Dossier du CCTI L informatique en nuage : une introduction

Dossier du CCTI L informatique en nuage : une introduction Malik Datardina, CA Yvon Audette, CGEIT PUBLIÉ À L ORIGINE PAR L UNE DES ORGANISATIONS UNIFIÉES AU SEIN DE CPA CANADA

Dossier du CCTI L informatique en nuage : une introduction Malik Datardina, CA Yvon Audette, CGEIT Le présent document, initialement publié par l Institut Canadien des Comptables Agréés en 2010, a été mis à jour par les Comptables professionnels agréés du Canada.

ii Dossier du CCTI L informatique en nuage : une introduction Auteur et directeur de projet Malik Datardina, CA, CISA Coauteur Yvon Audette, CGEIT Comité consultatif sur les technologies de l information Président Ray Henrickson, CA IT, CA CISA, Scotiabank, Toronto Membres Chris Anderson CA(NZ), CISA, CMC, CISSP, PCI QSA, Grant Thornton, Toronto Efrim Boritz, FCA, CA TI/CISA, Ph.D., Université de Waterloo, Toronto Nancy Y. Cheng, FCA, Bureau du vérificateur général du Canada, Ottawa Malik Datardina, CA, CISA, Data Sync Consulting Inc., Mississauga (conseiller du Comité) Mario Durigon, CA, KPMG LLP, Toronto Henry Grunberg, CA TI, Ernst & Young LLP, Toronto Andrew Kwong, CA, Deloitte & Touche LLP, Toronto Carole Le Néal, CISA, CISSP, CIA, Mouvement des caisses Desjardins, Montréal Richard Livesley, Bank of Montreal, Toronto Robert G. Parker, FCA, CA CISA, Deloitte & Touche LLP, Toronto Robert J. Reimer, CA TI, CA CISA, CISM, PricewaterhouseCoopers LLP, Winnipeg Permanent de l ICCA Bryan C. Walker, CA, Directeur, Orientation et soutien Le Comité consultatif sur les technologies de l information (CCTI) relève de la division Développement des connaissances de l ICCA. Il joue un rôle de soutien et de conseil sur les questions de TI qui ont une incidence sur la profession de CA et sur le milieu des affaires. 2010 L Institut Canadien des Comptables Agréés Tous droits réservés. Cette publication est protégée par des droits d auteur et ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise de quelque manière que ce soit (électroniquement, mécaniquement, par photocopie, enregistrement ou toute autre méthode) sans autorisation écrite préalable. Pour obtenir des renseignements concernant l obtention de cette autorisation, veuillez écrire à permissions@cica.ca.

Dossier du CCTI L informatique en nuage : une introduction 1 INTRODUCTION L informatique en nuage est rapidement passée du stade de concept à celui de phénomène largement répandu. En 2008, Nick Carr a publié The Big Switch (Le grand virage), l une des premières tentatives d exploration de l impact de l «informatique à la demande», la capacité de payer des ressources informatiques au compteur. En trois ans, ce phénomène est devenu monnaie courante, non seulement par l intermédiaire des publicités imprimées et télévisées de Microsoft 1, mais aussi lorsque Amazon a hébergé (puis «déshébergé») Wikileaks dans le cadre de son offre de services en nuage, Amazon Web Services. Dans cette note d information du CCTI, nous allons examiner quelques aspects clés de l informatique en nuage. Nous commencerons par la définition généralement acceptée de ce qu est l informatique en nuage, puis nous déterminerons quelle est sa proposition de valeur, nous étudierons les implications de ce concept en matière d audit et de contrôle, puis nous finirons par une liste de ressources complémentaires sur l informatique en nuage. 1 Exemple de telles publicités à cette adresse : http://www.youtube.com/watch?v= -HRrbLA7rss&feature=relmfu (en anglais)

