Par Philippe Courtot, CEO et Chairman de Qualys
… Aujourd’hui, il est plutôt rare que les applications logicielles traditionnelles d’un éditeur ne soient pas complétées, voire remplacées totalement, par une offre SaaS ou en mode « Cloud Computing ». Mais, parallèlement à tous les avantages du mode SaaS, il ne fait aucun doute que de nouveaux risques et défis vont survenir. Notamment en raison du nombre croissant d’équipements mobiles qui accèdent à des données d’entreprise critiques. Et aussi parce que 10% des ordinateurs portables utilisés aujourd’hui risquent d’être perdus ou volés, alors que la plupart ne seront pas chiffrés. Vient aussi se greffer problème de la sécurisation des nouvelles architectures de l’informatique « dans les nuages », toutes configurations et tailles confondues.
Les défis informatiques pour l’industrie logicielle
Cependant, la révolution du SaaS et de l’informatique « dans les nuages » peut être bénéfique à l’industrie du logiciel dans son ensemble et à tous ceux dont les activités en dépendent. Par exemple, en tant qu’acteurs de l’industrie, nous savons parfaitement que les logiciels évoluent trop vite pour que l’on puisse suivre le rythme. Les améliorations logicielles, les mises à niveau, les correctifs de sécurité et les nouvelles installations sont un processus sans fin. Peu d’entre nous contesteront le fait que beaucoup trop de vulnérabilités touchent un trop grand nombre d’applications. Au cœur de la tourmente se trouvent les entreprises qui ont dû consacrer d’incroyables ressources pour corriger et atténuer les failles de sécurité.
En effet, selon l’étude « The Laws of Vulnerabilities 2.0 » réalisée par Qualys, 59 jours en moyenne sont nécessaires à une entreprise pour corriger ses vulnérabilités. Il y a 5 ans, il lui en fallait 60. Soit 1 jour de moins en 5 ans. Si l’on considère tous les efforts et l’automatisation dont la gestion des correctifs a fait l’objet ces cinq dernières années, il n’y a pas de quoi pavoiser. Au-delà de l’importance même de l’enjeu, cela démontre à quel point l’écosystème actuel des logiciels traditionnels est dépassé.
L’approche SaaS
Heureusement, les modèles du SaaS et de l’informatique « dans les nuages » constituent des ruptures positives au niveau de l’infrastructure des réseaux privés et du réseau Internet. Contrairement au déploiement de correctifs propre à chaque entreprise et qui implique nécessairement de répéter le travail pour chaque installation, toutes les entreprises bénéficient instantanément des correctifs lorsque les éditeurs de SaaS mettent à jour leurs applications logicielles. Ainsi, sont résolus la plupart des problèmes de sécurité— problèmes de correctifs et de configurations logicielles — qui pénalisent aujourd’hui les systèmes technologiques de l’entreprise. Ce n’est plus à l’utilisateur mais au fournisseur de services logiciels qu’il incombe de maintenir une application sécurisée. Le déploiement de correctifs pertinents a une incidence sur l’ensemble des systèmes informatiques concernés par les fournisseurs de logiciels SaaS et « dans les nuages ».
Mais alors pourquoi l’informatique « dans les nuages » dérange-t-elle ?
Pendant longtemps, on a pensé que le SaaS serait réservé aux seules PME. Aujourd’hui, nous savons que ce n’est pas le cas et que les réductions de coûts du personnel et de l’infrastructure inhérentes à cette technologie importent autant aux grands comptes qu’aux petites et moyennes entreprises, d’autant plus dans le contexte économique actuel. L’informatique « dans les nuages » offre un modèle de fourniture évolutif qui peut concerner d’innombrables systèmes. C’est cela aussi le pouvoir d’Internet. En effet, une fois l’infrastructure ou le centre de données déployé, le coût des services supplémentaires reste minime si bien que le fournisseur de services peut proposer des prix très compétitifs car le coût total de l’infrastructure et du personnel chargé de la gérer est amorti en raison du grand nombre d’utilisateurs concernés.
Autre avantage décisif pour les entreprises qui utilisent le SaaS : la liberté de l’acheteur. En effet, ce dernier peut essayer facilement les solutions avant de les acheter et il reste libre de changer de fournisseur si les services de ce dernier ne sont pas à la hauteur. Qui plus est, alors que l’entreprise a toujours été considérée par les fournisseurs comme le principal acheteur de matériel et de logiciels, ce sont les propriétaires de centre de données qui deviendront progressivement des clients majeurs. Pour l’industrie en général, l’informatique « dans les nuages » sera synonyme d’une transformation profonde et ceux qui s’adapteront et évolueront avec le marché seront les grands gagnants. Et comme pour toutes les grandes évolutions qui s’opèrent sur un marché, il y aura certainement des regroupements entre les acteurs existants ainsi que des nouveaux venus. Qui aurait soupçonné il y a 5 ans qu’Amazon.com deviendrait l’un des nouveaux acteurs de ce marché ? Avec le changement, ce sont de nouvelles opportunités et de nouveaux défis qui s’offrent à nous.
