Louis Naugès

Comme toute innovation majeure, comme toute innovation qui porte en elle de très fortes ruptures, les infrastructures Cloud et les usages SaaS suscitent beaucoup de craintes. J’avais écrit, en 2011, un premier texte sur ce sujet, la néphophobie ou la peur du nuage.

3 ans après, où en est-on ? 

Je vais traiter ce sujet majeur, dont dépend en grande partie la capacité des entreprises à moderniser leur SI, en deux parties :

• Le diagnostic.
• Les remèdes.

La sécurité, un thème récurrent 

Je n’ai pas choisi la date de publication de ce texte par hasard ; dans quelques heures, vont s’ouvrir à Monaco les « Assises de la sécurité et des Systèmes d’Information », la grand-messe annuelle sur ce sujet.

La conférence d’ouverture ou de clôture est souvent réservée au Directeur Général de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information.

En 2011, 2012 et 2013, nous avons eu droit à des discours déraisonnables et dangereux du DG de l’époque, Mr Patrick Pailloux.

Ces discours alarmistes et extrémistes en matière de sécurité sont contre-productifs ; ils obligent les personnes qui veulent travailler efficacement, en utilisant toutes les innovations actuelles de l’informatique à transgresser les règles de sécurité absurdes qui leur sont imposées.

Je prendrai simplement deux exemples :

• WiFi : Il est écrit, dans le « guide d’hygiène de la sécurité » de l’ANSSI :

« Éviter l’usage d’infrastructures sans fil (WiFi). Si l’usage de ces technologies ne peut être évité, cloisonner le réseau d’accès WiFi du reste du système d’information. »

If serait plus efficace d’écrire : l’avenir des accès au système d’information est dans les réseaux sans fil et le WiFi devient le moyen d’accès dominant pour l’immense majorité des objets mobiles, PC, Mac, tablettes ou smartphones. Les RSSI (Responsables de la Sécurité des SI) doivent donc prendre l’initiative de promouvoir l’usage des réseaux WiFi, en expliquant les règles raisonnables de sécurité à suivre pour que le niveau de risques soit minimisé.

• BYOD : quand Mr Pailloux dit, « Je suis contre le BYOD, sans ambiguïté », il mène un combat d’arrière garde, perdu d’avance.

Il serait plus intelligent de dire : « Le BYOD, c’est un mouvement d’avenir, qui va se généraliser rapidement. Prenez les devants et proposez une charte d’accompagnement du BYOD en mettant en évidence les règles de bon sens à suivre pour ne pas créer de risques graves pour l’entreprise. »

J’ai eu le plaisir d’écrire la préface du premier ouvrage en français, publié en septembre 2014, qui aborde toutes les dimensions d’un projet BYOD, y compris bien sur la sécurité. 

Excellente nouvelle : Je viens de lire que le nouveau DG de l’ANSSI, Mr Guillaume Poupart, a choisi comme thème de son discours d’ouverture pour les Assises de 2014 :

                 « Oser dire Oui »

Espérons que c’est le début d’un virage à 180°, positif, qui mettra la sécurité au service de la promotion de l’innovation dans les usages de l’informatique.

Mise à jour du 1er octobre 2014

Quelle déception ! Je pensais qu'il s'agissait de dire oui à l'innovation. Il s'agit, hélas de dire oui à ...

"Guillaume Poupard tenait à rendre hommage aux partenaires qui ont dit « oui » à la Loi de programmation militaire (LPM). "

Comme signe d'ouverture, il y a mieux !

Des inquiétudes, légitimes, sur le Cloud public

Il est normal et sain que le Cloud suscite de nombreuses questions, comme toute innovation majeure.

Je serais très inquiet si je rencontrais un dirigeant d’entreprise, un DSI qui ne se posait pas des questions avant de prendre le virage du Cloud.

Toutes les études sur ce sujet, comme celle réalisée au milieu de l’année 2014 par GigaOm, donnent des résultats concordants :

La sécurité et la confidentialité sont les deux sujets dominants et je vais leur consacrer un paragraphe spécifique.

