Archives du mot-clef Cloud Computing

La sécurité dans le nuage : évitons les généralisations

Publié le par
6

Le trou de sécurité du Sony Playstation Network est une gaffe importante à cause qu’il y a beaucoup d’utilisateurs impactés. Sony va subir les contrecoups de cette gaffe monumentale. Logiquement les autres joueurs dans l’industrie ont observé cette situation et ont pris les précautions nécessaires. J’ai toutefois tendance à faire davantage confiance à un service informatique à grande échelle qu’une installation isolée et montée par un seul technicien dans une entreprise.

La panique ou la méfiance face au cloud computing ressemble étrangement à celle de la peur de prendre l’avion. Les accidents d’avion sont spectaculaires, car elles font souvent beaucoup de victimes, mais elles sont rares par rapport à tous les petits accidents d’automobile partout sur la planète. Vous avez plus de chance de laisser votre peau dans un accident d’auto que dans une accident d’avion.

Aussi, fait intéressant, la peur de l’informatique en nuage vient davantage des informaticiens que des utilisateurs. Ceux qui ont longtemps eu un gagne-pain avec le vieux modèle, ont-ils trop à perdre avec la mise en commun des services informatiques? La question se pose. Est-ce que l’argumentaire de la peur leur sert pour leur pérennité?

Soyons vigilants à ces nouveaux services, mais ne soyons pas fermés aux changements qui s’opèrent dans l’industrie. Que ce soit le logiciel libre ou la venue du cloud computing, il faut prendre le meilleur de ces nouveaux paradigmes pour mieux servir les utilisateurs.

Évitons les généralisations.

L'informatique en nuage dans la boule de cristal du CRIM

Publié le par
2

J’ai eu le plaisir d’assister la semaine passée à la Boule de cristal du CRIM 2011. Cette année, le nuage informatique ou le « cloud computing » a pris toute la place. Connaissant le retard au Québec sur l’adoption du nuage, je sentais très bien la distance entre la vision des conférenciers internationaux et celle des gestionnaires TI du Québec. Les choses changent ici, mais toujours plus lentement qu’ailleurs.

J’ai découvert Allistair Croll, fondateur de Bitcurrent et excellent vulgarisateur du « cloud ». Un passage dans sa présentation m’a fait rigoler et a rejoint ma pensée quant à la sécurité du nuage :

Il affirme que le débat lié à la sécurité de l’infonuagique prendra fin bientôt, en donnant l’exemple des erreurs de classement dans les dossiers en papier des cliniques médicales. « Les gens se diront qu’ils ne peuvent pas ne pas utiliser l’informatique en nuage, parce que l’approche alternative habituelle est non sécuritaire », affirme M. Croll.

Les systèmes actuels avec leurs pannes et leurs risques d’erreurs me font davantage craindre que ceux hébergés sur des plateformes professionnelles en ligne. Les systèmes sur place sont souvent mal gérés et mal protégés contre les bris et les intrusions.

Aussi, j’ai pu entendre Tom Wheatley d’IBM qui a fait d’excellentes présentations objectives sur le nuage sans dénigrer sa compétition. Cela l’a beaucoup crédibilisé à mes yeux.

Tom Wheatley, ingénieur émérite dans le groupe des Services mondiaux chez IBM, a souligné que l’informatique en nuage profitait de l’évolution d’éléments clés au cours des dix dernières années, comme comme la standardisation, la consolidation, l’accès omniprésent, l’automatisation de service, le libre service et la facturation à l’utilisation. Il a évoqué l’évolution des modèles de livraison et des modèles de déploiement, avec les approches des nuages publics, privés et communautaires. « Comme ce fut le cas avec Internet, les modèles de l’informatique en nuage évoluent avec le marché. Les grands bénéfices pour les clients sont la réduction des coûts, l’atteinte rapide de valeur et l’amélioration de la fiabilité et de la disponibilité », a dit M Wheatley.

Patrick Chanezon de Google a parlé des possibilités de fusion d’applications ou de « mash-up » que permet l’informatique en nuage. Tous les services web de différents fournisseurs sont accessibles en tout temps en ligne et ils offrent pour la plupart des interfaces de programmation (API). Il a raconté que le premier API offert par Google était celui du système publicitaire Adwords. Les annonces pouvaient créer des annonces à partir de leurs propres plateformes. Il a cité l’exemple d’une application qui a été développée par 3 personnes dans leur appartement sans serveurs qui intégraient Salesforces et Google Adwords. Ils ont été achetés plus tard par Salesforce.

