dossier du ccti l’informatique en nuage : une …/media/site/business-and...˜dossier du ccti...

PUBLIÉ À L’ORIGINE PAR L’UNE DES ORGANISATIONS UNIFIÉES AU SEIN DE CPA CANADA

Dossier du CCTI L’informatique en nuage : une introduction Malik Datardina, CA • Yvon Audette, CGEIT

�Dossier du CCTIL’informatique en nuage :�une introduction Malik Datardina, CA • Yvon Audette, CGEIT

Le présent document, initialement publié par l’Institut Canadien des Comptables Agréés en 2010, a été mis à jour par les Comptables professionnels agréés du Canada.

Dossier du CCTI L’informatique en nuage : une introductionii

Auteur et directeur de projetMalik Datardina, CA, CISA

CoauteurYvon Audette, CGEIT

Comité consultatif sur les technologies de l’information

PrésidentRay Henrickson, CA•IT, CA•CISA, Scotiabank, Toronto

MembresChris Anderson CA(NZ), CISA, CMC, CISSP, PCI QSA, Grant Thornton, Toronto

Efrim Boritz, FCA, CA•TI/CISA, Ph.D., Université de Waterloo, Toronto

Nancy Y. Cheng, FCA, Bureau du vérificateur général du Canada, Ottawa

Malik Datardina, CA, CISA, Data Sync Consulting Inc., Mississauga

(conseiller du Comité)

Mario Durigon, CA, KPMG LLP, Toronto

Henry Grunberg, CA•TI, Ernst & Young LLP, Toronto

Andrew Kwong, CA, Deloitte & Touche LLP, Toronto

Carole Le Néal, CISA, CISSP, CIA, Mouvement des caisses Desjardins, Montréal

Richard Livesley, Bank of Montreal, Toronto

Robert G. Parker, FCA, CA•CISA, Deloitte & Touche LLP, Toronto

Robert J. Reimer, CA•TI, CA•CISA, CISM, PricewaterhouseCoopers LLP, Winnipeg

Permanent de l’ICCABryan C. Walker, CA, Directeur, Orientation et soutien

Le Comité consultatif sur les technologies de l’information (CCTI) relève de la division

Développement des connaissances de l’ICCA. Il joue un rôle de soutien et de conseil

sur les questions de TI qui ont une incidence sur la profession de CA et sur le milieu

des affaires.

2010 L’Institut Canadien des Comptables Agréés

Tous droits réservés. Cette publication est protégée par des droits d’auteur et ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise de quelque manière que ce soit (électroniquement, mécaniquement, par photocopie, enregistrement ou toute autre méthode) sans autorisation écrite préalable.

Pour obtenir des renseignements concernant l’obtention de cette autorisation, veuillez écrire à [email protected].

Dossier du CCTI L’informatique en nuage : une introduction 1

INTRODUCTIONL’informatique en nuage est rapidement passée du stade de concept à celui de phé-

nomène largement répandu. En 2008, Nick Carr a publié The Big Switch (Le grand

virage), l’une des premières tentatives d’exploration de l’impact de l’«informatique

à la demande», la capacité de payer des ressources informatiques au compteur. En

trois ans, ce phénomène est devenu monnaie courante, non seulement par l’intermé-

diaire des publicités imprimées et télévisées de Microsoft1, mais aussi lorsque Amazon a

hébergé (puis «déshébergé») Wikileaks dans le cadre de son offre de services en nuage,

Amazon Web Services.

Dans cette note d’information du CCTI, nous allons examiner quelques aspects clés de

l’informatique en nuage. Nous commencerons par la définition généralement accep-

tée de ce qu’est l’informatique en nuage, puis nous déterminerons quelle est sa pro-

position de valeur, nous étudierons les implications de ce concept en matière d’audit

et de contrôle, puis nous finirons par une liste de ressources complémentaires sur

l’informatique en nuage.