Quelles sont les autres préoccupations et comment y répondre en quelques mots :

Perte des données : réponse simple, les grands acteurs industriels du Cloud ne perdent jamais de données. La société Backupify, qui gagne sa vie en vendant des services de « back-up » pour Salesforce, Google et autres, annonce clairement que Google n’a jamais perdu une seule donnée.

• Respect des règles juridiques (Compliance en anglais) : aucune entreprise sérieuse n’a envie de se mettre « hors la loi » et il est normal qu’elle s’assure auprès de ses fournisseurs Cloud qu’ils respectent les contraintes spécifiques à leur pays ou leur industrie, ce que font la très grande majorité d’entre eux.
• Impérialisme des grands fournisseurs dominants : nous sommes plus en présence d’oligopoles que de monopoles. La guerre que se livrent les trois géants de l’IaaS (Infrastructure as a Service), Amazon, Google et Microsoft, est une excellente nouvelle pour les entreprises. Quand les fournisseurs historiques, Microsoft, Oracle ou SAP, dominaient encore l’informatique la situation était catastrophique ; posez la question à n’importe quel DSI d’une grande entreprise !
• Réversibilité : on me pose souvent cette question et ma réponse est toujours la même : oui, il est possible de changer de fournisseur dans le Cloud, mais une migration n’est jamais une partie de plaisir. Je réponds aussi avec une question : quelle est la réversibilité d’une solution SAP ou Oracle Applications dans votre entreprise ? Ceci suffit souvent à clore le débat.

Il existe beaucoup d’autres questions, telles que la perte de contrôle ou de compétences internes, l’espionnage industriel... mais je ne peux les traiter toutes ici.

Sécurité et confidentialité du Cloud Public

Des centaines d’études ont été publiées sur ces deux thèmes et beaucoup d’autres vont suivre car le sujet est inépuisable.

Nous avons maintenant des réponses claires concernant la sécurité des fournisseurs industriels de Clouds public ; ils sont beaucoup mieux sécurisés que les centres informatiques internes des entreprises. La perception des DSI et des dirigeants est encore en retard sur la réalité, mais ce décalage se réduit rapidement.

On le voit clairement sur ce graphique, tiré d’une étude publiée par GigaOM en août 2014.

Aujourd’hui, en 2014, la valeur des solutions de Cloud public est très supérieure à celle des « Clouds privés » et ils proposent des niveaux de sécurité qui peuvent être supérieurs.

En 2016, la valeur des Clouds publics augmente et celle des Clouds privés s’effondre. En même temps, les Clouds publics augmentent leur avantage en terme de sécurité.

Cette deuxième enquête récente est aussi réalisée par GigaOM, qui est avec Saugatuck, l’une de mes meilleures sources d’information payantes,  pertinentes et fiables sur tous les sujets relatifs au Cloud. 

Elle compare les réponses des acheteurs avancés de services Cloud (leading edge) à celles des acheteurs traditionnels. On constate que les freins de sécurité restent en tête, mais beaucoup moins pour les clients avancés.

La confidentialité des données (privacy) est en deuxième position sur le graphique précédent. C’est un sujet beaucoup plus complexe que celui de la sécurité car on touche des sujets pour lesquels la « confiance » joue un rôle clef, et la confiance ne se décrète pas, elle se gagne, lentement, et se perd, très vite.

Au thème de la confidentialité, on associe souvent celui de la localisation géographique des données, sujet très à la mode depuis les révélations de Edward Snowden.

Parler de localisation des données pour assurer leur confidentialité est une... absurdité absolue ! En écrivant cela, je me mets à dos tous les acteurs hexagonaux du Cloud qui en ont fait leur cheval de bataille. Il faudra que l’on m’explique un jour pourquoi mes données stockées dans un centre de calcul en France sont mieux protégées que si elles sont en Allemagne, aux USA ou en Australie.

