Cloud Computing Eclaircies ou couvert ?

Des solutions pour rpondre aux impratifs de continuit des activits

2 2

Introduction Le cloud computing : conu pour combattre vents et mares Le cloud computing pris dans la tempte Conseils de protection pour le cloud computing Beau fixe sur le cloud computing

3 4 5

Copyright 2011 Kroll Ontrack Inc. Tous droits rservs. Kroll Ontrack, Ontrack et les autres noms de produits et de marques Kroll Ontrack cits dans ce document sont des marques de commerce ou des marques dposes de Kroll Ontrack Inc. et/ou de sa socit mre, Kroll Inc., aux tats-Unis et/ou dans dautres pays.

Introduction
Si vous demandez un utilisateur dordinateur lambda de vous dcrire le cloud computing, il y a fort parier quil vous retournera un regard interrogatif. Le marketing a russi informer les internautes de lexistence du cloud computing, mais peu dutilisateurs sont capables dexpliquer ce que ce concept reprsente ou ce quil implique pour eux. Pratiquement tous les internautes ont un lien avec les technologies de cloud computing sans mme le savoir. Vous avez dj utilis un site dhbergement de photos ? Alors vous avez dj utilis le stockage bas sur le cloud computing. Vous utilisez un site de rseau social interactif ou des applications bureautiques depuis votre navigateur ? Alors vous utilisez des logiciels bass sur le cloud computing. Lindustrie du cloud computing entre dans ses annes dapprentissage et peut dsormais proposer des solutions aux entreprises qui cherchent limiter leurs cots et investissements dans les nouvelles technologies. La technologie de virtualisation, cest--dire un logiciel qui mule le matriel informatique, constitue le fondement de toutes les offres de services du cloud computing. Le cloud computing offre trois services : les logiciels en tant que service (SaaS), plate-forme en tant que service (PaaS), et linfrastructure en tant que service (IaaS). LIaaS est la plus tablie des offres de services bases sur le cloud computing, car elle permet aux entreprises dutiliser uniquement ce dont elles ont besoin pour leurs systmes informatiques ; par exemple, lIaaS permet aux clients davoir accs des ordinateurs virtualiss hors site sans devoir payer les cots matriels associs ou les dpenses lies aux installations. Les SaaS sont les plus accessibles des offres de services bases sur le cloud computing, car ils offrent des fonctionnalits dapplication compltes via une interface internet. Le nombre dapplications qui ont t dveloppes pour les navigateurs internet est impressionnant. Par exemple, il existe des applications de productivit bureautique compltes qui sont disponibles simplement via un navigateur internet et une connexion internet. La PaaS est destine au dveloppement rapide dapplications et exploite les deux services de cloud computing prcdemment mentionns. Considrez la PaaS comme lintermdiaire entre les SaaS et lIaaS ; ce service de cloud computing pourrait tre plus proche de ladoption que ce quon pensait1, car il favorisera dautres fonctionnalits de SaaS. Gartner Research signale que ladoption de linfrastructure en tant que service (IaaS) commence susciter de lintrt sur la place de march. Gartner prvoit ainsi que le march mondial du cloud computing reprsentera 10,5 milliards de dollars en 2014, contre 3,7 milliards aujourdhui, soit une hausse impressionnante de ladoption sur le march au cours des trois prochaines annes. Lacceptation des services de cloud computing par les consommateurs par le biais des applications pour tlphone mobile dmontre que la technologie offre un modle conomique dans lequel de plus en plus dentreprises investissent. Daprs comScore, Inc., socit spcialise dans le traitement analytique des mdias numriques aux tats-Unis, 69,5 millions dindividus possdent un smartphone aux tats-Unis et, la fin 2010, prs de la moiti de ces utilisateurs accdaient leurs comptes bancaires, de crdit ou de courtage au moyen de leur appareil mobile3.

Les SLA et les obligations contractuelles noffrent pas forcment une protection complte aux utilisateurs du cloud computing en cas de perturbation des activits.

