CLOUD COMPUTING : CONTINUITE ET REVERSIBILITE

à lire, à voir

Si le cloud computing offre de réelles opportunités en matière de coût, de souplesse et d’évolutivité, s’engager auprès d’un fournisseur de service cloud computing n’est pas sans risques : la sécurité des données (intégrité, confidentialité, disponibilité), l’interopérabilité et la continuité de service sont des sujets qui nécessitent d’être pris en considération dès le début de la relation.

La continuité de service

Le recours au cloud computing s’accompagne de risques qui peuvent compromettre la continuité de service dans de nombreux cas, comme par exemple :

  • Saisie légale de serveurs
    Cas rencontré en Juin 2011 après une saisie par le FBI de serveurs hébergés en Suisse. L’action étant à l’initiative du FBI, la responsabilité du fournisseur n’était pas en cause. L’activité de dizaine de clients a été interrompue plusieurs jours.
  • Effraction physique d’un data centre
    Cas rencontré en février 2011 un vol de matériel dans un centre Vodafone a résulté en une interruption de service pour une partie des abonnés.
  • Catastrophes naturelles et coupures de courant
    Cas rencontré en Août 2011, lorsqu’un orage très violent à Dublin a provoqué une coupure de courant qui a inte-rrompu les services Cloud de Amazon et Microsoft.
  • Manque de maîtrise des accès aux données
    Cas rencontré en 2008, lorsqu’un ancien employé a usé de ses accès toujours actifs pour modifier les données présentes dans la base client d’une entreprise de distribution d’électricité. Le dommage pour la compagnie a été estimé à 100,000$ par le tribunal qui a jugé l’ancien employé.
  • Captivité envers le fournisseur
    Avec un risque de dépendance forte et de perte de données et de continuité de service en fin de relation.

Il est donc important de définir précisément  dans les contrats les notions sur lesquelles s’appuie la définition du service apporté, notamment :

  •  le partage exact des responsabilités entre le client et le fournisseur,
  •  les bonnes pratiques à mettre en œuvre pour assurer la continuité métier en cas de défaillance du fournisseur (ex : pour le client : back up de données particulièrement importantes, pour le fournisseur : appliquer un contrôle strict des accès aux informations, etc.),
  • la notion de disponibilité d’un service, il est indispensable que le contrat de service définisse quand on peut considérer qu’un service est « disponible  et la manière dont cette disponibilité est mesurée.

Les contrats Cloud sont très souvent du type « à prendre ou à laisser » (avec pour conséquences une exclusion presque totale de la responsabilité du fournisseur et des obligations le concernant très limitées), mais l’aspect contractualisation ne doit pas être négligé ou oublié pour autant.

La réversibilité / transférabilité

La réversibilité, qui consiste pour un client à réintégrer l’activité, ou la transférabilité, qui consiste à transférer l’activité vers un autre fournisseur cloud, est un cas particulier de la continuité de service qui mérite d’être développé.

Le risque est en effet, qu’en raison de l’absence de standard largement accepté pour permettre interopérabilité et portabilité entre fournisseurs de services Cloud, il devienne impossible de sortir d’un contrat, sans perte ou dégradation de données. Pour se prémunir de ce danger, il est important de réfléchir à la réversibilité dès le début, en annexant si possible au contrat un plan de réversibilité qui détaille la procédure.

Cette transférabilité doit être prise en compte et testée dans le cadre des PRA et PCA (Plan de Reprise d’Activités et Plan de Continuité d’Activité).

L’ISACA a publié un ouvrage « IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud » qui décrit les risques associés au Cloud Computing et l’ensemble des points de contrôle à mettre en œuvre pour s’assurer de la validité et de l’exhaustivité des plans de réversibilité à produire par le fournisseur, en fonction des types de cloud (IaaS, PaaS, SaaS).

L’ENISA (European Network and Information Security Association) a publié fin 2009 un cadre de référence, identifiant les questions à poser aux opérateurs de cloud (Cloud Computing Information Assurance Framework) ainsi qu’un guide (en 2012) pour mesurer le respect des engagements contractuels de sécurité des fournisseurs (ProcureSecure)

Le CSA (Cloud Security Alliance), organisation qui a pour mission de promouvoir l’usage des bonnes pratiques pour la sécurité dans le Cloud Computing, propose également des matrices opérationnelles sur les points de contrôle à mettre en œuvre.

  • Twitter
  • LinkedIn
  • viadeo FR