1 Exemple de telles publicités à cette adresse : http://www.youtube.com/watch?v=

-HRrbLA7rss&feature=relmfu (en anglais)

Dossier du CCTI L’informatique en nuage : une introduction2


QU’EST-CE QUE L’INFORMATIQUE EN NUAGE?Bien qu’il n’existe aucune définition officielle de l’informatique en nuage, celle du

National Institute of Standards and Technology (NIST) est plus ou moins devenue la

norme de facto. Comme nous allons le voir plus en détail ci-après, cette définition

traite des éléments suivants :

1. Les modèles de services en nuage,

2. Les caractéristiques de l’informatique en nuage, et

3. Les modèles de déploiement du nuage.

1. Modèles de services en nuageLes modèles de services en nuage sont couramment qualifiés de «modèles SPI», car ils

reposent sur les services de base proposés par les fournisseurs de services en nuage,

à savoir SaaS (Software as-a-Service, ou logiciel-service), PaaS (Platform-as-a-Service,

ou plateforme-service) et IaaS (Infrastructure as-a-Service, ou infrastructure-service)2.

SaaS (logiciel-service)

Le NIST définit les fournisseurs de SaaS comme des entreprises permettant à leurs

clients d’accéder aux «applications du fournisseur qui s’exécutent sur une infrastruc-

ture en nuage». Ces services en nuage sont consommés directement par l’intermé-

diaire d’un navigateur. L’exemple le plus marquant de cette catégorie est Salesforce.

com. Cette entreprise est présente depuis plus de 10 ans dans le domaine des systèmes

de gestion des relations clients (CRM) à base de nuage. On peut citer également des

exemples tels que Google Apps3, Intuit4 et plusieurs autres. Pour d’autres exemples,

reportez-vous à la section intitulée «Valeur de l’informatique en nuage».

PaaS (plateforme-service)

Les fournisseurs de services en nuage de cette catégorie s’occupent de l’infrastruc-

ture sous-jacente, mais fournissent les outils nécessaires pour créer les applications5.

Selon le fournisseur de PaaS, les utilisateurs ont la possibilité de fournir les applications

directement à leurs clients via le Web ou uniquement aux employés de l’entreprise.

Google App Engine (qui permet le développement dans les langages de programma-

tion Python ou Java) et Microsoft Windows Azure (qui prend en charge l’infrastructure

de développement .NET) sont deux exemples de fournisseurs de PaaS.

2 Pour une liste plus complète, voir David S. Linthicum, Cloud Computing and SOA Convergence in

your Enterprise (Boston : Addison-Wesley Professional, 2009).

3 www.google.com/apps/intl/fr/business/index.html

4 http://quickbooksonline.intuit.com (en anglais)

5 Pour plus d’information sur ces définitions, voir : http://www.csrc.nist.gov/groups/SNS/cloud-

computing/cloud-def-v15.doc (en anglais)


Certains fournisseurs de PaaS assurent le développement pour une autre offre de SaaS

(logiciel-service). Par exemple, Bungee Labs a élaboré une application de gestion des

stocks qui s’intègre en toute transparence à l’application de gestion de la clientèle

(CRM) de Salesforce.com. Les entreprises SaaS elles-mêmes peuvent également pro-

poser des services PaaS. Par exemple, des entreprises telles que Salesforce et Intuit

mettent des services PaaS (force.com et Intuit Partner Platform, respectivement) à la

disposition des programmeurs pour leur permettre de créer des applications desti-

nées aux clients de leurs propres offres SaaS.

IaaS (infrastructure-service)

Selon la définition du NIST, les entreprises IaaS «assurent le traitement, le stockage,

les réseaux et toutes les ressources informatiques fondamentales qui permettent au

consommateur de déployer et d’exécuter un logiciel arbitraire, ce qui peut inclure des

systèmes d’exploitation et des applications6». Amazon Web Services (AWS) est de

loin le plus important fournisseur de services IaaS. Cette entreprise propose Ama-

zon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Vir-

tual Private Cloud (VPC), Amazon SimpleDB et d’autres offres de services en nuage.