Le cloud computing : conu pour combattre vents et mares

Jason Baker, directeur de la technologie Visi, Inc., prestataire de services dIaaS et dhbergement de centres de traitements, indique que la technologie de cloud computing est conue pour rsister aux dfaillances grce sa conception intrinsque de distribution et de redondance. Il rappelle que le dploiement dapplications traditionnel [] se passait sur le serveur internet, le serveur dapplications et le serveur de bases de donnes. Le cloud computing supprime tout cela et permet aux entreprises de se

1 2 3

http://www.businesswire.com/news/home/20110314006630/en/Gartner-2011-Year-Platform-Service http://www.businesswire.com/news/home/20110407005575/en/Gartner-Maps-Rapidly-Evolving-Market-Cloud-Infrastructure http://www.comscore.com/Press_Events/Press_Releases/2011/4/comScore_Reports_February_2011_U.S._Mobile_Subscriber_Market_Share http://www.creativedepartment.com/news/mobile/use-mobile-banking-apps-rose-sharply-fourth-quarter-183600

concentrer soit sur les couches dapplications, soit sur les couches orientes web. La couche physique (le matriel) est fournie par la technologie de virtualisation. mesure que la demande pour le cloud computing augmentera, les applications et services de cloud computing se banaliseront. Pourtant, ce qui importera le plus aux clients du cloud computing sera la prennit du prestataire et sa rputation. La confiance est essentiellement ce qui portera les prestataires de services de cloud computing dans les annes venir, estime Harold Moss, directeur de la technologie en charge de la stratgie de scurit du cloud computing dIBM. Le domaine des services se dveloppera, avant de rtrcir. Seuls les prestataires proposant des solutions compltes aujourdhui seront encore prsents lavenir. Harold Moss explique que les prestataires de services pourraient diluer leurs solutions en externalisant leurs propres services un autre prestataire de services afin de rester comptitifs au niveau des prix. On en arrive un contrat de niveau de service compos, indique-t-il, et cest tout le service du prestataire qui est dvaloris parce que lui aussi a utilis le cloud computing pour fournir les ressources informatiques. Chacun de ces SLA devient dpendant dun autre prestataire.

Le cloud computing pris dans la tempte

Les fournisseurs de cloud computing sont censs adhrer aux politiques de gouvernance de la responsabilit, la scurit et la conformit. Malheureusement, les certificats et les valuations daudit ne rvlent pas comment un prestataire de services de cloud computing ragira en cas de perturbation des activits4. Or, des turbulences dans le cloud computing peuvent tre dsastreuses pour les utilisateurs finaux, comme en tmoigne la msaventure survenue un prestataire de services informatiques au Canada. Celui-ci avait une appliance de stockage NetApp de 40 To qui contenait des units logiques virtuelles, ou fichiers iSCSI au niveau du volume NetApp. lintrieur de ces fichiers iSCSI figuraient des volumes VMware ESX. Ces volumes ESX contenaient les fichiers de disque virtuel pour les serveurs du prestataire de services informatiques et des machines virtuelles IaaS de certains de ses clients. La tempte essuye par cette entreprise ntait pas externe mais interne. Un employ mcontent a lanc la commande Supprimer les volumes au niveau de lunit de stockage. Cette unit de stockage en question employait la technologie dinstantan des blocs de NetApp, laquelle aurait t suffisante pour sauvegarder les donnes si lemploy malveillant stait arrt l. Malheureusement, cet employ savait comment la fonction dinstantan du classeur fonctionnait. Lhorloge systme du classeur a t retarde dune heure juste avant de supprimer les volumes NetApp, si bien que la rplication dinstantan a copi les mtadonnes de volumes vides. Une fois le mal accompli, lemploy a remis lhorloge systme du classeur la bonne heure avant de quitter le centre de traitements de lentreprise. Le classeur NetApp a continu prendre des instantans des volumes, comme prvu, remplissant toute la liste dinstantans de blocs vides. Lorsque les autres administrateurs ont dcouvert lampleur des dgts, il ny avait aucun point de rcupration valable auquel revenir. Ce sinistre a vite pris lallure dune catastrophe, non seulement parce que certains des systmes IaaS de leurs clients avaient disparu, mais aussi parce que le prestataire de services navait mme plus ses propres donnes oprationnelles. Pire encore, il nexistait aucune sauvegarde pertinente des donnes dorigine. Ce prestataire de services avait promis un temps de disponibilit de 99,99 % pour son centre de traitements et une connectivit internet de niveau 1. Durant toute linterruption des activits, le temps de disponibilit et la rapidit de connexion ont t maintenus, conformment aux SLA stipuls. Comme les clients de ce service de cloud computing lont vite dcouvert, la connectivit et le temps de disponibilit des systmes nont rien voir avec la disponibilit des donnes. Le prestataire de services informatiques canadien a t oblig dengager un prestataire de services de rcupration de donnes pour rcuprer ses propres donnes, ainsi que les systmes virtuels IaaS de ses clients. Durant cette perturbation des activits, lentreprise sest efforce de prendre soin de

mesure que la demande pour le cloud computing augmentera, les applications et services de cloud computing se banaliseront. Pourtant, ce qui importera le plus aux clients du cloud computing sera la prennit du prestataire et sa rputation.