2 Dossier du CCTI L informatique en nuage : une introduction

Dossier du CCTI L informatique en nuage : une introduction 3 QU EST-CE QUE L INFORMATIQUE EN NUAGE? Bien qu il n existe aucune définition officielle de l informatique en nuage, celle du National Institute of Standards and Technology (NIST) est plus ou moins devenue la norme de facto. Comme nous allons le voir plus en détail ci-après, cette définition traite des éléments suivants : 1. Les modèles de services en nuage, 2. Les caractéristiques de l informatique en nuage, et 3. Les modèles de déploiement du nuage. 1. Modèles de services en nuage Les modèles de services en nuage sont couramment qualifiés de «modèles SPI», car ils reposent sur les services de base proposés par les fournisseurs de services en nuage, à savoir SaaS (Software as-a-service, ou logiciel-service), PaaS (Platform-as-a-Service, ou plateforme-service) et IaaS (Infrastructure as-a-service, ou infrastructure-service) 2. SaaS (logiciel-service) Le NIST définit les fournisseurs de SaaS comme des entreprises permettant à leurs clients d accéder aux «applications du fournisseur qui s exécutent sur une infrastructure en nuage». Ces services en nuage sont consommés directement par l intermédiaire d un navigateur. L exemple le plus marquant de cette catégorie est Salesforce. com. Cette entreprise est présente depuis plus de 10 ans dans le domaine des systèmes de gestion des relations clients (CRM) à base de nuage. On peut citer également des exemples tels que Google Apps 3, Intuit 4 et plusieurs autres. Pour d autres exemples, reportez-vous à la section intitulée «Valeur de l informatique en nuage». PaaS (plateforme-service) Les fournisseurs de services en nuage de cette catégorie s occupent de l infrastructure sous-jacente, mais fournissent les outils nécessaires pour créer les applications 5. Selon le fournisseur de PaaS, les utilisateurs ont la possibilité de fournir les applications directement à leurs clients via le Web ou uniquement aux employés de l entreprise. Google App Engine (qui permet le développement dans les langages de programmation Python ou Java) et Microsoft Windows Azure (qui prend en charge l infrastructure de développement.net) sont deux exemples de fournisseurs de PaaS. 2 Pour une liste plus complète, voir David S. Linthicum, Cloud Computing and SOA Convergence in your Enterprise (Boston : Addison-Wesley Professional, 2009). 3 www.google.com/apps/intl/fr/business/index.html 4 http://quickbooksonline.intuit.com (en anglais) 5 Pour plus d information sur ces définitions, voir : http://www.csrc.nist.gov/groups/sns/cloudcomputing/cloud-def-v15.doc (en anglais)

4 Dossier du CCTI L informatique en nuage : une introduction Certains fournisseurs de PaaS assurent le développement pour une autre offre de SaaS (logiciel-service). Par exemple, Bungee Labs a élaboré une application de gestion des stocks qui s intègre en toute transparence à l application de gestion de la clientèle (CRM) de Salesforce.com. Les entreprises SaaS elles-mêmes peuvent également proposer des services PaaS. Par exemple, des entreprises telles que Salesforce et Intuit mettent des services PaaS (force.com et Intuit Partner Platform, respectivement) à la disposition des programmeurs pour leur permettre de créer des applications destinées aux clients de leurs propres offres SaaS. IaaS (infrastructure-service) Selon la définition du NIST, les entreprises IaaS «assurent le traitement, le stockage, les réseaux et toutes les ressources informatiques fondamentales qui permettent au consommateur de déployer et d exécuter un logiciel arbitraire, ce qui peut inclure des systèmes d exploitation et des applications 6». Amazon Web Services (AWS) est de loin le plus important fournisseur de services IaaS. Cette entreprise propose Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Virtual Private Cloud (VPC), Amazon SimpleDB et d autres offres de services en nuage. Grâce au service EC2, les clients peuvent déployer des images AMI (Amazon Machine Images), qui consistent en un «système d exploitation et en logiciels d application préconfigurés utilisés pour créer une machine virtuelle 7». Par le biais de ces instances virtuelles, les entreprises peuvent héberger leur propre application interne, ainsi qu un site Web accessible au public en général. L exemple le plus connu de ce type de site Web est probablement Wikileaks, qui a été brièvement hébergé par Amazon en 2010. Rackspace, GoGrid et Storm On Demand Cloud Hosting sont d autres exemples de fournisseurs de services IaaS. D autres acteurs du secteur IaaS sont des entreprises telles que Rightscale, qui offrent des services de gestion de nuage. Rightscale propose «ServerTemplates 8» qui peut être déployé de façon transparente sur de nombreux fournisseurs de nuage (par exemple AWS, Rackspace, etc.). 6 Pour plus d information sur ces définitions, voir : http://csrc.nist.gov/groups/sns/cloud-computing/cloud-def-v15.doc (en anglais) 7 Source : Amazon; voir : http://aws.amazon.com/amis (en anglais) 8 Pour en savoir plus sur les différences entre le service ServerTemplate de Rightscale et les images machine (proposées par exemple par Amazon ou d autres fournisseurs IaaS), voir : www. rightscale.com/products/advantages/servertemplates-vs-machine-images.php (en anglais)