Grâce au service EC2, les clients peuvent déployer des images AMI (Amazon Machine

Images), qui consistent en un «système d’exploitation et en logiciels d’application pré-

configurés utilisés pour créer une machine virtuelle7». Par le biais de ces instances

virtuelles, les entreprises peuvent héberger leur propre application interne, ainsi qu’un

site Web accessible au public en général. L’exemple le plus connu de ce type de site

Web est probablement Wikileaks, qui a été brièvement hébergé par Amazon en 2010.

Rackspace, GoGrid et Storm On Demand Cloud Hosting sont d’autres exemples de

fournisseurs de services IaaS.

D’autres acteurs du secteur IaaS sont des entreprises telles que Rightscale, qui offrent

des services de gestion de nuage. Rightscale propose «ServerTemplates8» qui peut

être déployé de façon transparente sur de nombreux fournisseurs de nuage (par

exemple AWS, Rackspace, etc.).

6 Pour plus d’information sur ces définitions, voir : http://csrc.nist.gov/groups/SNS/cloud-compu-

ting/cloud-def-v15.doc (en anglais)

7 Source : Amazon; voir : http://aws.amazon.com/amis (en anglais)

8 Pour en savoir plus sur les différences entre le service ServerTemplate de Rightscale et les

images machine (proposées par exemple par Amazon ou d’autres fournisseurs IaaS), voir : www.

rightscale.com/products/advantages/servertemplates-vs-machine-images.php (en anglais)


2. Caractéristiques du nuageEn plus de définir des modèles de nuage spécifiques, le NIST a identifié les caractéris-

tiques clés d’un nuage :

• «Large accès au réseau» : comme l’indique le terme «nuage», le traitement s’ef-

fectue chez le fournisseur de services en nuage. L’utilisateur a donc la possibilité

d’accéder à l’application par l’intermédiaire d’un navigateur ou d’une autre «pla-

teforme client légère ou lourde» installée sur son bureau, son téléphone intelli-

gent, sa tablette ou tout autre appareil informatique.

• «Élasticité rapide» et «libre-service à la demande» : l’informatique en nuage a la

capacité de s’étendre et de se réduire à la demande. Si la demande de l’entreprise

en ressources informatiques augmente, le fournisseur de services en nuage peut

augmenter son approvi sionnement en ressources de façon entièrement automati-

sée, sans aucune intervention manuelle de sa part.

• «Service mesuré» et tarification à l’utilisation : le NIST souligne que les services

doivent être délivrés de façon transparente pour l’utilisateur. Du point de vue de

la tarification, cela signifie que les services en nuage sont vendus en fonction

de l’utilisation plutôt que de nécessiter un investissement initial important en

termes de matériel, de logiciel ou de quantité de ressources informatiques. Les

nuages permettent au client de payer uniquement pour les ressources qu’il utilise,

tout comme pour les services publics; c’est ce qu’on appelle l’«informatique à la

demande». L’unité de mesure de l’utilisation varie d’un fournisseur à l’autre. Par

exemple, les services AWS sont vendus à l’heure, alors que la tarification de

Google Apps est basée sur le nombre d’utilisateurs.

• «Mise en commun des ressources» : les vendeurs de services informatiques

peuvent desservir plusieurs clients avec des ressources informatiques mises en

commun qui utilisent «un modèle de service partagé dans lequel différentes res-

sources physiques et virtuelles sont affectées et réaffectées dynamiquement en

fonction de la demande du client». Une des conséquences de ce modèle est que

l’emplacement physique exact des ressources informatiques peut ne pas être

connu, mais peut se trouver à un niveau d’abstraction plus élevé (par exemple

un pays, un état ou un centre de traitement)».


3. Modèles de déploiement du nuageLes modèles de déploiement du nuage identifiés par le NIST sont différenciés en fonc-

tion du niveau de contrôle et de propriété qu’un client ou groupe de clients a sur

l’infrastructure sous-jacente du nuage, ainsi que de l’endroit où le nuage est hébergé.