Pour les besoins de cet article, une perturbation des activits est tout ce qui empche le travail quotidien dtre accompli, notamment une coupure dlectricit, un drangement des lignes tlphoniques, etc. La perte de donnes se produit lorsque des donnes sont altres ou inaccessibles. La perte de donnes est donc un sous-ensemble de la perturbation des activits.

ses clients. Toutefois, certains clients ont t informs que sils navaient pas achet une rplication supplmentaire ou ne possdaient pas de sauvegarde de leurs donnes, ils devraient payer leur propre rcupration via le mme prestataire de services de rcupration de donnes. Cette rvlation a choqu les clients qui pensaient que leur SLA couvrait la disponibilit des donnes. Cet exemple montre que les SLA et les obligations contractuelles noffrent pas forcment une protection complte aux utilisateurs du cloud computing en cas de perturbation des activits. Tout aussi risqu : ne pas avoir de clause relative la rcupration des donnes dans un contrat pass avec un fournisseur de cloud computing. Croire tort que le matriel de stockage se rtablira par lui-mme ou sera redondant 100 % est naf et peut coter cher. La rplication de donnes synchrone est onreuse et nempche pas les consquences dune erreur humaine ou dune destruction malveillante des donnes.

Conseils de protection pour le cloud computing

Des temptes ont clat dbut 2011, causant des interruptions de service pour quelques-uns des plus grands noms dans les services de cloud computing5. Ces vnements chaotiques navaient pas de lien entre eux ; toutefois, ces perturbations ont rendu des sites internet inaccessibles, affectant les internautes. Les abonns ces services se sont heurts au mme message : Ce service est momentanment indisponible. Comme les services de cloud computing sont relativement nouveaux, un client peut ignorer les limitations dun SLA tant quune perturbation des activits na pas eu lieu. Par exemple, quelle compensation ou quel remboursement le SLA prvoit-il en cas dinterruption de service, ou comment la procdure de rcupration du prestataire de services rtablira-t-elle les services manquants ? Les clients du cloud computing peuvent raliser trop tard quils ont besoin dune plus grande rsilience dans leurs contrats de cloud computing6. Les fournisseurs de cloud computing qui nont pas de spcialistes en rcupration internes ou tiers disponibles pour les aider surmonter la perturbation des activits noffrent pas le niveau de confiance attendu par leurs clients. Pendant une interruption de service, tout le personnel informatique est pied duvre, travaillant darrache-pied rtablir les services, remplacer le matriel, restaurer les sauvegardes et accomplir les analyses des causes premires et autres tches dinvestigation motives par le besoin de la direction de comprendre ce qui a dclench lvnement. Les fournisseurs de cloud computing qui tentent de tout conserver en interne saperoivent rapidement quun personnel informatique dj surcharg approche du point de rupture lors dune interruption de service. Une interruption de service dans le cloud computing peut venir dune panne du rseau, dun remplacement du matriel, dune attaque rseau venue de lextrieur ou dun bug logiciel, pour citer des causes courantes. De plus, malgr les progrs dans la technologie de stockage des donnes, le cloud computing est sujet des pertes de donnes, lesquelles peuvent contribuer une interruption de service. Les prestataires de services de rcupration de donnes rcuprent les donnes des systmes de stockage qui ont subi une panne, ont t mal grs cause dune erreur humaine, ou ont t victimes dun sabotage en bonne et due forme. Les services de rcupration sont utiliss par les consommateurs du stockage uniquement aprs quils aient perdu laccs leurs donnes. Personne ne croit vraiment quune dfaillance du stockage ou une perte de donnes lui arrivera. Pourtant, quand cest le cas, un fournisseur de cloud computing (ou client) qui na pas entirement sauvegard ses donnes immdiatement avant le sinistre peut collaborer avec un prestataire de services de rcupration de donnes pour rcuprer ses donnes dorigine. La technologie de virtualisation du stockage dans le cloud computing ajoute une couche complexe supplmentaire au processus de rcupration de donnes. En raison de la double organisation de systme de fichiers du serveur hte et du systme dordinateur virtuel, la fragmentation des donnes est multiplie par deux. Comme voqu prcdemment, la technologie de virtualisation favorise les

