Elise : La tentation du Cloud

Discussions sur la conduite d'un déploiement, l'accompagnement du changement, les formations, le coaching. Tout ce qui concerne le projet
#1

Elise : La tentation du Cloud

Messagepar franck_29 » 30 Mars 2016, 15:55

Au gré des échanges que j'ai avec vous, je vous entend souvent parler du cloud; parfois en terme de crainte, parfois encore comme étant la solution à nombre de problèmes. Mais chose étonnante, il n'y a pas de consensus parmi vous sur son utilisation.
Alors, comme j'entend régulièrement Archimed nous parler de cette technologie cloud, et que des éléments de sa solution passent d'ores et déjà comme open311, et passeront à l'avenir par le cloud, j'ai voulu vous proposer une petite réflexion synthétique sur le sujet.

Image


Introduction

Pour appuyez mes propos, je me suis basé sur essentiellement deux documents que j'ai examinés dans le détail :
  • La réalité du Cloud dans les grandes entreprises. Octobre 2015 du CIGREF (PDF site du CIGREF]
  • Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) - référentiel d'exigences. 30 juillet 2014 par l'ANSSI (PDF site de l'ANSSI)
Ceux qui cherchent un site "grand public" dédié à ces technologies cloud, pourront consulter le site :
L'analyse du CIGREF est intéressante pour nous autres, car elle se base sur un important retour d'expérience des grandes entreprises qui sont bien "en avance" sur (traduire : "qui sont allés plus loin que") nos administrations publiques ou nos collectivités. Du coup, leur regard nous sera, le cas échéant, précieux en matière de "bonnes pratiques".

Le référentiel cloud de l'ANSSI est quant à lui, essentiel, car il définit un cadre normatif strict définissant les conditions à respecter par un prestataire cloud, pour que son offre soit "recevable", par ... une administration publique ou un organisme d'importance vitale (OIV)

La lettre du cloud est pour sa part, à suivre pour disposer de la dernière actualité, vulgarisée sur les technologies cloud.

Enfin, nous ne parlerons que du SaaS (Software as a Service) et non pas des autres formes de solutions cloud (IaaS et PaaS pour respectivement infrastructure et plateforme) puisque c'est le cas qui nous intéresse dans le cadre d'Elise

Les enjeux du cloud, pourquoi cet engouement

Le cigref, rapporte 4 grandes raisons incitant à recourir au cloud pour les entreprises :
  • Des raisons stratégiques
    "Des choix des directions générales qui cherchent à tirer parti du la puissance du Cloud pour prendre un avantage compétitif sur ses concurrents",
    "Offrir de nouvelles solutions plus souples mais maîtrisées aux clients ou aux salariés"
  • La pression des métiers
    "la pression des métiers. De fait, celle-ci s’est toujours exercée sur la DSI. Elle porte sur la réponse aux besoins, les délais et les coûts. La facilité apparente de consommation de services dans le Cloud l’accentue notablement",
    "le Cloud représente un espoir d’indépendance vis-à-vis de la DSI sur des projets qui nécessitent une expérimentation rapide ou qui ont une durée de vie courte"
  • Un vecteur d’innovation
    "Il permet en effet de tester de nouveaux services et applications, de nouveaux concepts technologiques ou métiers plus rapidement, en limitant les impacts sur le SI existant."
  • La pression des fournisseurs
    "On observe aussi du côté des éditeurs de logiciel une volonté de proposer leurs solutions uniquement sur le Cloud, et non plus par une installation de leur produit sur les machines de leurs clients. "

Paradoxalement, il relève aussi, que d'autres arguments auxquels on pense immédiatement à propose de solution Cloud, ne sont pas si immédiats :

  • la réduction des coûts,
    "Enfin, il convient de garder à l’esprit que le Cloud modifie la structure de coûts des systèmes d’information, parce qu’il substitue à des investissements un coût d’usage correspondant à l’utilisation du service. (...) Cette variabilité des coûts est un facteur de complexité dans l’évaluation économique de projets dans le Cloud, comparée à des solutions plus traditionnelles. "
  • La simplification et l’harmonisation
    "En réalité, même si certaines parties de l’architecture sont allégées ou simplifiées, les problèmes sont souvent reportés vers d’autres domaines comme la connectivité (le réseau, les passerelles etc…), la gestion des droits et habilitations (SSO , annuaire d’identité…) et l’interopérabilité.
    La simplification et l’harmonisation réelles des SI passent prioritairement par l’urbanisation du SI, la classification et la gouvernance des données, comme avant mais dans un contexte rendu lui plus complexe par l’ouverture à l’extérieu
    r"