Mais pourquoi l’informatique « dans les nuages » ne s’est-elle donc pas imposée plus tôt si son avenir est si prometteur ?
En effet, il aura fallu plus de 10 ans pour que la révolution se produise lentement. Ceci notamment en raison du rythme naturel d’un changement d’une telle ampleur. Les autres facteurs qui ont ralenti cette progression sont notamment la disponibilité limitée d’Internet. L’essor d’Internet remonte à 2001 lorsque des pionniers commençaient tout juste à développer leur infrastructure et qu’ils ont été freinés dans leur élan par la disparition de l’investissement en capital-risque et que les entrepreneurs SaaS étaient contraints de trouver d’autres solutions pour financer leur croissance. Lors du retour de l’investissement en capital-risque en 2005, le marché est reparti et nous assistons aujourd’hui à un tsunami d’applications SaaS qui inondent le marché.
Toute résistance est vaine
La migration vers le SaaS et l’informatique « dans les nuages » a encore ses détracteurs. Néanmoins, résister à la transformation de l’informatique métier sur site vers l’informatique en mode « Cloud » ne me semble pas être une option raisonnable à terme. Il est donc impératif pour les entreprises de ne pas passer à côté des avantages qu’offre cette évolution pour leur activité, dont les économies de coût et la simplicité de gestion associées. En fait, la plus forte résistance actuelle provient du service informatique et du personnel chargé de la sécurité informatique qui redoutent par dessus tout les conséquences d’une perte du contrôle des données. Mais en réalité, les entreprises ont déjà perdu le contrôle des données, comme le prouve le flot incessant de failles de sécurité dont les médias se font presque tous les jours l’écho. En fédérant physiquement les données, il devient plus facile de contrôler leur accès. La sécurité « dans les nuages» suivra le modèle de l’industrie bancaire qui nous permet de retirer facilement des espèces via un distributeur, l’aspect sécurité étant confié à des experts.
Malgré les réticences du service informatique, les entreprises iront dans ce sens car elles n’ont pas d’autre choix que de simplifier leur gestion informatique. Et en cela, le rôle premier, et stratégique, de la sécurité informatique sera de gérer en toute sé
curité les risques de confidentialité et de sécurité associés aux données évoluant dans les nuages.
Les lacunes à combler
La révolution SaaS et de l’informatique « dans les nuages » est désormais bien engagée. Mais il reste beaucoup à faire avant que l’infrastructure principale et les services associés soient les plus sécurisés et fiables possible. Par exemple, les FAI doivent se coordonner pour nettoyer les flux de trafic réseau et les débarrasser des paquets malveillants. Un moyen simple, accepté par tous, doit également être trouvé pour la reconnaissance et la gestion des identités des personnes et des équipements. Les autres aspects majeurs sont notamment le développement d’un cadre juridique et contractuel garantissant la conformité ainsi que des accords SLA performants (Service Level Agreement).
Il est par ailleurs indispensable de définir clairement la façon dont les entreprises peuvent intégrer et sécuriser leur infrastructure actuelle car une partie toujours plus importante de cette infrastructure migre vers les services en mode « Cloud ». Les fournisseurs doivent abandonner leur approche propriétaire classique et collaborer au développement de normes permettant de partager les données situées dans différents « nuages ». C’est pourquoi il est nécéssaique pour toutes les entreprises, les professionnels de la sécurité, les directeurs du système d’information ainsi que les fournisseurs de travailler ensemble pour que la transformation soit la plus bénéfique possible pour tous. Parmi les structures qui s’investissent sans relâche pour bâtir correctement dès le départ cette nouvelle infrastructure « dans les nuages », citons la Cloud Secure Alliance et le Jericho Forum qui promeuvent l’une et l’autre les meilleures pratiques dans le domaine.
Si l’évolution visible vers l’informatique en mode « Cloud » a jusqu’ici consisté à faire migrer des applications et des données vers « les nuages », les choses ne vont pas en rester là. En effet, les entreprises externaliseront bientôt, non seulement leurs logiciels, mais aussi leur infrastructure réseau. Un jour viendra où l’essentiel de nos activités actuelles sur des réseaux privés — gérer des informations, des applications, des infrastructures et des services — sera accessible instantanément et en toute sécurité partout, depuis un simple navigateur Web. Mieux vaut commencer à s’y préparer dès maintenant !