Le Gartner Group a lui aussi pris cette position, dans un document publié en juillet 2014

J’aimerais croire que les contraintes légales dans ce domaine, comme celles qui concernent les données médicales, vont bientôt disparaître, mais je risque d’attendre très longtemps !

Les illusions perdues du Cloud privé

Le Cloud public, le Cloud véritable, est né en 2006 avec AWS, Amazon Web Services.

Devant ce danger majeur pour leurs activités, tous les fournisseurs anciens combattants de l’informatique et de nombreux DSI ont essayé de créer un contre-feu en lançant le concept de Cloud privé.

Aujourd’hui, en 2014, cette tentative a fait long feu et c’est une excellente nouvelle pour les entreprises.

Le Cloud privé a tous les défauts possibles :

• Inflexible : une fois que l’on a acheté un serveur, on le garde pour au minimum 3 ans.
• CAPEX : l’entreprise est obligée d’investir, CAPEX (CAPital EXpenses) alors que le Cloud public permet de passer en OPEX (OPerations EXpenses).
• Puissance limitée : aucune entreprise ne peut avoir en permanence la puissance informatique dont elle a besoin a moins de surinvestir massivement.
• Frein à l’innovation : AWS a annoncé plus de 200 services nouveaux en 2013 ; seriez-vous capable de faire la même chose en interne ?

OK, me direz-vous, mais le Cloud privé est mieux sécurisé que le Cloud public.

Cette idée, fort sympathique, est totalement balayée par les faits ; un Cloud privé est :

• Peu sur.
• Une véritable passoire.

Dans l’une de ses conférences aux Assises, Mr Pailloux a cité des exemples de failles majeures dans les centres de calcul privés de quelques « PME » françaises qui ont pour nom le Ministère des Finances, Areva ou le Palais de l’Elysée.

Vous ne me croyez pas ?
Les exemples abondent et le plus célèbre est bien sur le cas de Edward Snowden :

• Dans quel organisme travaillait Edward Snowden ? La NSA.
• D’où sont sorties toutes les informations qu’il a publiées ? Du Cloud privé de la NSA.
• La NSA n’a aucun besoin de protéger ses informations, vous en êtes d’accord.
• Votre entreprise est bien sur beaucoup plus performante pour protéger ses données que ne l’est la NSA.

La société Rackspace a publié une étude sur cette comparaison entre la sécurité des Cloud publics et privés.

J’en extrais l’une des phrases les plus intéressantes : 

« One of the big questions our Cloud Security Report helps answer is “is the cloud more or less secure than running your datacenter on-premises?” From our analysis, we don’t believe the cloud today is inherently less safe than enterprise data center environments »

(L’une des grandes questions à laquelle notre rapport sur la sécurité du Cloud apporte une réponse est : « Est-ce que le Cloud est plus ou moins sécurisé que d’avoir son propre centre de calcul interne ? » D’après nos analyses, nous ne pensons pas que le Cloud est aujourd’hui, par nature, moins sécurisé qu’un centre de calcul privé d’entreprise).

Résumé 

La plus grande erreur commise par quelques professionnels de la sécurité des SI est d’imaginer que l’on peut obtenir une sécurité « parfaite ».

Nous vivons dans un monde où la sécurité parfaite n’existera jamais, et le Cloud public n’échappe pas à cette règle.

La seule question importante à se poser est : 

Est-ce que le Cloud public offre plus de sécurité, de confidentialité que les centres de calcul des entreprises ? La seule réponse est : oui, et cet écart positif ne fera qu’augmenter au cours des prochaines années.

Je vous propose une analogie avec le transport :

• Le transport aérien est-il sans risques ? Non.
• Le transport routier est-il sans risques ? Non.
• Le Cloud public est-il sans risques ? Non.
• Le Cloud privé est-il sans risques ? Non.

Quand on pose la question de cette manière, il n’y a qu’une seule réponse possible : non, et l’on est bien avancé...

