Le cloud réglementé

D’une technologie tendance, l’informatique en nuage est devenue un outil fiable à destination des entreprises. Ceci est particulièrement le cas pour les infrastructures de cloud privées et hybrides. Ces derniers temps, des progrès notables ont été réalisés dans le traitement d’informations sensibles.

La législation et la réglementation ont été adaptées, les fournisseurs ont emboîté le pas avec des prestations correspondantes. Ainsi des informations critiques du point de vue commercial mais aussi extrêmement sensibles peuvent être traitées en toute sécurité dans un environnement de cloud privé ou hybride. Heureusement, car les infrastructures basées dans le cloud offrent aux entreprises de nouvelles possibilités, dont celle de réagir de manière flexible à des missions concrètes.

« Je pense que la taille de l’entreprise joue un rôle essentiel dans les questions de conformité et d’adaptation des technologies basées dans le cloud. Les grands groupes de même que les entreprises du midmarket peuvent maîtriser les deux sujets, car ils travaillent déjà avec les bons partenaires IT », déclare Thomas Barsch, fondateur de Pionierfabrik GmbH. « C’est très différent pour les petites et moyennes entreprises. De nombreux prestataires de services sont encore endormis, repoussant à demain ces sujets. Et leurs clients se comportent de la même façon. »

Les entreprises doivent balayer devant leur porte

Karsten Leclerque, principal consultant Outsourcing & Cloud chez Pierre Audoin Consultants (PAC), voit les choses de manière pratique : « Avant d’aller dans le cloud, les entreprises doivent balayer devant leur porte et définir leurs propres prescriptions en matière de conformité. La catégorisation des données est primordiale selon leur pertinence pour l’entreprise. »

« En raison de l’importance croissante de l’informatique en nuage en Europe, les CIO doivent aussi progressivement mettre en œuvre des changements dans leurs services IT. S’ils ne le font pas, ils ne pourront pas répondre aux nouvelles exigences relatives à l’expertise des collaborateurs IT », déclare Chris Ingle, Associate Vice President Research and Consulting, SIS Group.

Les départements spécialisés des entreprises ne doivent pas rester isolés. « Les départements spécialisés disposent rarement de l’expertise IT requise et ne peuvent que difficilement évaluer les offres », estime Frank Beckereit, responsable de division chez Data Center Solutions. « L’éventail de services cloud s’élargit chaque jour. Choisir le fournisseur adapté nécessite des connaissances approfondies concernant les spécifications en matière de performances, les aspects légaux et la conformité, ainsi qu’en matière d’intégration et de sécurité. De nombreux départements spécialisés ne sont pas complètement conscients de ces problématiques et réservent souvent directement des services externes, en contournant presque l’IT. »

L’insécurité n’est pas forcément inhérente au cloud. Selon Khaled Chaar, gérant de Pironet : « Dans les débats concernant la sécurité des données dans le cloud il faut tenir compte du fait que les centres de données cloud disposent en général de mesures de sécurité nettement supérieures aux centres de données des entreprises. Pour la majorité des entreprises, la mise en place de structures de centres de données sûres ne fait pas partie de leur activité de base et s’avère tout simplement trop coûteuse, notamment en raison des exigences sans cesse croissantes en matière de sécurité. »

La conformité cloud est possible

« La conformité cloud désigne le respect démontrable des règles qui s’appliquent à l’utilisation de l’informatique en nuage, légales ou propres à l’entreprise », explique Heiko Schmidt, Managing Consultant chez PA Consulting. « La conformité cloud a pour objectif la transparence et la sécurité de toutes les parties prenantes. »

« Les règles de conformité ne sont pas plus difficiles à appliquer pour le cloud que pour des modèles opérationnels traditionnels avec des partenaires externes », c’est la certitude de Stefan Lenz, Vice President IT Infrastructure au sein du Groupe Adidas. « En pratique le passage d’une prestation fournie sur site par un partenaire externe à une alternative cloud est rarement problématique. Dans les deux cas, une disposition contractuelle est requise pour le « traitement des données sur commande ». L’ennui est souvent que les gros hébergeurs de cloud utilisent leurs propres clauses types et ne tiennent pas compte des particularités du client. »

Arno van Züren, expert Compliance chez Trend Micro, poursuit : « Les entreprises doivent exiger des rapports de sécurité à intervalles mensuels réguliers. Ce n’est que de cette façon que le niveau de sécurité et le degré de maturité des services cloud pourront être fixés. »