Dossier du CCTI L informatique en nuage : une introduction 5 2. Caractéristiques du nuage En plus de définir des modèles de nuage spécifiques, le NIST a identifié les caractéristiques clés d un nuage : «Large accès au réseau» : comme l indique le terme «nuage», le traitement s effectue chez le fournisseur de services en nuage. L utilisateur a donc la possibilité d accéder à l application par l intermédiaire d un navigateur ou d une autre «plateforme client légère ou lourde» installée sur son bureau, son téléphone intelligent, sa tablette ou tout autre appareil informatique. «Élasticité rapide» et «libre-service à la demande» : l informatique en nuage a la capacité de s étendre et de se réduire à la demande. Si la demande de l entreprise en ressources informatiques augmente, le fournisseur de services en nuage peut augmenter son approvi sionnement en ressources de façon entièrement automatisée, sans aucune intervention manuelle de sa part. «Service mesuré» et tarification à l utilisation : le NIST souligne que les services doivent être délivrés de façon transparente pour l utilisateur. Du point de vue de la tarification, cela signifie que les services en nuage sont vendus en fonction de l utilisation plutôt que de nécessiter un investissement initial important en termes de matériel, de logiciel ou de quantité de ressources informatiques. Les nuages permettent au client de payer uniquement pour les ressources qu il utilise, tout comme pour les services publics; c est ce qu on appelle l «informatique à la demande». L unité de mesure de l utilisation varie d un fournisseur à l autre. Par exemple, les services AWS sont vendus à l heure, alors que la tarification de Google Apps est basée sur le nombre d utilisateurs. «Mise en commun des ressources» : les vendeurs de services informatiques peuvent desservir plusieurs clients avec des ressources informatiques mises en commun qui utilisent «un modèle de service partagé dans lequel différentes ressources physiques et virtuelles sont affectées et réaffectées dynamiquement en fonction de la demande du client». Une des conséquences de ce modèle est que l emplacement physique exact des ressources informatiques peut ne pas être connu, mais peut se trouver à un niveau d abstraction plus élevé (par exemple un pays, un état ou un centre de traitement)».

6 Dossier du CCTI L informatique en nuage : une introduction 3. Modèles de déploiement du nuage Les modèles de déploiement du nuage identifiés par le NIST sont différenciés en fonction du niveau de contrôle et de propriété qu un client ou groupe de clients a sur l infrastructure sous-jacente du nuage, ainsi que de l endroit où le nuage est hébergé. Le modèle implique également le niveau de panachage des données, c est-à-dire que plusieurs clients se partagent les ressources informatiques mises en commun. Ces modèles sont les suivants : Nuage public : l infrastructure du nuage est hébergée par un fournisseur externe, comme Salesforce (SaaS), Microsoft Azure (PaaS) ou Amazon Web Services (IaaS). Les technologies sous-jacentes sont contrôlées par le fournisseur et les données du client sont panachées avec les données d autres clients qui achètent également des services à ce fournisseur. Nuage privé : aucun panachage des données n a lieu dans ce modèle car l infrastructure du nuage est soit hébergée à l interne, soit hébergée auprès d un fournisseur externe qui gère le nuage exclusivement pour ce client. Nuage communautaire : l infrastructure du nuage est contrôlée par plusieurs clients qui se rassemblent pour former un nuage répondant à leurs besoins spécifiques, en particulier d un point de vue de contrôle, de sécurité et de conformité. Par exemple, l Hôpital Mont-Sinaï et 14 autres hôpitaux locaux de Toronto travaillent à la mise sur pied d un nuage communautaire pour accéder à une application d échographie fœtale et stocker les données de patients 9. Nuage hybride : le NIST définit ce modèle comme une infrastructure de nuage formée de «deux ou plusieurs nuages (privés, communautaires ou publics) qui demeurent des entités uniques mais sont reliés par une technologie standardisée ou propriétaire permettant la portabilité des données et des applications». Les nuages privés sont-ils vraiment des nuages et sont-ils intrinsèquement plus sûrs? Le modèle de nuage privé était à l origine celui qui soulevait le plus la controverse. Contrairement aux nuages publics, ce modèle ne possède pas l avantage de coût inhérent à l utilisation des ressources à la demande. Par ailleurs, l infrastructure matérielle et logicielle sous-jacente doit être achetée à l avance. Pourtant, son principal avantage par rapport au modèle de nuage public est qu il demeure sous le contrôle exclusif du client. Bien que cela ne protège pas l environnement informatique contre les risques de sécurité traditionnels tels que logiciels malveillants, piratage et autres, cela garantit que les données sont physiquement séparées des autres entités. Cet avantage est important, car une enquête menée sous l égide de Novell a montré que 91 % des répondants étaient préoccupés par les problèmes de sécurité associés au nuage public, et que 50 % identifiaient la sécurité comme le principal obstacle à leur adoption du nuage. 9 Laura Smith, «A health care community cloud takes shape», http://searchcio. techtarget.com/news/2240026119/a-health-care-community-cloud-takes-shape (21 décembre 2010).

