Comme l’expliquait Larry Ellison (PDG d’Oracle) à propos du Cloud Computing lors d’une conférence il y a quelques mois, l’industrie informatique est la seule industrie au monde qui soit plus dictée par la mode que la mode féminine elle-même. Il est vrai que le terme « Cloud Computing » (voire même simplement « Cloud » pour les branchés) devient tendance, même si les protagonistes n’en n’ont pas forcément la même vision ni la même définition.
Vis-à-vis de la sécurité, de nombreuses inconnues demeurent : quelle est l’impact sur la sécurité des biens d’une entreprise de la mise en place d’un système d’informations reposant sur le Cloud Computing ? Et quelles sont les responsabilités juridiques des différents intervenants ?
Nous apporterons ici des débuts de réponse car il s’agit de solutions jeunes qui évoluent rapidement en fonction de l’arrivée de nouvelles technologies et de nouveaux besoins de la part des entreprises.
**********
L’objectif du Cloud Computing est de pouvoir répliquer très rapidement le système d’information global d’une organisation auprès d’un prestataire externe, sans se préoccuper du dimensionnement, de la disponibilité ou de la sécurité des ressources mises en œuvre. Pour certains, une infrastructure en Cloud ne constitue simplement qu’en la fourniture de services en mode SaaS (Software as a Service), mais le SaaS n’est qu’un des éléments du Cloud Computing.
Le terme Cloud Computing, que l’on pourrait traduire par « informatique en nuage », est apparu notamment avec l’avènement des technologies de virtualisation, qui permettent de créer des SI flexibles et dynamiques. La notion de Cloud Computing va toutefois plus loin : elle englobe des concepts techniques (virtualisation, provisionning,…), un modèle issu du Web 2.0 (maillage des applicatifs, modèle collaboratif) ainsi que des éléments de SaaS, le tout formant ce que l’on appelle parfois le PaaS : Platform as a Service. Le PaaS  vise à reproduire l’architecture globale d’une plate-forme d’application classique : système d’exploitation, environnement d’exécution, des services d’infrastructure (stockage, intégration, messagerie, authentification…) et éventuellement applicatifs (recherche, cartographie, CRM…).
Le Cloud Computing, c’est avant tout une nouvelle façon d’exploiter et de gérer les ressources informatiques en les confinant dans un nuage qui s’adapte intimement aux besoins métiers des organisations. Avec le Cloud Computing, une organisation ne met plus en place des progiciels (et par conséquent ne les gère plus) mais fait appel aux services dont elle a besoin au moment où elle en a besoin, avec toutes les contraintes de disponibilité et d’intégrité que cela sous-entend. On passe donc d’un modèle économique reposant sur la possession de logiciel vers un modèle de location de services.
En ce qui concerne les offres, de nombreux prestataires de services et éditeurs ont annoncé ou proposent des solutions conçues pour le Cloud. Un des pionniers est sans doute Amazon, avec sa plate-forme EC2 (Elastic Cloud Computing). Amazon fournit de manière dynamique des images virtuelles d’OS et d’applications complets ainsi que divers services associés : base de données (SimpleDB), Stockage (Simple Storage Service ou S3), Messagerie interapplicative (Simple Queue Service ou SQS) et plus récemment un système de diffusion de contenu de type CDN (CloudFront). Un autre précurseur est SalesForce, avec sa plate-forme Force.com et son langage de développement spécifique Apex. Tous les grands éditeurs et prestataires proposent ou vont proposer à court terme des offres taillées pour le Cloud. Citons par exemple Google Apps de Google, Azure de Microsoft ou encore VDC OS de VMware.

Parmi les détracteurs du Cloud Computing, ou plutôt de la surmédiatisation faite autour de ce concept, figure Richard Stallman. Celui que l’on considère parfois comme le ‘père’ de l’Open Source moderne estime que le Cloud Computing menacerait les données privées et verrouillerait les organisations dans des infrastructures et des développements propriétaires.

