Now Reading
[Video] Sécurité et responsabilité du Cloud
0

[Video] Sécurité et responsabilité du Cloud

by Cloud Guru17 février 2012

Lors du dernier Best’Event, de nombreuses questions tournaient autour du Cloud Computing.
Sujet d’aujourd’hui : Sécurité et responsabilité dans le Cloud…

Olivier Bellin (CBP) : La relation que vous deviez entretenir avec vos clients était basée fondamentalement sur la confiance, plus que tout autre type de prestation, hormis peut-être l’infogérance. Mais là on va un peu plus loin. Or, aujourd’hui, tout le monde dans la salle je pense, a entendu parler du fameux problème de BlackBerry, qui, depuis 72h, connaît un black-out désormais mondial. Rappelons que BlackBerry a une messagerie privée qui sert les intérêts de nombreuses entreprises. Certains dans la salle ne peuvent plus accéder à leur BlackBerry, est-ce que c’est un mauvais coup au Cloud, comme diraient certains politiques ? Si ce genre de phénomène se reproduit, cela peut-il encourager les clients à adopter une attitude attentiste vis-à-vis du Cloud ?

Hervé Rolland (IBM) : IBM est très détaché de la question de ce que nous appelons « l’accès à l’information », c’est-à-dire les PCs, smartphones et autres. J’avoue qu’il y a eu une migration forte chez IBM, il est surprenant de voir à quel point nous sommes équipés Apple. Quant au niveau de sécurité, nous nous limitons à la messagerie, nous n’avons pas encore l’intranet parce que nous demandons à Apple de faire de petits efforts pour que les iPhones soient un peu plus sécurisés. D’un autre côté, c’est bien d’être sécurisé mais si ça ne marche pas, et là vous êtes tous non seulement concernés mais aussi responsables,  par un sujet appelé « Risks and Compliance », les risques et les conformités. Faire croître son CA, diminuer ses coûts et maîtriser ou annuler ces risques devient le sujet n°1 et pas seulement des DSI : aujourd’hui, tous les directeurs financiers et juridiques sont en train de revoir tous les contrats. Cette responsabilité, maintenant elle est chez nous, nous l’avons tous, et nous avons des offres évidemment autour de ce sujet, offre que beaucoup de partenaires adoptent d’ailleurs. Comme par exemple Guardium, un produit qui est en train d’entrer dans les bases de données ; il y a une grande banque mondiale qui vient de s’équiper. Ils ont un peu plus de 10 000  bases de données, et en temps réel, en une fraction de seconde, on peut savoir qui est dessus.

Comme je dis, il y a deux catégories de personnes : les maladroits et les malveillants. Il y a parfois parmi les maladroits des personnes éminemment adroites, qu’on appelle des ingénieurs système, que le firewall dérange, qui vont donc essayer de faire le tour par derrière et qui peuvent laisser la porte ouverte, même quelques secondes. En une fraction de seconde, les hackers rentrent. Ce sujet est colossal dans le domaine du Cloud puisque vous allez exporter des données, des processus. La loi européenne par exemple oblige à « anonymiser » les données. J’aimerais savoir combien d’offreurs « anonymisent » les données…. Regardez bien dans les offres, c’est écrit (ou non). Mais c’est la loi, donc vous être dans l’illégalité si vous le faites sans « anonymiser ». C’est pour cela qu’il y a des fichiers clients, avec des soldes ou des montants, c’est comme ça qu’on a retrouvé le compte de Nicolas et Carla S. (on ne va pas donner de noms plus précis…) mais leur compte à la générale a circulé sur Internet il n’y a pas si longtemps.

Bruno Buffenoir (HP) : Cela renforce le discours qu’on a tenu, qui consiste à dire qu’il faut aujourd’hui réfléchir aux conséquences du Business Model qu’on met en place et à toute la structure d’accompagnement associée, qu’elle soit juridique, financière ou en termes d’infrastructures pour pourvoir du bon niveau de sécurité les prestations que l’on met à disposition : ni trop peu ni pas assez pour des questions de risques. Donc tout cela se réfléchit, ce que nous proposons justement dans les Centres d’Excellence : de travailler avec toute l’expérience et tout l’historique d’HP dans ce domaine, dans la gestion d’infrastructure notamment. Maintenant, si l’on va au-delà et pour revenir sur un point  qu’on a abordé et qui est peut-être pour moi le point essentiel, c’est la vitesse à laquelle on doit aujourd’hui réagir sur ce marché, où il y a clairement débordement. Tous les acteurs, clients, entreprises, que l’on rencontre aujourd’hui doivent mettre à disposition des services IT auprès d’une communauté, que ce soit leurs employés ou un écosystème, ils sont confrontés au Cloud en tant qu’offre concurrente alternative. Ils le sont tous. Soit d’un coup, du vendredi au lundi, ils doivent expliquer pourquoi ils ne savent pas faire aussi vite, aussi agile, aussi peu cher, aussi sexy ; soit ils ont eu matière à se poser, à réfléchir et à proposer des alternatives en fonction des typologies de services.

Je pense que la 1ère chose à laquelle il faut réfléchir, c’est la mise en œuvre d’un catalogue de services et à l’outiller très vite pour mettre à disposition et tester ce type d’approche sur le marché.

Olivier Bellin (CBP) : Il est clair qu’effectivement aujourd’hui le problème de la sécurité, et vous en avez conscience, est fondamental puisqu’il induit la confiance du client. Or, quand vous connaissez ces clients depuis très longtemps, la question que je vous invite à vous poser et à laquelle vous devez trouver une réponse très rapidement (Laurent Glaenzer a certainement des réponses à vous fournir) c’est : aujourd’hui, en cas de problème, qui est responsable sur une offre Cloud ? Regardez bien vos contrats, faites-vous conseiller par des avocats spécialisés, demandez de l’aide à vos fournisseurs. Qui, de l’hébergeur, du partenaire, du fournisseur,… porte la responsabilité s’il y a une interruption de service ? Et qui paye les pénalités ?

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?