Dossier du CCTI L informatique en nuage : une introduction 7 Un autre point de vue est que les nuages privés constituent le début d une démarche qui peut mener à l utilisation de nuages publics. La même enquête de Novell a montré que 89 % des personnes interrogées considéraient les nuages privés comme «la prochaine étape logique pour les organisations qui recouraient déjà à la virtualisation 10». Jim Ebzery, un dirigeant de Novell, a souligné que les entreprises commençaient par un nuage privé dans le but de passer aux nuages publics. Ce point de vue est également partagé par Thomas Bittman, analyste chez Gartner, qui voit le nuage privé comme un «marchepied» possible vers le nuage public 11. Cela dit, les nuages privés ne sont pas automatiquement plus sûrs que les nuages publics. Comme le souligne George Reese 12, la clé du déploiement sécurisé d une infrastructure en nuage public est la transparence. Il ne faut pas confondre cet objectif avec l impression trompeuse que la transparence est synonyme de sécurité. La transparence est un élément nécessaire pour évaluer les risques inhérents à toute infrastructure. Cela peut également vous aider à établir des contrôles de compensation pour répondre à des situations insatisfaisantes sur l infrastructure cible Cependant, la transparence ne rend pas comme par magie n importe quel environnement plus sûr 13. Pour viser une solution plus sûre que le nuage public, les entreprises doivent s entourer des talents nécessaires pour sécuriser l infrastructure de nuage sous-jacente. Reese souligne également que «les services TI des entreprises peu techniques sont en général moins compétents en tant que groupe en matière de sécurité des TI que leurs équivalents sur un nuage public». Ainsi, les nuages privés ne sont pas intrinsèquement plus sûrs, mais ils garantissent un contrôle direct de l infrastructure de nuage sous-jacente à l entreprise qui déploie le nuage. 10 «Novell survey reveals widespread enterprise adoption of private clouds», www.informationweek.in/cloud_computing/10-10-05/novell_survey_reveals_ widespread_enterprise_adoption_of_private_clouds.aspx (5 octobre 2010). 11 http://blogs.gartner.com/thomas_bittman/2009/10/22/talk-of-clouds-andvirtualization-in-orlando/ 12 George Reese, Cloud Application Architectures: Building Applications and Infrastructure in the Cloud (Sebastopol : O Reilly, 3 avril 2009), inclus dans la liste des lectures complémentaires ci-après. 13 George Reese, «The Delusion of Private Cloud Security», http://broadcast.oreilly.com/2010/08/ the-delusion-of-private-cloud-security.html (7 août 2010).

8 Dossier du CCTI L informatique en nuage : une introduction

Dossier du CCTI L informatique en nuage : une introduction 9 LA VALEUR DE L INFORMATIQUE EN NUAGE En réalité, il n y a rien de technologiquement nouveau dans l informatique en nuage : la virtualisation, le service partagé et d autres technologies à la base de l informatique en nuage existent depuis longtemps. De plus, les nuages publics comme Salesforce. com, Netsuite, Hotmail et autres, sont sur le marché depuis au moins la fin des années 90. Cependant, ce qui est nouveau, c est que le nuage offre une nouvelle façon de consommer les TI : les ressources informatiques peuvent être louées. Ce glissement apparemment mineur est source de nombreux avantages, comme expliqué ci-après. Possibilité de financer des projets TI sur les dépenses de fonctionnement Avec la possibilité de louer leurs ressources informatiques, les entreprises peuvent transférer leurs frais de TI des dépenses en capital («CapEx») aux dépenses de fonctionnement («OpEx»). Pour les jeunes entreprises en développement, c est un avantage particulièrement intéressant : elles peuvent en effet préserver leur capital en louant les ressources dont elles ont besoin. Toutes les entreprises qui veulent poursuivre leurs projets TI mais qui éprouvent des difficultés à obtenir le capital initial peuvent également tirer parti de l informatique en nuage de cette façon. Approche de la technologie basée sur le paiement à l utilisation Avant l informatique en nuage, les entreprises devaient trouver des millions de dollars pour créer des centres de traitement destinés à héberger et à mettre en œuvre leurs applications. Les entreprises présentes uniquement sur le Web ou délivrant du contenu sur le Web (par exemple de la vidéo à la demande) faisaient face au défi supplémentaire de devoir acheter la capacité appropriée : une trop grosse dépense risquait de grever leur capital sans générer de revenu et une trop faible dépense entraînait une mauvaise expérience utilisateur, source de perte de clientèle. Avec l informatique en nuage, ces entreprises paient exactement les ressources qu elles utilisent. Pour une jeune entreprise en démarrage, cela permet une meilleure adéquation des sorties de fonds (en technologie) à l utilisation de leurs services. Les entreprises qui optent pour un modèle de déploiement de nuage hybride peuvent utiliser des nuages privés pour faire face aux niveaux attendus d utilisation des ressources, mais transférer le traitement sur le nuage public pour faire face aux pics de demande imprévus.