La connectivit et le temps de disponibilit des systmes nont rien voir avec la disponibilit des donnes.

http://www.computerworld.com/s/article/9216064/Amazon_gets_black_eye_from_cloud_outage, http://www.pcmag.com/article2/0,2817,2384214,00.asp, http://www.computerworld.com/s/article/9211798/Update_Google_Gmail_outage_leaves_thousands_of_users_without_e_mail_, http://news.cnet.com/8301-31001_3-20046091-261.html 6 Pour les besoins de cet article, une perturbation des activits est tout ce qui empche le travail quotidien dtre accompli (coupure dlectricit, drangement des lignes tlphoniques...) La perte de donnes se produit lorsque des donnes sont altres ou inaccessibles. La perte de donnes est donc un sousensemble de la perturbation des activits.
5

services de cloud computing et offre une incroyable flexibilit pour la croissance grande chelle. La couche de stockage peut devenir un maillon faible du fait que la virtualisation repose fortement dessus. La meilleure protection lors de ladoption de la technologie de cloud computing est dexiger de votre prestataire de services de cloud computing quil collabore avec un spcialiste de la rcupration de donnes renomm et offrant une gamme de services complte. Vous minimiserez ainsi le temps darrt caus par des dfaillances du stockage des donnes. Il ne sagit pas seulement de prvoir un stockage hors site, la rplication synchrone/asynchrone ou des sauvegardes sur bandes dans le SLA (que tous les fournisseurs de cloud computing devraient offrir, au minimum). Un fournisseur de cloud computing qui collabore avec un prestataire de services de rcupration de donnes rput montre que la disponibilit des donnes est plus importante que laccessibilit ou le temps de disponibilit des systmes. Un tel fournisseur gagne la confiance dun client envers son offre de services en ayant un plan de continuit des activits complet pour protger les donnes de labonn. La rcupration des donnes nest quun aspect de la discussion avoir au sujet du cloud computing. La destruction des donnes est tout aussi importante. Comprendre ce quil advient de vos donnes lorsque le contrat de cloud computing arrive

chance fait partie intgrante de la slection des fournisseurs de cloud computing. Les grands centres de traitements auront des contrats de services dOEM pour assurer la maintenance du matriel de stockage et faire dtruire ou dmagntiser les disques dfaillants avant quils ne quittent lenvironnement scuris. Il est facile de supposer que les donnes supprimes seront rapidement crases par les oprations dcriture incessantes du stockage ultrieur. Toutefois, la destruction complte des donnes ncessite que les fichiers du client passent par un processus deffacement. Les fichiers sensibles sont alors crass par des donnes pseudo-alatoires, avant dtre supprims du volume.

Beau fixe sur le cloud computing

Pour avoir une vue dgage sur vos stratgies de cloud computing, il faut pouvoir identifier tous les obstacles. Certains de ces obstacles viendront du prestataire de services et dautres du budget et de la stratgie du projet. Il est essentiel de savoir o se terminent les obligations du prestataire de services et o commencent les vtres quant la protection des donnes afin dassurer la disponibilit de vos applications et infrastructures pour vos clients. Kroll Ontrack recommande les considrations suivantes pour garantir votre entreprise un ciel radieux.

Le dluge technique : les points prendre en compte

Les protocoles et systmes de sauvegarde sont-ils aligns sur vos propres standards de sauvegarde internes ? Votre fournisseur de cloud computing a-t-il une rputation de fiabilit technique apte satisfaire vos besoins ? Vos donnes sont-elles stockes sur des systmes de stockage fiables ? Les diffrents types de donnes et dapplications sont-ils grs de manire approprie ? Votre fournisseur de cloud computing a-t-il un spcialiste de la rcupration de donnes identifi dans son plan de reprise aprs sinistre/continuit des activits ? En cas de perte de donnes, il est impratif de respecter une procdure de rponse rapide. Comment le fournisseur prouve-t-il quil respecte les lois sur la conservation des donnes ? Quels sont les contrats de niveau de service eu gard la rcupration de donnes, la responsabilit en cas de perte, lapplication de rsolutions et les rsultats oprationnels ?