En résumé, et pour ce qui nous concerne dans le cas d'une éventuelle solution Elise SaaS, je pense qu'on peut dire que les intérêts du cloud sont essentiellement de nature à nous permettre d'aller plus vite. Plus vite dans la mise à disposition de solutions pour nos usagers, plus vite pour monter en charge (scalabilité, élasticité), avec peut-être une qualité de service meilleure (résilience).
Les méthodes "agiles" qui visent elles aussi à réduire la durée des cycles de développement, couplées à des méthodes "DevOps" pour les mettre en production le plus vite possible trouvent dans le cloud une infrastructure proposant la même "agilité".
Et donc, in fine, dans un monde idyllique, c'est un usager qui disposera du service sans doute bien plus tôt, qu'avec une infrastructure et des moyens "classiques"

La sécurité de vos données et celle de votre contrat vis à vis de votre fournisseur SaaS

Premier frein : la sécurité

Le principal frein, ou la première inquiétude qui se manifeste en étude de faisabilité pour qualifier l'intérêt de basculer vers le cloud, réside dans la sécurité des données ainsi "expatriées" de l'organisation. Mes données seront elles en sécurité, au sens "disponibilité" bien sûr, "intégrité", c'est clair, mais aussi et surtout au sens "confidentialité".

Et face à cette interrogation, les "clients" (face aux "fournisseurs" de solution cloud) sont souvent désemparés.
Comment différencier un bon fournisseur d'un autre qui le serait moins ?

L'Agence Nationale de le Sécurité des Système d'Information (ANSSI) nous apporte un élément de réponse, avec la publication récente du Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing).
Ce référentiel est actuellement en cours de "test d'applicabilité" par l'ANSSI, et quand il le sera, des fournisseurs de solutions Cloud, pourront se faire "qualifier" par l'ANSSI. Cette qualification sera à elle seule un gage de sécurité qui nous permettra d’envisager de recourir plus sereinement à des solutions cloud.

Dans l'immédiat, en mentionnant le référentiel ANSSI dans vos documents de consultation, il est tout à fait possible de recourir, pour des collectivités à ses solutions Cloud. A titre d'exemple concret, un accord cadre interministériel pour la fourniture de ressources informatiques à la demande a été récemment attribué à OBS (Orange Business Services), le dossier de consultation exigeait le respect des exigences de l'ANSSI.

Dans tous les cas, l'examen attentif du référentiel ANSSI est fort instructif et permet d'emblée d'écarter des fournisseurs de solution. Ci dessous un extrait d'exigences particulières :
  • Le stockage et le traitement des données doivent être opérés en France
  • Le prestataire doit documenter et communiquer au client la localisation du stockage et du traitement des données.
  • Le prestataire doit fournir un support de premier niveau francophone localisé en France.
  • exprimer des engagements quant au respect de la législation française (en matière de traitement des données à caractère
    personnel, traitement de données sensibles, etc.) selon la nature des informations confiées
  • Pour tout contrat établi avec le prestataire, le droit français s’applique et doit être pris en compte dans les politiques de sécurité. Le tribunal compétent est français.
s'ensuivent un ensemble de recommandations ou d'exigences, plus classiques dans le domaine SSI mais qui n'en demeurrent pas moins plutôt contraignantes pour les fournisseurs.

Second point de vigilance : le contrat de service

Le second point de vigilance concerne la réglementation en vigueur qui est en cours dévolution pour ce qui concerne les données personnelles manipulées (et donc externalisées sur le cloud). Le rapport du CIGREF s'étend largement sur la question (cf. chapitre 5. CLOUD ET REGLEMENTATION) et met en lumière une double difficulté :