10 Dossier du CCTI L informatique en nuage : une introduction Maintenance, correctifs et mises à niveau exécutés par logiciel-service (SaaS) Dans un environnement SaaS, les correctifs, les mises à niveau et autres frais de maintenance sont inclus dans l abonnement. Par exemple, Workday 14 met automatiquement à niveau son application tous les quatre mois. IaaS possède un avantage partiel dans ce domaine. La maintenance quotidienne effective des systèmes appartient au fournisseur de services IaaS, mais «la plus grande partie des coûts de gestion du logiciel demeure les mises à niveau, l application de correctifs, etc. 15». Pour les entreprises PaaS, l application des correctifs sur le serveur sous-jacent revient au fournisseur, mais l application des correctifs de l application revient à l utilisateur (c est-à-dire le développeur de l application) 16. Utilisation plus efficace des ressources informatiques Les avantages cités ci-dessus sont généralement obtenus par l utilisation de nuages publics. Cependant, nuages publics et nuages privés bénéficient tous deux d une allocation plus efficace des ressources informatiques. Grâce au déploiement de nuages privés, les entreprises peuvent consolider leurs ressources. Par exemple, avec la virtualisation, plusieurs serveurs peuvent être hébergés dans un seul environnement physique. De même, par l auto-approvisionnement automatisé des ressources, les utilisateurs peuvent déployer un serveur virtuel en quelques minutes sans avoir à attendre des mois que le service de TI interne achète, adapte et installe le serveur. Les nuages publics, comme expliqué plus haut, permettent aux entreprises d étendre et de réduire leurs ressources pour s adapter au trafic ou au volume auquel elles font face. Voici quelques exemples qui illustrent les avantages ci-dessus : Flightcaster 17 est une jeune entreprise en démarrage qui propose une application mobile pour prévoir les retards de vols. Le programme intègre les données de la FAA, des compagnies aériennes et des services météorologiques et utilise, pour faire ses prédictions, des techniques d inférence et d apprentissage automatique (ou analytique gourmande en ressources TI) utilisées par les Facebook, Google et autres. Bien que cela soit technique, cela reflète le fait que le modèle de gestion de l entreprise repose sur des ressources TI de grande puissance. Selon Bradford Cross, architecte principal à Flightcaster, seulement deux personnes (dont lui-même) ont conçu toute l intelligence et les analyses évolutives. Il explique que cet effort aurait été impossible deux ans auparavant, car il dépend d approvisionnement en ressources TI sur le nuage. Cela aurait coûté des millions de dollars pour créer les systèmes tolérants aux pannes sousjacents et Flightcaster aurait dû embaucher et payer le personnel nécessaire pour en assurer la maintenance 18. 14 www.workday.com; pour en savoir plus sur l offre de Workday, voir la section de cet article intitulée «Are clouds less expensive?» (en anglais). 15 Michael Armburst, et al., «Above the Clouds: A Berkeley View of Cloud Computing» (10 février 2009), p. 13, www.eecs.berkeley.edu/pubs/techrpts/2009/eecs-2009-28.html 16 Tim Mather et al., «Cloud Security and Privacy» (Cambridge : O Reilly Media Inc, 2009), p. 131. 17 www.flightcaster.com (en anglais) 18 John M. Willis, «Haddop and Cascading With Flightcaster», www.johnmwillis.com/ec2/cloudcafe-38-haddop-and-cascasding-with-flightcaster (19 août 2009).

Dossier du CCTI L informatique en nuage : une introduction 11 Animoto 19 est une autre jeune entreprise en démarrage qui tire parti de l informatique en nuage. Cette entreprise offre une application qui crée des vidéos en combinant des photos téléchargées par les utilisateurs avec de la musique en utilisant un programme spécial pour la synchronisation. Elle a utilisé Rightscale pour gérer son infrastructure d informatique en nuage. Une fois cette infrastructure en place, elle a été capable d augmenter de façon transparente le volume de son environnement de 25 000 utilisateurs (environ 50 serveurs) à 250 000 utilisateurs (environ 3 500 serveurs), et ce, en trois jours 20. Le Washington Post a utilisé l informatique en nuage pour convertir 17 481 pages PDF non interrogeables en texte lisible par la machine. À l aide du service EC2 d Amazon, l entreprise a activé 200 instances de serveurs et a effectué le travail en 26 heures. Le coût : 144,62 $ 21. Le New York Times a utilisé le nuage d une manière similaire, en convertissant 11 millions d articles, ou 4 téraoctets de fichiers TIFF, en fichiers PDF plus faciles à diffuser. Ce travail a coûté 240 $ et a été effectué en 24 heures sur 100 serveurs. Derek Gottfrid, le programmeur logiciel du NY Times qui a dirigé le travail, a admis qu en d autres circonstances, l entreprise aurait probablement abandonné le projet en raison de coûts trop élevés ou de problèmes de ressources 22. Les nuages sont-ils moins onéreux? Certains estiment que les nuages sont des solutions moins onéreuses que les applications sur site. Par exemple, Workday fournit des logiciels destinés à l entreprise (gestion des ressources humaines, paye et gestion financière) par l intermédiaire d un modèle de logiciel-service. Selon le président-directeur général adjoint de l entreprise, Aneel Bhusri, Workday est une meilleure solution parce qu elle est moins chère et peut être mise en œuvre plus rapidement. Selon Bhusri, Sony Pictures Entertainment a choisi Workday pour les raisons suivantes : «moitié du temps et un tiers du coût», et cela en dépit du fait que Sony Pictures Entertainment avait déjà payé les licences d utilisation du logiciel de ressources humaines SAP 23. Bien que cet exemple tende à démontrer que le nuage est plus rentable, il y a de nombreux facteurs à considérer lors de l évaluation des économies assurées par le nuage, par exemple : Analyse de rentabilité : avant d examiner les problèmes de coûts, l entreprise doit procéder à une analyse de rentabilité précise pour l utilisation de l informatique en nuage. Dans certains cas, les avantages sont indubitables, comme pour le Washington Post et le New York Times. Dans d autres cas, les responsables doivent s asseoir avec leurs directeurs informatiques et déterminer en quoi les avantages de l informatique en nuage présentés ci-dessus amélioreront leur capacité à mieux servir leurs clients et à assurer davantage de valeur à leurs actionnaires. De plus, des préoccupations telles que la confidentialité, la sécurité et d autres exigences de conformité peuvent s avérer des obstacles insurmontables. Dans de telles situations, les économies de coûts ne sont plus pertinentes. 19 www.animoto.com (en anglais) 20 «Animoto s Facebook scale-up», http://blog.rightscale.com/2008/04/23/animoto-facebookscale-up (23 avril 2008). 21 http://aws.amazon.com/solutions/case-studies/washington-post (en anglais) 22 Nicholas Carr, «The new economics of computing», www.roughtype.com/ archives/2008/11/the_new_economi.php (5 novembre 2008). 23 Dana Gardner, «Move to Cloud Increasingly Requires Adoption of Modern Middleware to Support PaaS and Dynamic Workloads», http://briefingsdirect.blogspot. com/2009/10/executive-interview-workdays-aneel.html (14 octobre 2009).