Le modèle implique également le niveau de panachage des données, c’est-à-dire que

plusieurs clients se partagent les ressources informatiques mises en commun. Ces

modèles sont les suivants :

• Nuage public : l’infrastructure du nuage est hébergée par un fournisseur externe,

comme Salesforce (SaaS), Microsoft Azure (PaaS) ou Amazon Web Services

(IaaS). Les technologies sous-jacentes sont contrôlées par le fournisseur et les

données du client sont panachées avec les données d’autres clients qui achètent

également des services à ce fournisseur.

• Nuage privé : aucun panachage des données n’a lieu dans ce modèle car l’infras-

tructure du nuage est soit hébergée à l’interne, soit hébergée auprès d’un four-

nisseur externe qui gère le nuage exclusivement pour ce client.

• Nuage communautaire : l’infrastructure du nuage est contrôlée par plusieurs

clients qui se rassemblent pour former un nuage répondant à leurs besoins spé-

cifiques, en particulier d’un point de vue de contrôle, de sécurité et de confor-

mité. Par exemple, l’Hôpital Mont-Sinaï et 14 autres hôpitaux locaux de Toronto

travaillent à la mise sur pied d’un nuage communautaire pour accéder à une appli-

cation d’échographie fœtale et stocker les données de patients9.

• Nuage hybride : le NIST définit ce modèle comme une infrastructure de nuage

formée de «deux ou plusieurs nuages (privés, communautaires ou publics) qui

demeurent des entités uniques mais sont reliés par une technologie standardi-

sée ou propriétaire permettant la portabilité des données et des applications».

Les nuages privés sont-ils vraiment des nuages et sont-ils intrinsèquement plus sûrs?

Le modèle de nuage privé était à l’origine celui qui soulevait le plus la controverse.

Contrairement aux nuages publics, ce modèle ne possède pas l’avantage de coût inhé-

rent à l’utilisation des ressources à la demande. Par ailleurs, l’infrastructure matérielle

et logicielle sous-jacente doit être achetée à l’avance. Pourtant, son principal avan-

tage par rapport au modèle de nuage public est qu’il demeure sous le contrôle exclu-

sif du client. Bien que cela ne protège pas l’environnement informatique contre les

risques de sécurité traditionnels tels que logiciels malveillants, piratage et autres, cela

garantit que les données sont physiquement séparées des autres entités. Cet avan-

tage est important, car une enquête menée sous l’égide de Novell a montré que 91 %

des répondants étaient préoccupés par les problèmes de sécurité associés au nuage

public, et que 50 % identifiaient la sécurité comme le principal obstacle à leur adoption

du nuage.

9 Laura Smith, «A health care community cloud takes shape», http://searchcio.

techtarget.com/news/2240026119/A-health-care-community-cloud-takes-shape (21 décembre 2010).


Un autre point de vue est que les nuages privés constituent le début d’une démarche

qui peut mener à l’utilisation de nuages publics. La même enquête de Novell a montré

que 89 % des personnes interrogées considéraient les nuages privés comme «la pro-

chaine étape logique pour les organisations qui recouraient déjà à la virtualisation10».

Jim Ebzery, un dirigeant de Novell, a souligné que les entreprises commençaient par

un nuage privé dans le but de passer aux nuages publics. Ce point de vue est éga-

lement partagé par Thomas Bittman, analyste chez Gartner, qui voit le nuage privé

comme un «marchepied» possible vers le nuage public11.

Cela dit, les nuages privés ne sont pas automatiquement plus sûrs que les nuages

publics. Comme le souligne George Reese12,

…la clé du déploiement sécurisé d’une infrastructure en nuage public est la trans-

parence. Il ne faut pas confondre cet objectif avec l’impression trompeuse que la

transparence est synonyme de sécurité. La transparence est un élément néces-

saire pour évaluer les risques inhérents à toute infrastructure. Cela peut égale-

ment vous aider à établir des contrôles de compensation pour répondre à des

situations insatisfaisantes sur l’infrastructure cible… Cependant, la transparence

ne rend pas comme par magie n’importe quel environnement plus sûr13.