Le cloud reste

« L’influence réglementaire apparaît lorsque l’on démystifie le terme de « cloud-computing », l’informatique en nuage, en la résumant à la partie essentielle d’un fonctionnement sûr des plateformes de serveurs. Il est facile de se rendre compte du degré de professionnalisme d’un fournisseur de cloud », explique Dr Ralf Cordes, partenaire de NextDBI à Nürtingen et dirigeant de Gesellschaft für IT-Management à Dresde. « Les classes de qualité Tier1 à Tier4, les exigences en matière de sécurité informatique de la norme ISO 27001 ainsi que les exigences de protection des données des lois correspondantes fournissent des informations importantes aux centres de données ». Selon Cordes, cette influence réglementaire exercée sur le fournisseur de cloud décharge dans une large mesure l’utilisateur. Ce dernier n’est plus obligé de s’occuper de ces trois facteurs du fonctionnement informatique et peut en lieu et place se consacrer à adapter le fonctionnement de ses applications propres dans le cloud.

Pour Ewald Glöckl, une condition nécessaire à la réussite de l’introduction des services cloud dans l’entreprise consiste en une « description minutieuse de toutes les prestations correspondantes, conclues dans les bases contractuelles avec le prestataire. » Dès que les processus commerciaux critiques de l’informatique en nuage sont pris en charge, cela induit une indépendance du prestataire. Les entreprises doivent en être conscientes.

Il s’agit de moins en moins de solutions où il faut privilégier un élément par rapport à un autre : « En pratique nous traitons la plupart du temps des modèles hybrides et des tâches professionnelles réparties différemment. En règle générale : plus les données sont importantes, plus les mesures de protection doivent être fortes », explique Karsten Leclerque. « Les entreprises doivent donc stipuler dans les SLA que les données doivent rester en Allemagne. Ainsi elles évitent que des informations soient transférées dans une autre région avec des prescriptions plus souples en matière de protection des données. » Ceci peut constituer un véritable défi. « Ici la situation est actuellement floue du point de vue juridique. Par conséquent les entreprises doivent identifier les données concernées et réfléchir si elles font confiance à un fournisseur de cloud dont le siège se trouve aux États-Unis. »

Perspective Lenovo

Lenovo considère le cloud comme un outil puissant pour les entreprises. Le cloud ne doit donc pas obligatoirement se situer chez un fournisseur tiers, mais peut être exploité en tant que cloud privé également au sein de l’entreprise. Des infrastructures de cloud privées ou hybrides sont parfaitement adaptées afin de répondre aux défis actuels comme la flexibilité de l’IT de l’entreprise et le morcellement des secteurs cloisonnés forgés au fil des années : « Le plus grand défi pour les décideurs IT est la rupture avec le matériel en silos », déclare Tikiri Wanduragala, consultant senior EMEA Systèmes serveurs x86 de Lenovo. « Ils attendent d’un prestataire de services un pack de tâches caractérisé par la surveillance des réseaux, du stockage, des serveurs et des services. Les clients souhaitent une solution qui s’oriente sur leurs besoins sans avoir à se soucier des composants individuels comme les ordinateurs, le stockage ou le réseau. »

Les décideurs IT souhaitent avant tout une solution de cloud viable et ouverte qui ne se limite pas à certains fabricants, systèmes d’exploitation ou applications. C’est là où Lenovo en tant que fournisseur de matériel marque un point. En effet les solutions Lenovo sont fixées soit sur des configurations du matériel déterminées, soit sur des systèmes d’exploitation précis ou des fournisseurs de logiciels. Les systèmes de serveurs Lenovo sont adaptés aux technologies de virtualisation et aux logiciels cloud de différents fabricants. Les serveurs  Lenovo prennent en charge tous les systèmes d’exploitation actuellement disponibles comme Windows, Red Hat, Nutanix, Vmware ou Openstack et sont certifiés pour toutes les applications professionnelles connues.

Le thème de la sécurité est également un point fort des serveurs Lenovo. Les fonctions de sécurité comme le Trusted Platform Module (TPM) constituent une norme chez Lenovo et ne sont pas en option, comme chez d’autres fabricants. Grâce à la puce, le matériel possède des fonctions de sécurité fondamentales afin qu’elle ne soit pas utilisée, par exemple par des criminels, à l’encontre des prescriptions du fabricant.

Les prestataires IT sont difficilement en mesure de faire face aux nouvelles tâches. Les partenariats sont donc essentiels pour assurer la continuité. En tant que prestataire fiable, Lenovo s’occupe des infrastructures informatiques, avec différents programmes et initiatives, pour un niveau élevé de sécurité et représente un excellent choix pour chaque fournisseur de cloud.