Les questions intéressantes et utiles sont :

• Est-ce que le transport aérien est plus sur que le transport routier ? Oui.
• Est-ce que le Cloud Public est plus sur que le Cloud privé ? Oui.

Ce schéma utilise les chiffres de 2013 :

• La route a tué 1 300 000 personnes, dont 265 000 en Inde.
• L’avion a tué 265 personnes, et la compagnie Quantas n’a pas eu un seul accident depuis 1951.

A vous de choisir : pour réduire vos risques, vous préférez ?

• Prendre la route en Inde = Cloud Privé.
• Voler avec Qantas = Cloud Public.

 Dans la deuxième partie de cette analyse, je vous proposerai des "remèdes" à cette néphophobie, pour vous aider à devenir... nephophile !

J’ai écrit récemment deux textes, première partie et deuxième partie, sur l’informatique fantôme.

Une nouvelle famille d’informatique fantôme débarque : le « Cloud Fantôme », qui s’appuie sur une offre très riche de solutions d’infrastructures et d’applications, nées au cours des sept dernières années.

Le Cloud fantôme peut être vu comme :

• Une catastrophe supplémentaire qui va s’abattre sur les entreprises.
• Une opportunité majeure de renouer le dialogue entre les équipes informatiques et les directions métiers.

Tous les responsables informatiques sont aujourd’hui confrontés à ce dilemme ; il n’est pas trop tard pour faire... le bon choix. 

Cloud fantôme : les principes 

L’informatique fantôme (Shadow IT en anglais) correspond à tous les usages, tous les outils qui sont mis en œuvre dans l’entreprise sans l’autorisation ou sans la connaissance des équipes informatiques.

Aujourd’hui, en 2014, armé d’une simple carte de crédit, le salarié d’une entreprise peut :

• Aller sur AWS, Google ou Microsoft et disposer de ressources de calcul et de stockage importantes pour déployer ses applications.
• S’abonner à des centaines de solutions applicatives SaaS.
• Ouvrir des comptes sur Box, DropBox ou Gdrive et y stocker des To de données, structurées ou peu structurées.

Tous ces services Cloud disposent de versions d’essai ou de versions légères gratuites, qui permettent de les mettre en œuvre à coût zéro.

Une étude de septembre 2013, par Frost & Sullivan, dont j’ai extrait ce graphique, résume les principales raisons pour lesquelles les métiers (LOB, Line of Business) et les informaticiens (IT) utilisent des applications « non approuvées ».

La principale raison est, et de très loin :

        J’en ai besoin pour mieux faire mon métier !

J’en tire deux enseignements importants et positifs :

• C’est pour la bonne cause ! L’immense majorité des collaborateurs de nos entreprises ont envie de bien travailler et sont prêts à aller chercher eux-mêmes les outils qui peuvent les y aider.
• Métiers et informaticiens sont aussi désobéissants les uns que les autres ! Nous connaissons tous dans nos entreprises des informaticiens qui installent sur leurs PC ou utilisent sur le Cloud des applications « non agréées », souvent avec l’excuse de pouvoir les... tester !

Il y a donc un double accélérateur très puissant du Cloud fantôme : 

• Une offre de solutions Cloud de plus en plus riche, de plus en plus variée, de plus en plus performante et économique.
• Un besoin universel de tous les collaborateurs, métiers et informaticiens, de disposer de bons outils pour mieux travailler.

Cloud fantôme : les risques 

L’étude de Frost & Sullivan, déjà citée, met aussi en évidence l’ampleur du phénomène « Shadow Cloud ». En moyenne, les entreprises interrogées utilisaient 20 applications SaaS, dont 35 % non approuvées par la DSI. Ceci confirme une autre étude du Gartner Group qui évalue à 35 % les dépenses IT non prises en charge par la DSI.

Ces chiffres confirment aussi que :

• Tous les domaines applicatifs sont concernés.
• Le niveau d’usage du Cloud fantôme va fortement augmenter dans les prochaines années.