12 Dossier du CCTI L informatique en nuage : une introduction Largeur de bande : afin de déterminer le coût de la largeur de bande, il est nécessaire d estimer la quantité de données qui seront transférées du fournisseur de nuage au client. Les montants facturés varient selon les fournisseurs. Par exemple, Microsoft demande 10 cents pour télécharger des données vers l amont et 15 cents vers l aval 24. Selon Bernard Golden, auteur d ouvrages sur la virtualisation et consultant dans le domaine de l informatique en nuage, ce coût est la principale source d écarts dans le processus d évaluation 25. De même, la largeur de bande fournie par le fournisseur de services Internet (FSI) peut s avérer insuffisante pour prendre en charge les exigences de l application en termes de volume de données 26. Intégration : les entreprises doivent également évaluer les efforts et les ressources nécessaires pour intégrer la nouvelle application en nuage, à la fois à des logiciels sur site et à d autres applications situées sur le nuage. Cela peut s avérer particulièrement difficile avec les applications patrimoniales. Par exemple, une entreprise a dû créer sa propre interface pour intégrer une application en nuage à un logiciel sur site qui s exécutait sur un serveur AS/400 27. Prix au comptant et prix de gros : comme le souligne Frank Gillett, de Forrester, la consommation de TI par l intermédiaire du nuage est l équivalent d acheter des services publics sur le «marché au comptant; cela revient plus cher de payer à l heure que de consentir un investissement initial 28». On peut même aller plus loin et dire que lorsqu une entreprise atteint une certaine taille, il est probable qu il lui sera plus rentable d héberger ses propres applications et l infrastructure nécessaire, plutôt que de les louer auprès d un fournisseur d infrastructure-service. 24 Allan Leinwand, «The Hidden Cost of the Cloud: Bandwidth Charges» (17 juillet 2009). http:// gigaom.com/2009/07/17/the-hidden-cost-of-the-cloud-bandwidth-charges 25 Bernard Golden, «The Skinny Straw: Cloud Computing s Bottleneck and How to Address It», www.cio.com/article/499137/the_skinny_straw_cloud_computing_s_bottleneck_and_how_ to_address_it (6 août 2009). 26 Ibid. 27 Kim S. Nash, «Cloud Computing: What CIOs Need to Know About Integration» www.cio.com/article/593811/cloud_computing_what_cios_need_to_know_about_integration (15 mai 2010). 28 Dana Gardner, «Dana Gardner Interviews Forrester s Frank Gillett on Future of Mission-Critical Cloud Computing», http://briefingsdirect.blogspot.com/2009/06/danagardner-interviews-forresters.html (1 er juin 2009).