  • Les contrats Cloud s’appuient par défaut sur la Directive européenne de 1995 sur la protection des données "dans une logique d’outsourcing ; l’entreprise utilisatrice endosse alors la responsabilité civile et pénale sur les données (en qualité de Data Controller), ce qui n’est pas le cas des opérateurs (Data Processor). Cette responsabilité des entreprises utilisatrices persiste même si leurs données se retrouvent publiquement accessibles sur internet du fait d’un défaut de sécurité de leur fournisseur de Cloud".
    Ainsi, si une entreprise décide recourir à un fournisseur service cloud, selon la directive, elle doit contractualiser la façon dont est mis en oeuvre la sécurité de ses données (comme elle doit le faire dans une externalisation classique), elle conserve la responsabilité de ses données pourtant, le CIGREF rapporte que " c'est plus difficilement acceptable dans le cadre de Cloud public où l’ensemble des moyens de sécurité sont mis en œuvre par les fournisseurs du Cloud sans possibilité de prescription ni de modification de la part de l’entreprise cliente"
  • Nombre de fournisseurs de solutions Cloud sont de droit américains et "satisfaire les exigences contradictoires des législations européenne et américaine, notamment celles des réglementations européennes sur la protection des données et celles du Patriot Act qui, dans certaines conditions, donne au gouvernement américain le droit d'accéder à des données détenues par les entreprises américaines." est susceptible de poser difficulté

Au final, je retiens de cet examen, que contractuellement, le recours à des services de cloud, n'est pas une formalité. Des clauses de responsabilité très claires doivent figurer au contrat que vous envisager avec votre fournisseur.

Pour mieux comprendre la problématique, en sus du rapport du CIGREF, vous pouvez consulter cet article de ZDNet SaaS et législation européenne : ce qu'il faut savoir

Conclusions

A ce stade, l’énoncé des difficultés détaillées au chapitre précédent (sécurité et contractualisation) pourraient nous "calmer" dans nos velléités d'aller de l'avant en envisageant le Cloud.
Ce serait conclure bien vite votre réflexion.

Les avantages sont bel et bien réels, et pour de petites structures, les offres SaaS sont une réelle opportunité pour elles de disposer de services fonctionnellement "haut de gamme" au juste côut.
L'offre SaaS offre aussi à l'éditeur la capacité d'être plus réactif dans le traitement (de bout en bout) des incidents, en "gérant" lui-même les mises à jour.
En matière de sécurité, il est même possible finalement, le cloud soit une élégante solution pour ouvrir nos services à l'extérieur, à nos usagers extérieurs, sans avoir à mettre en oeuvre des mécanismes coûteux de DMZ au sein de nos organisations.

Il me semble que pour gagner la confiance, un fournisseur de solutions SaaS devrait, outre une solution qui techniquement fonctionne, mais c'est bien la moindre des choses, compléter son offre de tout le détail sur les garanties de conformité qu'il offre et sur lesquelles il s'engage, par rapport aux problématiques contractuelles et de sécurité présentées dans cet article.

Faire acte de pédagogie sur ces vraies questions et décrivant clairement les engagements pris, est aussi ce qu'on attend d'un fournisseur SaaS sur ces solutions d'avenir.

C'est la seule façon de gagner la confiance des candidats aujourd'hui inquiet devant cette perspective de changement.

Et au final, la conduite du changement, on sait ce que c'est, nous autres utilisateurs d'Elise.

à très bientôt.
Pour bien débuter sur le forum : la charte, FAQ, Comment faire ?
Les points essentiels en quelques clics : Notre Blog
Président du club des utilisateurs d'Elise, administrateur de la communauté "Lettre à Elise"
Ancien directeur d'un projet visant à déployer Elise dans une grande organisation
.
Avatar de l’utilisateur
franck_29
Administrateur
Administrateur
 
Message(s) : 256
Inscription : 01 Juin 2015, 12:43
Localisation : France, Paris, Cléder

#2

Re: Elise : La tentation du Cloud

Messagepar Christian » 15 Avr 2016, 11:42

Bonjour,
Effectivement il semble important que la réglementation s’éclaircisse un peu… Difficile d’y voir clair pour les différents acteurs économiques.
Si je comprends bien le référentiel ANSSI « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) » a été publié à l’état de draft et pour appel à commentaire public.

