Le cloud computing connaît un succès grandissant, les projets se multiplient enfin. Cependant, le faible nombre d’acteurs sur le marché et les incidents qu’ils connaissent régulièrement mettent en lumière de nouveaux risques.

L’année 2012 aura été celle de la libération pour le cloud : après le buzz, place aux projets ! Les entreprises ont commencé à migrer vers le nuage, les start up se sont appuyées sans compter sur le cloud pour développer de nouveaux services. Les freins juridiques, en particulier lié au Patriot Act, ont été assimilés et les risques analysés. Même si le cloud n’est pas la panacée pour toutes les données et pour tous les traitements, il commence à trouver sa place dans les DSI. Le secteur, bien que jeune, est déjà très concentré : Microsoft, Google et Amazon représentent une majorité du marché. Les autres acteurs se positionnent sur des niches ou des usages très verticaux. Les clouds « souverains », tels que Cloudwatt ou Numergy, sont encore trop récents pour avoir pu attirer des clients en nombre. 

Des incidents visibles sur 2012

Tout n’est pourtant pas parfait dans le monde du cloud, malgré ce que veulent faire croire les acteurs du marché, l’informatique en nuage reste faillible. Les incidents font régulièrement la une de la presse. Très récemment, Office 365 a connu des déboires à plusieurs reprises ; Amazon n’est pas en reste avec pas moins de quatre incidents majeurs l’année dernière. Si l’on en analyse plus précisémment la cause, on retrouve très fréquemment des situations relativement « banales » et connues des grandes entreprises. Groupe électrogène défaillant malgré des tests, mises à jour qui se passent mal, fuite mémoire dans un mécanisme d’équilibrage de charge, développeur qui lance des scripts sur la production… toutes ces causes sont bien réelles et concrètes. Rien de très nouveau et pourtant, ce sont celles qui ont déclenché les incidents majeurs de 2012 chez Amazon. Car en dépit des  arguments marketing, le cloud reste un système informatique comme les autres, faillible par définition ! Même si des efforts d’industrialisation et de continuité sont réalisés, le zéro défaut n’existe pas. Les taux d’indisponibilité sont toutefois à relativiser. Je vois très régulièrement des situations bien plus mauvaises dans de grandes entreprises.

Concentration du marché et incidents à répétition : le cocktail gagnant pour créer un risque systémique

Les incidents de 2012 l’ont bien montré : quand un cloud tombe, c’est tout un un pan de la netéconomie qui vacille. Les pannes d’Amazon, par exemple, ont entraîné avec elles des services tels que Pinterest, Dropbox, Instagram ou encore Netflix, pour ne citer que les plus populaires des services. Nous avons assisté à de réels effets domino. Moins médiatique, mais peut-être plus grave, une indisponibilité d’Office 365 ou de Gmail prive subitement des milliers d’organisation de leurs services de messagerie. Et nous savons combien ce service est critique aujourd’hui pour de nombreux processus métier ! 

Un rôle pour les Etats ?

L’utilisation croissante du cloud par les entreprises de tous les secteurs commence à faire apparaître un risque systématique, amplifiée par la concentration du marché. Imaginons un monde où toutes les organisations reposeraient sur trois ou quatre fournisseurs pour leur informatique, en particulier pour tous les services dits de commodités comme la messagerie. La défaillance de l’un d’entre eux aurait un effet important sur l’ensemble de l’économie. Le parallèle avec les fournisseurs d’électricité ou les services de télécommunications est explicite.  Nous n’en sommes pas encore là, mais il est temps pour les entreprises de prendre en compte ce risque en imaginant des moyens de travailler dans ces situations. Et les Etats ne devraient-il pas avoir un rôle à jouer pour mettre en place un mécanisme de contrôle et de réduction de ce risque systémique ? 

Gérôme Billois, manager sécurité et gestion des risques chez Solucom

Gérôme Billois est manager sécurité et gestion des risques chez Solucom, cabinet de conseil spécialisé dans le management et les systèmes d’information. Il intervient depuis plus de dix ans auprès de nombreux grands comptes internationaux sur des problématiques liées à la sécurité de l’information.

Expert reconnu, Gérôme Billois publie régulièrement, anime des conférences (Assises de la sécurité, Isaca, Clusif…) et donne des cours dans les grandes écoles (Insa, Télécom Sud Paris…). Il est par ailleurs certifié Cisa, CISSP et Lead Auditor ISO 27001. Il est également membre des comités de normalisation Afnor.