Peter Coffee de Salesforce a expliqué que les fournisseurs en nuage ont l’obligation d’être meilleurs, voire même irréprochables, sur la qualité des services.

Peter Coffee, vice-président et directeur de la division dédiée à la recherche sur les plates-formes chez Salesforce.com, a indiqué qu’un fournisseur d’informatique en nuage devait être « mille fois meilleur » que ce qui prévaut présentement dans des organisations afin que l’approche de l’infonuagique soit acceptable aux yeux des utilisateurs potentiels.

« Nous devons démystifier les craintes et résoudre les enjeux, a-t-il expliqué. Si un centre de données est à une bonne distance du client, il nous faut établir une redondance avec divers fournisseurs en réseautique. (…) « Chez un fournisseur de service en nuage, tout travail d’analyse en amont permet ensuite aux ingénieurs d’être plus efficaces… et aux gestionnaires de mieux dormir la nuit. »

Je vous invite à lire le compte-rendu de Jean-François Ferland de Direction Informatique d’où les citations ont été tirées.

Perdons-nous le contrôle dans le nuage informatique?

Publié le par
1

C’est une question que je me fais poser régulièrement. Je vous invite à regarder la vidéo suivante qui est belle vulgarisation du nuage informatique. Elle est particulièrement intéressante puisque les préoccupations du journaliste Gérald Fillion prennent assez de place dans l’entrevue. Son questionnement n’est pas inhabituel.

Pour lui répondre, j’aimerais ajouter que des services similaires existent déjà depuis très longtemps. Lorsqu’on dépose nos avoirs financiers dans une institution financière, on accorde une confiance envers cette entreprise. La banque ne devient pas propriétaire de notre argent, car vous êtes en plein droit récupérer vos avoirs selon les modalités de ce fournisseur. Vous ne perdez pas totalement le contrôle, mais vous tronquez de la perte de contrôle pour la commodité des services de ce fournisseur.

La boîte vocale de votre fournisseur téléphonique est hébergée dans son nuage. C’est un service pratique et fiable. Votre répondeur n’a pas besoin d’avoir des batteries et il est accessible en lecture de n’importe où. Toutefois, votre fournisseur vous impose des limites sur le nombre de messages ou le nombre de minutes enregistrées. Ces limites peuvent changer à tout moment. C’est un contrat entre vous et ce dernier. Vous échangez un peu de liberté pour profiter de la facilité de son service.

C’est la même relation que vous aurez avec un fournisseur d’informatique en nuage. Vous allez être hébergé sur ses équipements et il doit exercer un certain contrôle pour standardiser son offre de service et garantir un bon niveau de service. Vous profitez par contre d’un service plus robuste et plus prévisible. Mais, vous devez jouer selon ses règles. N’oubliez pas que la flexibilité d’un système sur mesure est accompagnée de plus de risques d’instabilité, car cette responsabilité vous revient.

La majorité des consommateurs de technologies en entreprise ne sont pas des informaticiens. Ils vivent déjà cette dynamique avec les spécialistes qui travaillent pour eux. Ils ont très peu de contrôle sur l’infrastructure, car ils doivent se fier à leurs experts en TI et à leurs recommandations par manque de connaissance. La perte de contrôle dans le nuage informatique ne leur parait pas pire. En plus de ça, la stabilité du service et les prix fixes mensuels sont plus prévisibles et c’est plus rassurant pour la gestion budgétaire.

Ce qu’il faut comprendre : il y a toujours des compromis dans tous choix qu’on prend. Mais, assurez-vous de choisir un fournisseur qui offre ouvertement une porte de sortie ou une fonctionnalité d’exportation de vos données si jamais vous voulez cesser votre abonnement avec lui.