Dossier du CCTI L informatique en nuage : une introduction 13

14 Dossier du CCTI L informatique en nuage : une introduction RISQUES ET DÉFIS DU NUAGE Il est important de souligner que l adoption de l informatique en nuage en est encore à ses tout débuts. Au moment de la publication de cette note d information du CCTI, l informatique en nuage était en phase de «pic des espérances» du Hype Cycle de Gartner et entrait en phase de «désillusionnement» 29. C est pourquoi de nombreux risques et défis doivent être pris en considération. Gouvernance Comme l illustre l «analyse de rentabilité du nuage» effectuée avec le Washington Post et le New York Times, un employé peut s acheter des services d informatique en nuage avec sa carte de crédit. Cela ouvre la porte à d éventuels «nuages incontrôlables» : le risque que certains groupes d une entreprise achètent des services d informatique en nuage par l intermédiaire du «processus de note de frais», en contournant le processus normal et contrôlé d approvisionnement des TI 30. Cela n aboutira pas uniquement à exposer les données aux risques propres aux nuages, mais également à entraîner des dépassements de coûts 31. En ce qui concerne ces derniers, le risque est comparable au fait de passer d une location d appartement «tous services inclus» à une location «électricité en sus» : les premières factures seront probablement élevées, car l utilisateur n est pas habitué à se voir facturer les ressources utilisées. De plus, si l application devient importante pour le fonctionnement global de l organisation, les TI seront confrontées au défi d intégrer le nuage dans le reste de l environnement informatique sur site. Cependant, l implication clé de ce risque est que les entreprises peuvent être déjà sur le nuage sans le savoir. Comme pour les projets d impartition traditionnels, le problème de la viabilité du fournisseur est aussi un point important à considérer. Digital Railroad, un service basé sur le nuage assurant le stockage et la vente de photos pour le compte de photographes professionnels, a soudainement fermé ses portes. Un autre risque est que le fournisseur, bien que viable, soit acheté. Cela laisserait le client à la merci de l entreprise acheteuse, qui pourrait fermer le service que le client utilise. Ces deux problèmes illustrent le fait que même si le nuage est une nouvelle façon de s approvisionner en technologie, les entreprises doivent néanmoins mettre en place des stratégies de sauvegarde et de disponibilité pour s assurer que leurs données demeurent disponibles indépendamment du nuage. L autre défi ayant trait à la viabilité du fournisseur est de comprendre ses dépendances. Par exemple, la panne du service de stockage en nuage S3 d Amazon a empêché Twitter de gérer les avatars de ses utilisateurs 32. En d autres termes, lorsqu une compagnie se fie à Twitter, elle se fie également à Amazon. 29 «Gartner s 2010 Hype Cycle Special Report Evaluates Maturity of 1,800 Technologies», www. gartner.com/it/page.jsp?id=1447613 (7 octobre 2010). 30 Chris Murphy, «Get Ready For Rogue Clouds», http://informationweek.com/blog/main/ archives/2008/12/get_ready_for_r.html (9 décembre 2008). 31 Daryl C. Plummer, «Cloud Elasticity Could Make You Go Broke», http://blogs.gartner.com/daryl_ plummer/2009/03/11/cloud-elasticity-could-make-you-go-broke (11 mars 2009). 32 Jon Brodkin, «More outages hit Amazon s S3 storage service», www.computerworlduk.com/ news/security/10155/more-outages-hit-amazons-s3-storage-service (22 juillet 2008).

Dossier du CCTI L informatique en nuage : une introduction 15 Sécurité Comme l a souligné l enquête de Novell, la préoccupation majeure en ce qui concerne l informatique en nuage est la sécurité. Une fois que l information se trouve sur un nuage public en-dehors du pare-feu de l entreprise il existe un risque qu elle soit accessible à des utilisateurs non autorisés. Cela est dû au fait que l informatique en nuage recourt au partage, dans lequel les données de plusieurs clients sont mêlées au sein de l application du fournisseur d informatique en nuage. Un exemple d un tel risque pour un fournisseur IaaS (par exemple AWS) est l «attaque latérale», qui permet à un éventuel utilisateur mal intentionné d accéder aux ressources informatiques d une organisation 33. Pour ce faire, les attaquants identifient l emplacement de l instance de la victime, deviennent «corésidents» de leur victime et exploitent l information diffusée par la machine virtuelle pour placer leur attaque 34. L autre risque lié au partage est que le fournisseur de nuage divulgue accidentellement l information au mauvais utilisateur. Par exemple, Google Docs a connu une faille de sécurité qui a entraîné le partage accidentel de documents avec quiconque avait déjà été autorisé à consulter ces documents par le passé 35. Les risques de sécurité émergent aussi de la virtualisation, dont dépendent de nombreux déploiements de nuages. Selon Gartner, 60 pour cent des serveurs virtualisés seraient moins sûrs que les serveurs physiques qu ils remplacent 36. Certains de ces problèmes sont dus à des raisons techniques, mais ce communiqué de presse de Gartner souligne également un manque de contrôle de l organisation, comme ne pas impliquer les responsables de la sécurité de l information dans les projets de virtualisation et une attention inadéquate portée à la séparation des tâches. Couvrir tous les problèmes de sécurité associés à l informatique en nuage va bien audelà de l objet du présent document. Cependant, il existe de nombreuses ressources pour en savoir plus. Reportez-vous aux sections ci-après intitulées «Directives de sécurité et normes pour le nuage» et «Informatique en nuage : ressources complémentaires». Audit Les auditeurs internes et externes seront amenés à faire face aux défis de l informatique en nuage public lorsqu elle s intégrera à des processus dont ils sont supposés assurer la conformité. Comme les fournisseurs de services en nuage sont indépendants, il est nécessaire de pouvoir vérifier leurs installations ou alors d obtenir un rapport sur leurs contrôles. D un point de vue proactif, les auditeurs devraient travailler avec les TI ou d autres services utilisant les nuages publics pour s assurer que les ententes qu ils ont conclues avec les fournisseurs de nuages publics comportent une clause d audit ou alors une disposition pour permettre un rapport sur les contrôles, comme un rapport SysTrust. 33 Thomas Ristenpart et al., «Hey, You, Get Off of My Cloud! Exploring Information Leakage in Third- Party Compute Clouds», Proceedings of the ACM Conference on Computer and Communications Security (CCS) (Chicago, IL, novembre 2009), http://cseweb.ucsd.edu/~savage/papers/ccs09.pdf 34 Ibid. 35 Jason Kincaid, «Google Privacy Blunder Shares Your Docs Without Permission», http://techcrunch.com/2009/03/07/huge-google-privacy-blunder-shares-your-docs-withoutpermission (7 mars 2009). 36 «Gartner Says 60 Percent of Virtualized Servers Will Be Less Secure Than the Physical Servers They Replace Through 2012», www.gartner.com/it/page.jsp?id=1322414 (15 mars 2010).