Par leur nature même, les usages Cloud fantôme sont porteurs de risques majeurs pour les entreprises. Il est quand même rassurant de constater que les utilisateurs de ces solutions fantômes disent clairement, dans cette étude, qu’ils sont conscients des risques encourus, tels que :

• Pertes, vol de données confidentielles.
• Mots de passe faciles à casser, porte ouverte sur des accès non autorisés.
• Image de l’entreprise mise à mal s’ils sont à l’origine de fuites graves.
• Mauvaises décisions liées à des erreurs de modélisation ou de programmation des outils utilisés.
• Non-respect des normes et standards de son industrie : santé, gouvernement...
• ...

Faire l’autruche devant le phénomène Cloud fantôme, publier des normes de sécurité aberrantes, critiquer le comportement des directions métiers... ce sont les meilleures méthodes pour aggraver les risques liés à la croissance inéluctable des usages du Cloud par les métiers.

Il existe, heureusement, d’autres moyens, plus positifs, pour accompagner le Cloud fantôme.

Cloud fantôme : les potentiels  

Plus les entreprises sont grandes, plus le besoin d’informatique flexible est fort, pour compléter les usages très structurés, souvent à base d’ERP, et qui ne sont absolument pas adaptés pour répondre à tous les besoins « légers ».

Les responsables informatiques ont aujourd’hui une opportunité majeure de reprendre la main. Ils vont aller vers les directions métiers en leur disant : 

« Et si nous travaillions main dans la main ? ».

C’est une démarche innovante, qui peut se mettre en œuvre immédiatement.

Les principales étapes : 

• La DSI accélère sa veille technologique pour proposer une palette de solutions SaaS répondant à des besoins universels, tels que la Business Intelligence, le BPM ou le développement d’applications légères.
• Les métiers collaborent avec la DSI pour rechercher des solutions spécialisées BPaaS (Business Process as a Service). Ce sont les métiers qui sont les mieux placés pour faire le choix final, la DSI jouant simplement un rôle de conseil technologique pour vérifier que la solution répond aux choix d’infrastructures : navigateur, SaaS....
• Ensemble, informaticiens et métiers établissent une place de marché où sont listées toutes les applications SaaS mises au catalogue. 
• Cette place de marché peut démarrer petite et grandir chaque mois par l’ajout des nouvelles solutions.

Vous l’avez bien compris : l’objectif n’est pas d’interdire aux directions métiers de déployer des usages flexibles, au contraire ! Il s’agit de rendre visible cette informatique fantôme, de faire tomber les masques et d’en assumer, d’en promouvoir l’usage.

Encore un avantage non prévu des solutions Cloud : elles permettent de :

• Réduire fortement la dimension « fantôme » de beaucoup d’applications existantes.
• Améliorer la qualité de ces applications « ex fantôme » en les portant sur des outils plus performants et plus industriels, donc plus fiables.
• Favoriser la diffusion de ces usages innovants en permettant à la filiale allemande de répliquer ce qui c’est fait au Brésil.

Et une bonne nouvelle de plus pour les directions informatiques !

Contrôler le Cloud fantôme ? C’est possible !

Favoriser les usages du Cloud par les directions métiers n’interdit pas pour autant d’en garder le contrôle. A l’inverse des applications historiques qui étaient installées sur les postes de travail et plus difficilement détectables, les usages d’applications SaaS sont plus faciles à repérer.

Il existe aujourd’hui des outils très performants pour « découvrir » les applications Cloud fantômes utilisées dans une entreprise ; « Ciphercloud for cloud discovery », proposé par l’excellent expert en sécurité Ciphercloud en est un bon exemple.

En résumé :

• L’informatique fantôme actuelle n’est pas une fatalité.
• Le basculement vers des solutions Cloud permet de la rendre visible et officielle.
• Tout le monde est gagnant : l’entreprise, les directions métiers et la DSI.