Un nouveau draft a été publié en mars 2015 et les niveaux renommés en Secure et Secure+ :
http://www.mag-securs.com/news/articletype/articleview/articleid/34717/avancee-vers-des-referentiels-anssi-de-securite-pour-les-operateurs-de-cloud-computing.aspx

L’AFNOR expérimente le label Secure Cloud jusqu’à mi-2016 :
http://lemagcertification.afnor.org/blog/afnor-certification-participe-a-lexperimentation-du-label-secure-cloud/

D’ici quelques mois j’espère que nous aurons une vision claire du cadre règlementaire et du référentiel d’exigences tant au niveau Français qu’au niveau Européen.
En outre je pense qu’il est très intéressant qu’un organisme de certification tel que l’AFNOR soit partie prenante et en mesure de passer à l’action et délivrer la certification le moment venu.
Bref… Peut-être à bientôt dans les nuages donc ?
Christian.
Avatar de l’utilisateur
Christian
 
Message(s) : 13
Inscription : 28 Sep 2015, 17:25

#3

Elise : La tentation du Cloud, ça bouge du côté ANSSI

Messagepar franck_29 » 21 Déc 2016, 18:12

Quelques mois sont passés depuis cet article "Elise : la tentation du cloud" où nous avions dressé un premier état des lieux des avantages et inconvénients, car il y en a bien sûr, de cette technologie.
Evidemment la problématique de la sécurité ne nous avait pas échappée, et nous en étions restés à une discussion sur le référentiel de l'ANSSI (Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) - référentiel d'exigences. 30 juillet 2014 par l'ANSSI) alors en cours de "validation" en collaboration avec des acteurs industriels du marché.
Le but de cette validation étant de s'assurer de l'applicabilité dudit référentiel.

Les choses avaient plutôt mal commencé, puisque quelques semaines seulement après notre article, le 5 avril, les ministères de l'économie et de la culture affirmaient, sous forme d'une mise au point, que :
  • les données numériques produites par les collectivités territoriales relève du régime des archives publiques, et que dès lors elles sont assimilables à des trésors nationaux !
  • et que, en conséquence, ces données numériques ne peuvent pas quitter le territoire douanier français.
  • et donc, que tout usage d'une solution cloud pour héberger ces données, ne peut être que nationale (cloud souverain) (cf. note d'information du 5 avril 2016 relative à l'informatique en nuage (cloud computing) également disponible en pièce jointe de ce post)

Cette note venait donc confirmer, du point de vue de la localisation des données, un des axes fondateurs du référentiel ANSSI.

Depuis cette date, peu d'informations avaient filtré sur l'avancement du référentiel ANSSI, si ce n'était qu'il était en cours de vérification de son applicabilité, et qu'il serait diffusé pour la fin de l'année.

escloud_logo-300x288.jpg


C'est désormais chose faite, depuis le 8 décembre 2016, le référentiel d'exigences SecNumCloud de sécurité de l'informatique en cloud existe dans sa version 3.0. Il est applicable à tout prestataire de service d'informatique en cloud qui déciderait d'obtenir le graal : la qualification "Essentiel" ou "Avancé" telle que décrite dans ledit référentiel. (cf. SECNUMCLOUD – LA NOUVELLE RÉFÉRENCE POUR LES PRESTATAIRES D’INFORMATIQUE EN NUAGE DE CONFIANCE)

Il faut noter qu'à ce jour, aucun prestataire de service n'est officiellement "qualifié. (cf. l'extrait ci-dessous du site de l'ANSSI : date du 21 décembre 2016)

ListeDesQualifiés.jpg


Cela dit, le lancement quelques jours après, le 13 décembre 2016, du label franco-allemand "European Secure Cloud" (ESCloud) est de nature à stabiliser la relative incertitude qui planait jusqu'à lors, et à favoriser l'émergence d'une véritable offre pour, par exemple les collectivités qui souhaiteraient franchir le pas du cloud. (cf. ESCLOUD – UN LABEL FRANCO-ALLEMAND POUR LES SERVICES D’INFORMATIQUE EN NUAGE DE CONFIANCE).

La suite dans quelques mois.
Pièces jointes
NoteInformation5avril2016-informatique-en-nuage.pdf
(264.77 Kio) Téléchargé 40 fois
Pour bien débuter sur le forum : la charte, FAQ, Comment faire ?
Les points essentiels en quelques clics : Notre Blog
Président du club des utilisateurs d'Elise, administrateur de la communauté "Lettre à Elise"
Ancien directeur d'un projet visant à déployer Elise dans une grande organisation
.
Avatar de l’utilisateur
franck_29
Administrateur
Administrateur
 
Message(s) : 256
Inscription : 01 Juin 2015, 12:43
Localisation : France, Paris, Cléder


Retour vers Le projet, le déploiement, l'accompagnement, article de fonds

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 3 invité(s)

cron