16 Dossier du CCTI L informatique en nuage : une introduction Bien qu il s agisse là d une pratique exemplaire, les auditeurs doivent être conscients qu il est peu probable que les grandes entreprises, comme Amazon, personnalisent leur offre pour répondre aux besoins de leurs clients. Par exemple, on dit qu Eli Lilly a abandonné tout projet d extension de son utilisation d AWS parce que «les deux parties ne pouvaient s entendre sur les modalités de leur responsabilité légale et des problèmes d indemnisation en cas de pannes ou de brèches de sécurité qui affecteraient les affaires d Eli Lilly 37». Un des défis d audit plus spécifiquement liés au nuage est le problème de la disparition des preuves. La possibilité d utiliser les ressources informatiques seulement quand on en a besoin, comme un service, est un avantage clé de l informatique en nuage. Les utilisateurs peuvent tout simplement «fermer le robinet» quand les ressources ne sont plus nécessaires. Comme le fait remarquer Shahed Latif, de KPMG 38, lorsque le client interrompt le service, la preuve d audit qui réside sur le serveur virtuel disparaît «en même temps qu on ferme le robinet 39». Lors de la planification de l audit, il est également nécessaire de déterminer le nombre de fournisseurs de services en nuage qui participent effectivement à l application utilisée par l entreprise ou le client. Comme discuté à la section Modèles de services en nuage ci-dessus, les entreprises SaaS donnent l opportunité aux développeurs indépendants de créer des applications qui seront vendues à leurs clients SaaS. Comme ces applications peuvent s intégrer de façon transparente à l application SaaS, l utilisateur final ne sait peut-être pas qu il ne traite pas en fait avec Salesforce.com ou avec Intuit, mais avec un tiers complètement indépendant. Dans les cas où le fournisseur SaaS offre un rapport sur les contrôles, les auditeurs devront évaluer le travail supplémentaire nécessaire pour bien cerner le traitement effectué par l application créée par le développeur tiers. Les plans d audit doivent également déterminer où finit la responsabilité du fournisseur et où commence celle du client. Par exemple, Salesforce.com donne accès à son rapport de services de fiducie, qui aborde la sécurité, la confidentialité et la disponibilité 40. Cependant, s assurer que les employés qui ont quitté l entreprise n ont plus accès à une telle application SaaS est de la responsabilité du client. 37 Joe Maitland, «Eli Lilly ends talks to expand Amazon Web Services use», http://searchcloudcomputing.techtarget.com/news/1517662/eli-lilly-ends-talks-to-expand- Amazon-Web-Services-use (2 août 2010). 38 Shahed Latif, coauteur de Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance; voir la section Livres ci-après pour en savoir plus sur cet ouvrage. 39 OreillyMedia, «O Reilly Webcast Cloud Security & Privacy», www.youtube.com/ watch?v=tf2ev5olkbq (30 septembre 2009). 40 Voir http://trust.salesforce.com/trust/assets/pdf/misc_systrust.pdf

Dossier du CCTI L informatique en nuage : une introduction 17 Comme pour la section relative à la sécurité, toute la gamme des problèmes d audit va bien au-delà de l objectif de ce document. Cependant, l ISACA (Information Systems Audit and Control Association) a beaucoup œuvré dans le domaine de l informatique en nuage et propose un certain nombre d articles et de publications pour aider les professionnels de la certification avec les problèmes spécifiques aux nuages 41 : Cloud Computing Management Audit/Assurance Program Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives IT Audit of Cloud and SaaS Making Sure You Really Are Walking on Cloud Nine L AICPA (American Institute of Certificated Public Accountants) ne propose pas de ressources spécifiques à l informatique en nuage mais, au moment de la rédaction de la présente note d information, cet organisme était sur le point de dévoiler des directives pour les nouveaux rapports SOC (Service Organization Control) appelés à remplacer les rapports SAS 70 42 : Rapport SOC 1 Report on Controls at a Service Organization Relevant to User Entities Internal Control over Financial Reporting Rapport SOC 2 Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy Rapport SOC 3 Trust Services Report for Service Organizations. 41 Veuillez noter que ces publications peuvent nécessiter d être membre de l ISACA; pour en savoir plus, voir www.isaca.org (en anglais) 42 Pour en savoir plus, voir www.aicpa.org (en anglais)