^{Directive: «Computers and a cloud, connected», cubist style, (created by Night Cafe)}

Les clouds publics, privés ou encore hybrides. Serveurs externes, data centers, services de cloud, IaaS, SaaS, edge computing et plus encore. Mais de quoi parlons-nous, au juste? Jörg Thomann, spécialiste du Cloud, nous aide à faire un état des lieux.

asut: Commençons par le début: qu’est-ce qu’un cloud, et à quoi sert-il?

Thomann: La notion est un peu nébuleuse. Si je demande à ma famille ce que signifie le cloud computing, mes fils parleront peut-être de Spotify, de Twitter ou des jeux vidéo. Et ma femme répondrait: les e-mails ou Dropbox. Ce n’est pas faux: tous ces services ont recours aux technologies cloud. Mais pour beaucoup, ce terme reste flou. Il n’existe pas encore de définition juste et universelle.

À mes yeux, il faut se baser sur les cinq critères qu’un cloud doit remplir d’après le centre américain de normalisation, le National Institute of Standard and Technologie (NIST). Premièrement, elle doit offrir un self-service à la demande, c’est-à-dire que les utilisateurs peuvent avoir recours à la puissance de calcul quand ils en ont besoin sans devoir interagir avec le fournisseur. Deuxièmement, elle doit offrir un Broad Network Access, de sorte que l’accès soit possible depuis l’ensemble des terminaux et des réseaux. Troisièmement, elle doit offrir des pools de ressources permettant, comme leur nom l’indique, aux fournisseurs de regrouper leurs ressources en pools et de les affecter de manière dynamique aux utilisateurs en fonction de leurs besoins. Le quatrième critère est la Rapid Elasticity: les ressources peuvent être mobilisées et calibrées rapidement et au besoin, à tel point qu’elles semblent illimitées et disponibles à tout moment et à volonté. Les Measured Services constituent le cinquième et dernier critère. Ce terme signifie que le fournisseur de cloud mesure ou contrôle la mise à disposition des services, par exemple de facturation, l’utilisation efficace des ressources ou la planification prévisionnelle générale.

Si j’avais dans ma cave un serveur performant qui répondait aux premiers quatre critères, et si la puissance de calcul utilisée par chaque membre de la famille était facturée selon l’usage qui en est fait, alors j’exploiterais un cloud d’après la définition du NIST. À l’inverse, les clouds d’entreprise sont loin de réunir les cinq caractéristiques principales: tout ce qui fait partie de l’étiquette du cloud ne relève pas forcément du cloud computing.

En principe, un cloud sert donc à utiliser à tout moment des ressources informatiques de l’extérieur en fonction de ses besoins, sans avoir à fournir, exploiter et entretenir le matériel et les logiciels requis.

Exactement. Loin de la rigidité des infrastructures informatiques, le cloud computing suppose l’utilisation dynamique de pools d’équipements, de systèmes d’exploitation, de logiciels de base, d’application et de service standard électroniques à l’échelle mondiale.

Aujourd’hui, il existe différents types de clouds. Quels sont leurs avantages et inconvénients?

Le cloud publicest le modèle le plus connu. Il permet à de nombreux utilisateurs d’accéder à une vaste palette de ressources et de services performants et ultraperformants depuis le réseau Internet public. Les matériels, les logiciels et autres composants d’infrastructure sont la propriété du fournisseur de cloud, qui les gère et les facture en fonction de leur utilisation. Dans un cloud privé, en revanche, les services de cloud sont exclusivement utilisés par une seule organisation. Tous les services et les composants d’infrastructure sont gérés sur un réseau privé, dans le centre de calcul local de l’entreprise ou chez un prestataire informatique local. Les clouds hybrides sont des modèles mixtes: une entreprise peut souhaiter administrer en interne ou sur un cloud privé les données particulièrement sensibles ou les systèmes plus anciens, alors que d’autres applications moins critiques nécessiteront les fonctionnalités et les caractéristiques bien meilleures de différents fournisseurs de cloud publics. Ces trois modèles ont leurs avantages et leurs inconvénients: un environnement de cloud hybride offre une grande flexibilité. Un cloud public permet aux entreprises disposant de ressources informatiques limitées d’accéder à des capacités performantes  et évolutives en ayant la possibilité de se concentrer sur leurs propres points forts – mais dans cette nébuleuse, il n’est pas toujours simple d’obtenir les services informatiques souhaités dans la qualité requise. Les clouds privés répondent davantage aux exigences de sécurité et de compliance et garantissent une confidentialité élevée.

Qu’en est-il de la sécurité? Un cloud privé est-il par définition plus sûr qu’un cloud public?

Non, la sécurité sur le cloud ne change pas selon qu’il est privé ou public. Les grands fournisseurs de cloud public ultraspécialisés mobilisent des investissements considérables pour que leur infrastructure de cloud soit le plus possible sécurisée et conforme avec le droit en vigueur. Pour ce faire, ils disposent clairement de moyens supérieurs au centre de calcul d’une petite ou moyenne entreprise. Et le fait de transférer la totalité ou une partie de son informatique sur le cloud ne suffit pas à se défausser de ses responsabilités en termes de sécurité des données: failles de sécurité, processus obsolètes ou inefficaces ou ressources de sécurité informatiques limitées restent des points sensibles pour une entreprise. Les contrats des gros fournisseurs de cloud prévoient aussi des modèles de responsabilité commune.