Pourquoi cest important

Par exemple, le matriel suspect, les fichiers fragments et les niveaux de RAID inappropris peuvent compromettre la disponibilit des donnes. Le temps de dcouvrir comment le fournisseur de cloud computing traite ces questions, il peut tre trop tard pour ragir en cas de temps darrt. Ne supposez pas quun SLA supplmentaire peut compenser une perte de donnes. Si le fournisseur de cloud computing na pas de partenaire en rcupration de donnes, trouvez-en un pour qui cest le cas.

Le courant dominant de la scurit : les points prendre en compte

Vos donnes sont-elles bien protges ? Quelles mesures le fournisseur prend-il pour rduire le risque dune brche de scurit des donnes ? Par exemple, les donnes sont-elles cryptes ? Savez-vous qui au sein de votre entreprise et chez le fournisseur de cloud computing peut accder vos donnes ? Quelles sont leurs habilitations ? En matire de proprit des donnes, vos donnes vous appartiennentelles toujours une fois quelles sont dans le cloud computing ? Vous appartiennent-elles une fois quelles quittent votre possession ? Les donnes en fin de vie sont-elles effaces et dmagntises ? Qui certifie que ces donnes ont bien t supprimes ? Ont-elles t effaces conformment aux normes de suppression spcifiques de votre pays ?

Pourquoi cest important

Votre entreprise emploie les pratiques de lindustrie quant la scurit des donnes, y compris les employs. En comprenant comment votre partenaire en cloud computing gre son personnel et ses donnes, vous pourrez choisir un service parfaitement adapt vos politiques existantes. Le rcent dbat sur la scurit dun site de rseau social populaire suggre que la question mrite dtre examine de plus prs.

Le brouillard juridique : les points prendre en compte

Le fournisseur de cloud computing conserve-t-il les donnes dans le respect de la politique de conservation des documents de votre entreprise ? Le fournisseur de cloud computing offrira-t-il la garantie quil respecte les rglementations relatives la protection des donnes ? En cas de litige ou dinvestigation, votre spcialiste externe en e-discovery ou vous-mme pourrez-vous accder et extraire ou prserver toutes les informations stockes sous forme lectronique ?

Pourquoi cest important

En cas de cybercrime ou de brche de scurit au niveau des donnes, les spcialistes en recherche de preuves rcupreront tous les systmes de stockage, et cela peut inclure vos donnes. Si les donnes sont partages entre des services de cloud computing, cela peut compliquer lenqute et laisser vos clients et vous-mme sans aucun accs aux applications ou systmes de stockage. La mutualisation peut poser des problmes pour la rcupration de donnes et la production de donnes dans les litiges ou enqutes. De plus, les considrations gographiques sont galement importantes, car les retards dans lextraction des donnes des fins de rcupration ou de collecte peuvent savrer extrmement coteux. Cest vous-mme, et non le fournisseur de cloud computing, qui tes responsable de la protection et la conservation des donnes de vos clients. Le fait de comprendre et surmonter les obstacles empchera les dsastres juridiques.

O vos donnes sont-elles stockes exactement ? Sont-elles virtualises avec les donnes dautres entreprises ? quel endroit se trouve le centre de traitements ? Les donnes seront-elles stockes dans des juridictions o elles peuvent faire lobjet dune ordonnance de production par des tiers ? Si vous mettez un terme une relation avec un fournisseur de cloud computing, pouvez-vous rcuprer vos donnes ? Sous quel format se prsenteront-elles ? Comment pouvez-vous tre sr que toutes les copies de vos donnes sont dtruites une fois le contrat termin ?

France : 0 800 10 12 13 www.ontrack.fr Belgique : +32 (0)2 512 30 22 www.ontrackdatarecovery.be

Copyright 2012 Kroll Ontrack Inc. Tous droits rservs. Kroll Ontrack, Ontrack et les autres noms de produits et de marques Kroll Ontrack cits dans ce document sont des marques de commerce ou des marques dposes de Kroll Ontrack Inc. et/ou de sa socit mre, Kroll Inc., aux tats-Unis et/ou dans dautres pays. Tous les autres noms de produits ou de marques sont des marques de commerce ou des marques dposes de leurs dtenteurs respectifs.