 

 

Les faussetés véhiculées sur Patriot Act et l'informatique en nuage

Publié le par
2

Savez-vous ce qu’est le Patriot Act? C’est une loi qui a été créé après les attentats terroristes du 11 septembre 2011 aux États-Unis pour outiller les forces policières à contrer un événement similaire dans le futur. Le Patriot Act est l’argument principal pour décourager toute entreprise canadienne à adhérer auxservices informatiques dans les nuages. Toutefois, en faisant des recherches, j’ai constaté qu’onvéhicule beaucoup de demi vérités, voire même des faussetés à ce sujet.

J’ai fait examiner la loi canadienne par mon avocate pour en avoir le coeur net. L’idée, sans cessevéhiculée que c’est plus dangereux d’héberger ses données aux États-Unis plutôt qu’au Canada,manque de nuance et me parait un peu sensationnaliste.

La loi antiterroriste canadienne et les mandats de perquisition

Les articles 83.28 et 83.29 du Code criminel canadien spécifient que, sur consentement d’un procureur général, un agent de la paix peut demander à un juge une ordonnance autorisant la recherche de renseignements dans le cadre d’une enquête relative à une infraction pour terrorisme.

Le juge émettra une ordonnance s’il constate qu’il existe des motifs raisonnables de croire qu’une infraction de ce type a été, ou sera commise, et que ces renseignements seront essentiels au déroulement de l’enquête. Ce type de demande se fait en l’absence de la personne concernée (requête ex parte). C’est un processus normal en droit criminel, car on veut éviter que le suspect détruise éventuellement des preuves avant l’émission du mandat. Selon les recherches que j’ai effectuées, l’article d’investigation (83.28) a été appliqué au moins une fois dans le cadre de l’enquête sur Air India.

Les États-Unis : le bar ouvert des mandats de perquisition?

Le même processus existe aux États-Unis, à une exception près. Les enquêteurs policiers peuvent effectuer la perquisition et faire la demande du mandat après le fait. Ceci ne leur donne pas forcément le droit de fouiller n’importe qui ou n’importe quoi à leur convenance. Tout comme le Canada, les États-Unis sont un pays de droits où les citoyens sont protégés par des lois. Comme au Canada, vous devez être suspecté d’activité terroriste. La très grande majorité de la société civile et la quasi-totalité des entreprises ne font pas dans le terrorisme. C’est le cas pour ma clientèle, alors ils ne devraient pas s’en préoccuper.

Me David Fraser, que j’ai cité dans un billet précédent, affirme que ce pouvoir de faire des perquisitions dites « sneak and peek » existe aussi dans la loi canadienne. Je n’ai toutefois pas été capable de contrevérifier ce fait.

Est-ce confidentiel malgré tout?

La confidentialité est assurée par la grande majorité des fournisseurs de type « cloud » . Toutefois, cet engagement n’empêchera pas les forces policières d’effectuer des fouilles lorsqu’il y a soupçon d’activité criminelle. Si votre entreprise fait l’objet d’un mandat de perquisition, vous n’aurez pas le droit cacher des informations aux enquêteurs. Les engagements de confidentialité entre vous et le fournisseur en nuage, et celles entre vous et vos clients, ne s’appliqueront pas lors de cette éventualité. C’est d’ailleurs le même processus qui prévaut lorsque le fisc décide de vérifier vos états de compte !

L’opinion du commissionnaire à la vie privée du Canada

Le commissionnaire à la vie privée du Canada a rendu une opinion suite à une plainte de 2 utilisateurs du service de courriel de canada.com. L’entreprise avait l’intention d’impartir ce service aux États-Unis. Voici un passage éloquent qui démontre que les lois américaines sont pratiquement identiques à celles du Canada :

Le risque qu’un fournisseur de services situé aux États-Unis doive communiquer des renseignements personnels aux autorités américaines n’est pas propre aux organisations américaines. Dans le contexte de la sécurité nationale et des mesures antiterroristes, les organisations canadiennes sont sujettes au même genre d’ordonnance de communiquer des renseignements personnels de Canadiens et de Canadiennes aux autorités canadiennes, et pourraient être aussi susceptibles d’en recevoir. Plusieurs ententes bilatérales officielles entre des organisations canadiennes et américaines analogues ont également été mises en place afin de prévoir une coopération et un échange de renseignements pertinents.

via Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-394

Respectez la loi

En résumé, si vous respectez la loi, le Patriot Act ne devrait pas être un enjeu dans votre analyse de risque quand vous évaluez un service informatique en nuage.