En ce qui concerne le premier point, les approches divergent énormément d’un pays à l’autre. La Suède par exemple a fait voter récemment une loi donnant les pleins pouvoirs à l’agence d’écoute militaire, lui autorisant à surveiller toutes les communications entrantes et sortantes. En France la LCEN et la loi Hadopi (ou loi Olivennes) tentent de délimiter un cadre règlementaire en ce qui concerne la protection des données et des droits d’auteurs sur Internet (et par conséquent au sin d’un Cloud). Ainsi, l’article 6 de la LCEN consacre de fait une responsabilité civile au fournisseur de service  uniquement dans le cas d'une connaissance avérée par le prestataire de service de la présence d'informations illicites au regard de la loi.
Pour les utilisateurs, il est capital de bien éplucher les contrats des principaux fournisseurs de services de Cloud tant ceux-ci peuvent parfois présenter des clauses nébuleuses.

Il est probablement trop tôt pour pouvoir répondre au second point. Il est vrai que si on considère les principaux acteurs du marché (Amazon, Google, SalesForce, Microsoft…), le portage d’une infrastructure Cloud de l’un vers les autres de ces acteurs nécessite systématiquement de procéder à des développements spécifiques qui peuvent s’avérer couteux, mais il est probable que cette situation évolue dans les mois et années à venir. C’est pour remédier à cela qu’un groupe d'universités américaines vient de créer l'Open Cloud Consortium (OCC), une association qui a pour vocation d’améliorer les performances des technologies impliquées dans le Cloud Computing, et à  promouvoir l'utilisation des logiciels libres et l'interopérabilité entre les implémentations.
Mais n’oublions pas que, outre la confidentialité et l’intégrité des données,  la sécurité concerne aussi la disponibilité de ces données et si le Cloud est bien adapté à ces contraintes de disponibilité du fait de son architecture massivement distribuée, il faut souligner que plusieurs acteurs majeurs du Cloud ont du faire face récemment à des problèmes de disponibilité.  Ainsi, Amazon S3 a connu une interruption de service de 8 heures en Juillet 2008, tout comme Gmail /Google Apps ou Salesforce plus récemment (voir références). Il est primordial pour un utilisateur d’obtenir des SLAs fermes de la part de son fournisseur, quitte à prévoir des indemnités en cas de non respect de ces SLAs. « Le principal risque du Cloud Computing est la discontinuité de service et il faut absolument prévoir contractuellement des plans de reprise pour être opérationnel le plus rapidement possible en cas d'interruption ou de dégradation comme on le fait avec un serveur classique. Si cela n'est pas possible alors il ne faut pas utiliser le Cloud Computing  », estime quant à elle Christiane Féral-Schul, cofondatrice du cabinet Féral Schuhl-Sainte Marie, spécialiste du droit des nouvelles technologies (informatique et télécoms).
**********
Comme nous l’avons vu, le Cloud Computing, même s’il permet aux organisations de devenir extrêmement réactives et agiles, induit cependant une refonte complète de la manière de pratiquer l’informatique, et  par conséquent la manière d’assurer la sécurité des biens et des données. Car si le Cloud masque la réalité des ressources mises en œuvre, il instaure une nouvelle couche d’abstraction qui provoque un déplacement des compétences de l’organisation vers le prestataire de Cloud. Les directions informatiques des utilisateurs se contentant de monitorer l’état de sécurité du nuage, il est vital de choisir les bonnes métriques à employer.

**********

Références

http://www.01net.com/editorial/389985/huit-heures-d-arret-pour-s3-d-amazon/
http://www.01net.com/editorial/389982/gmail-et-google-apps-ne-repondent-plus/
http://www.01net.com/editorial/400041/quarante-minutes-de-panne-generale-chez-salesforce-un-leader-du-cloud-computing/
http://www.generation-nt.com/commenter/stallman-cloud-computing-logiciel-proprietaire-actualite-163041.html
http://www.lemondeinformatique.fr/actualites/lire-l-open-cloud-consortium-veut-promouvoir-un-cloud-computing-ouvert-27802.html
http://fr.wikipedia.org/wiki/Cloud_computing