www.ecoreseau.fr
n°17
STrATéGIE & INNOVATION NUMérIQUE Haute résolution - Normes et nuage Focus sur un sujet high tech dans l'air du temps
Vers un Cloud international ?
CDeux nouvelles normes internationales viennent d’être publiées sur le Cloud computing, et d’autres sont en préparation. De quoi enfin espérer avoir une vision claire des offres de par le monde.
omme pour toute la terminologie. En fait, elle clarifier les relations entre matiques très concrètes. ET C’EST PAS FINI... des principes assez généraux, nouvelle technologie, définit ce qu’est le Cloud les fournisseurs de cloud et « Les responsabilités qui Plusieurs autres normes sont plutôt consensuels. Mais la le Cloud computing computing, ses différents les clients, mais aussi entre sont associées à ces termes en développement. L’ISO norme, qui devrait sortir fin
souffrait, aux yeux de certains, types (privé, public, hybride), cet écosystème et les gens sont très différentes : par 19086, portant sur le SLA 2015, début 2016, donnera
d’un discours parfois un peu flou : si tout le monde utilisait les mêmes termes (Saas, Iaas, Paas, etc.), ces derniers ne recouvraient pas néces- sairement les mêmes réalités. L’arrivée de nouvelles normes vient corriger ce problème. « Ce sont les premières normes concernant le Cloud qui sont édictées avec ISO, souligne Olivier Teitgen, chef de projet à l’Afnor, l’association française de normalisation. Il existe déjà un certain nombre de normes diverses, mais il s’agit là des premières normes internationales. » Une nécessité pour le Cloud, qui consiste en la mutualisation des ressources, et n’a de sens que sur une très large zone géographique. Ces deux normes ont été validées par les trois grandes instances de normalisation internationales : l’ISO, mais aussi la CEI (électronique et électrotechnique) et UIT (Union Internationale des Télécom). La présence de ces derniers s’explique par le fait que « les opérateurs de Télécom sont des acteurs très important du Cloud. Une grande partie du marché est occupée par des acteurs du monde des Télécoms : il y a l’IT, mais aussi des entreprises comme Orange, ou Vodafone », rappelle Olivier Colas, directeur des normes internationales chez Microsoft. Ils avaient donc intérêt à rentrer dans ces définitions. Cela permet d’éviter une guerre marketing entre deux univers (IT et Telecom) qui utiliseraient des définitions un peu différentes.
(Service Level Agreement), devrait être la prochaine à sortir. Elle aborde des questions plus pointues : « Par exemple, que signifie un taux de disponibilité de 99,9% ? Comment est-ce mesuré ? Quelle est la définition ? L’idée est d’adopter une définition commune », explique Marc Gardette, responsable de la stratégie Cloud au sein de la direction technique et sécurité de Microsoft France. Mais les négociations sont complexes, car les enjeux politiques sont importants. Par exemple, les Américains comptent de vrais masto- dontes du secteur, quand les Asiatiques n’en ont pas ; pour autant les derniers ne veulent pas laisser les premiers dicter la norme. Du coup, on semble arriver sur
une encore meilleure visibilité sur le marché. « Cela permettra également une meilleure comparaison entre les différentes solutions. Par exemple, la qualité du stockage peut beaucoup jouer : un stockage avec des disques lents peut vraiment impacter la qualité du
66
FéVrIEr 2015
« Le premier objectif est de
Vers un cloud simplifié
ce que représentent les termes Saas, Iaas, Paas... Des mots connus déjà, mais qui maintenant ont une définition fixée. Des rôles sont également définis : partenaire, client, auditeur, prestataire... et les responsabilités de chacun sont établies.
qui font des réglementations, explique Olivier Colas. Jusqu’à présent, les gens prenaient souvent en référence le document du NIST (National Institute of Technology). » Mais il commençait à être daté et avait été conçu par et pour les Etats-Unis, et un foisonnement d’initiatives privées rendaient les débats parfois flous. Ces nouvelles
exemple, en Saas, une personne porte presque toute la responsabilité, celui qui vend le service ; en Iaas ou en Paas, il peut y avoir des partages de responsabilités, ou du moins des renvois entre celui qui infogère la plateforme et celui qui gère le logiciel qui est dessus », décrit Cédric Ternois, président de Jalix,
Sécurité
Enfin une comparaison possible entre les solutions
service »,.
Ternois. Il y a encore deux autres normes qui devraient arriver d’ici deux ans et demi : l’une sur les flots de données, et l’autre sur l’interopérabilité du Cloud. De quoi offrir aux utilisateurs une vision vraiment globale du Cloud.
Jean-Marie Benoist
explique Cédric
La deuxième norme, dénommée ISO 17789, concerne l’architecture de référence, considérée sous
Un domaine qui n’est pas en reste
La sécurité ne fait pas partie de ces normes. Car en fait, tout le monde est d’accord pour dire qu’il n’y a pas de pro- blématique de sécurité qui soit propre au Cloud : elle dé- pend directement de la sécurité des réseaux. Cela ne veut pas dire que la sécurité est oubliée ! Simplement, elle est traitée par une autre norme, l’ISO 27001 et 27002, qui concerne la sécurité informatique. Une mention spéciale pour le Cloud y a été rajoutée en juillet dernier, la norme ISO 27018, qui reprend les concepts des normes 27001 et 27002 mais les applique aux données des clients (alors que les deux normes d’origines concernent les données pro- pres). « Elle rajoute un ensemble de contrôles supplémen- taires, qui font se focaliser sur les problématiques de données à caractère personnel associées au Cloud », ex- plique Olivier Colas, directeur des normes internationales chez Microsoft. Pour établir la norme, les lois en vigueur sur le sujet à travers le monde ont été examinées, et un ensemble de contrôles permettant d’être en conformité avec l’ensemble de ces législations a été établi. Cette nou- velle norme ne constitue pas une certification en elle- même. Elle fait partie de la certification ISO 27001, ce qui rend son implémentation plus aisée, puisque ne deman- dant pas la mise en place de procédures spéciales de
contrôle.
CLARIFIER LES ÉCHANGES
La première norme, dénom- mée ISO 17788, concerne
plusieurs points de vue. Quatre sont définis (utilisateur, fonctionnel, implantation, et déploiement), mais la norme n’aborde que les deux premiers. Elle définit les rôles, les sous-rôles, les activités, les parties, fait le lien entre les activités et les utilisateurs...
normes, maintenant, deviennent l’état de l’art ; quand des gens – qu’ils soient dans les mêmes pays ou non – veulent discuter d’un contrat, ils peuvent s’y référer. Notamment, la norme 17789 va faciliter l’expression des besoins et la capacité à y répondre. Ce qui résout des problé-
intégrateur-conseil en systèmes d’information. Malgré tout, le système a ses limites : « Il faut rappeler que ces normes sont d’application volontaire », souligne Olivier Teitgen. Certains grands groupes, comme Amazon, continuent de suivre leurs propres standards.