des fins de
prospection commerciale ou philanthropique et de faire
retrancher, le cas échéant, ces renseignements de la liste.
Si la personne qui exploite une entreprise estime que les
renseignements visés au premier alinéa ne bénéficieront pas
des conditions prévues aux paragraphes 1° et 2°, elle doit
refuser de communiquer ces renseignements ou refuser de
confier à une personne ou à un organisme à l'extérieur du
Québec la tâche de les détenir, de les utiliser ou de les
communiquer pour son compte.
36 5e Symposium Fasken MartineauLoi sur la protection des renseignements
personnels et les documents électroniques
4.1.3. Une organisation est responsable des
renseignements personnels qu’elle a en sa possession
ou sous sa garde, y compris les renseignements
confiés à une tierce partie aux fins de traitement.
L’organisation doit, par voie contractuelle ou autre,
fournir un degré comparable de protection aux
renseignements qui sont en cours de traitement par une
tierce partie.
37 5e Symposium Fasken MartineauLoi sur la protection des renseignements
personnels et les documents électroniques
4.8 Transparence Un organisation doit faire en sorte
que des renseignements personnels sur ses politiques
et ses pratiques concernant la gestion des
renseignements personnels soient facilement
accessibles à toute personne.
38 5e Symposium Fasken MartineauCommissaire à la protection de la
vie privée du Canada
Enquête n° 2005-313 (L’affaire CIBC)
Un avis expédié aux clients d’une banque suscite des
inquiétudes à propos de la USA PATRIOT Act
Enquête no 2006-333
Une entreprise canadienne communique les
renseignements personnels de ses clients à la société
mère située aux États-Unis
Enquête n°2008-394 (L’affaire Canada.com)
Hébergement des données des comptes courriels
désormais sur un serveur aux États-Unis
39 5e Symposium Fasken MartineauCirculation transfrontalière des
données
1. Légalité de l’impartition des activités à l’étranger
2. Évaluation des risques au cas par cas et mise en
place de mesures de protection
3. Principe de la souveraineté des États
4. Devoir de transparence
5. Demande de consentement
seulement si modification des
objectifs d’utilisation
6. Cas particulier des entités
affiliées
40 5e Symposium Fasken Martineau2013 BSA Global Cloud Computing
Scorecard
Data Privacy
Security
Cybercrime
Intellectual Property Rights
Support for Industry-Led Standards
& International Harmonization of Rules
Promoting Free Trade
ICT Readiness, Broadband Deployment
41 5e Symposium Fasken Martineau2013 BSA Global Cloud Computing
Scorecard
Japon Australie É-U Allemagne Singapour France R-U Corée Canada Italie Espagne Pologne
42 5e Symposium Fasken Martineau2013 BSA Global Cloud Computing
Scorecard
Afrique
Malaisie Russie Mexique Argentine Inde Turquie Chine du Sud Indonésie Brésil Thaïlande Vietnam
43 5e Symposium Fasken MartineauContrat d’infonuagique
• Obligation de confidentialité
• Limitation des usages
• Matérialité territoriale du « nuage »
• Propriété des données
• Ségrégation des données
• Stratégie de résiliation et retrait
44 5e Symposium Fasken MartineauVous pouvez aussi lire