Qu’est-ce qu’un service de cloud et quelles sont les différences entre IaaS, PaaS et SaaS?

Tout dépend des services auxquels je fais appel sur le cloud: et si je veux uniquement utiliser les infrastructures réseau, c’est-à-dire exploiter de manière flexible les ressources d’un environnement d’exploitation informatique, avec ses performances de calcul, de stockage et de réseau, mais en gardant mes propres applications et systèmes d’exploitation? L’«Infrastructure as a Service» (IaaS) est le plus fondamental des modèles de service sur le cloud. À l’échelon suivant, le «Software as a Service» (SaaS) met permet aussi d’utiliser des logiciels sur le cloud sans avoir à les installer localement sur mon propre ordinateur. Microsoft Office 365, Slack, MailChimp ou Google Docs en sont des exemples. La «Platform as a Service» (PaaS) signifie que le fournisseur du cloud met à ma disposition le matériel, le système d’exploitation, les bases de données et d’autres systèmes auxiliaires sur une plateforme où je peux utiliser mes propres applications ou développer mes propres logiciels. Google App Engine et Amazons Elastic Beanstalk sont des exemples de solutions PaaS.

Boom des données, pénurie de spécialistes: pour une entreprise, est-il encore utile de se doter de son propre centre de calcul?

La tendance pointe vers le cloud. Peut-être pas aussi rapidement que certains l’ont prévu: dans la plupart des entreprises, le ratio devrait aujourd’hui s’établir à 20% de cloud et à 80% de systèmes internes. Mais pour les petites entreprises qui disposent de ressources informatiques limitées, en particulier pour les fondateurs de start-ups, il est bien plus judicieux d’acheter des services de cloud standardisés que d’exploiter un système informatique en interne. Même chez les grandes entreprises comme les banques et les assurances où il semble totalement exclu d’avoir recours à des services de cloud pour des raisons de sécurité et de compliance, j’observe un mouvement vers le cloud, même si la part des infrastructures sur site reste encore très élevée.

Qu'en est-il de l’edge computing? Fait-il concurrence au cloud, par exemple lorsque le manque de connexions à haut débit pèse sur la disponibilité des services de cloud?

La question de la disponibilité se posait vraiment au début des années 2000. En Europe, en Asie, dans la région de Hong-Kong et de Singapour et en Amérique du Nord, la question n’est plus d’actualité. De l’autre côté, nous sommes évidemment confrontés à une croissance phénoménale des données.  Les capteurs de données IoT génèrent en particulier un volume de données phénoménal. Et comme nous devons partir du principe que le nombre d’applications et d’appareils IoT va évoluer de manière exponentielle, il est indispensable d’opérer un tri préalable des données selon leur importance, puis de les agréger avant leur transfert au data center. L’Edge Computing aide par conséquent à maîtriser les volumes de données et à optimiser l’efficacité des data centers. Exemple international: IBM Weather Company qui doit agréger et traiter un nombre considérable de données issues d’un nombre incalculable de stations météorologiques régionales. Sans Edge Computing, ce serait insurmontable.

IBM exploite aussi un cloud – et d’après Gartner Peer Insights Report 2020, elle bénéficie même de l’un des taux de recommandation les plus élevés qui soient. Qui sont ces clients satisfaits?

À titre d’exemple, Osram, le premier fabricant d’éclairages au monde, a transféré toute son infrastructure système sur notre cloud, afin de se concentrer davantage sur ses propres compétences clés. L’éditeur suisse de logiciels Eri Bancaire, un fournisseur de solutions de banking en temps réel pour le secteur financier international, met à disposition son système bancaire clé «OLYMPIC Banking System comme modèle SaaS sur le cloud public IBM. Ses clients gagnent ainsi en agilité et peuvent développer plus rapidement de nouvelles solutions numériques. AOK Nordost, l’une des plus grandes caisses-maladie d’Allemagne, a quant à elle transféré toutes ses solutions d’input management sur le cloud IBM pour améliorer sa capacité à évoluer et diminuer ses coûts. 

Actuellement, le cloud suscite la controverse sur la souveraineté des données et l’indépendance vis-à-vis des prestataires de l’étranger. La Suisse a-t-elle besoin d’un Swiss Cloud distinct?

C’est un sujet important qu’il faut mettre sur la table. Personne ne veut que ses données, par exemple les dossiers de la patientèle, apparaissent là où elles n’ont rien à faire. Je pense que tous les fournisseurs de cloud savent qu’ils doivent développer et exploiter leurs data centers avec un niveau de sécurité ad hoc. Dans le même temps, il faut aussi insister sur le partage des responsabilités déjà évoqué: les data centers et les fournisseurs de cloud peuvent disposer de ces certifications et avoir engagé toutes les mesures de sécurité requises, mais si le client utilise des logiciels comportant des failles de sécurité, alors peu importe que le cloud soit hébergé en Suisse. La sécurité sur le cloud est souvent mal évaluée par le public. Elle ne dépend pas uniquement de la localisation des données, car de nombreux facteurs entrent en jeu: le type de mesures de protection nécessaires et garanties selon les types de données, la qualité du cryptage, l’adéquation des modèles hybrides avec les données particulièrement sensibles ou le for compétent en cas de litige, entre autres exemples. En tant que fournisseurs de cloud, nous devons encore fournir un certain travail d’information.