Pour viser une solution plus sûre que le nuage public, les entreprises doivent s’entourer

des talents nécessaires pour sécuriser l’infrastructure de nuage sous-jacente. Reese

souligne également que «les services TI des entreprises peu techniques sont en géné-

ral moins compétents en tant que groupe en matière de sécurité des TI que leurs équi-

valents sur un nuage public». Ainsi, les nuages privés ne sont pas intrinsèquement plus

sûrs, mais ils garantissent un contrôle direct de l’infrastructure de nuage sous-jacente

à l’entreprise qui déploie le nuage.

10 «Novell survey reveals widespread enterprise adoption of private clouds»,

www.informationweek.in/Cloud_Computing/10-10-05/Novell_survey_reveals_

widespread_enterprise_adoption_of_private_clouds.aspx (5 octobre 2010).

11 http://blogs.gartner.com/thomas_bittman/2009/10/22/talk-of-clouds-and-

virtualization-in-orlando/

12 George Reese, Cloud Application Architectures: Building Applications and Infrastructure in the

Cloud (Sebastopol : O’Reilly, 3 avril 2009), inclus dans la liste des lectures complémentaires ci-après.

13 George Reese, «The Delusion of Private Cloud Security», http://broadcast.oreilly.com/2010/08/

the-delusion-of-private-cloud-security.html (7 août 2010).


LA VALEUR DE L’INFORMATIQUE EN NUAGEEn réalité, il n’y a rien de technologiquement nouveau dans l’informatique en nuage :

la virtualisation, le service partagé et d’autres technologies à la base de l’informatique

en nuage existent depuis longtemps. De plus, les nuages publics comme Salesforce.

com, Netsuite, Hotmail et autres, sont sur le marché depuis au moins la fin des années

90. Cependant, ce qui est nouveau, c’est que le nuage offre une nouvelle façon de

consommer les TI : les ressources informatiques peuvent être louées. Ce glissement

apparemment mineur est source de nombreux avantages, comme expliqué ci-après.

Possibilité de financer des projets TI sur les dépenses de fonctionnement

Avec la possibilité de louer leurs ressources informatiques, les entreprises peuvent

transférer leurs frais de TI des dépenses en capital («CapEx») aux dépenses de fonc-

tionnement («OpEx»). Pour les jeunes entreprises en développement, c’est un avantage

particulièrement intéressant : elles peuvent en effet préserver leur capital en louant les

ressources dont elles ont besoin. Toutes les entreprises qui veulent poursuivre leurs

projets TI mais qui éprouvent des difficultés à obtenir le capital initial peuvent égale-

ment tirer parti de l’informatique en nuage de cette façon.

Approche de la technologie basée sur le paiement à l’utilisation

Avant l’informatique en nuage, les entreprises devaient trouver des millions de dollars

pour créer des centres de traitement destinés à héberger et à mettre en œuvre leurs

applications. Les entreprises présentes uniquement sur le Web ou délivrant du contenu

sur le Web (par exemple de la vidéo à la demande) faisaient face au défi supplémen-

taire de devoir acheter la capacité appropriée : une trop grosse dépense risquait de

grever leur capital sans générer de revenu et une trop faible dépense entraînait une

mauvaise expérience utilisateur, source de perte de clientèle. Avec l’informatique en

nuage, ces entreprises paient exactement les ressources qu’elles utilisent. Pour une

jeune entreprise en démarrage, cela permet une meilleure adéquation des sorties de

fonds (en technologie) à l’utilisation de leurs services. Les entreprises qui optent pour

un modèle de déploiement de nuage hybride peuvent utiliser des nuages privés pour

faire face aux niveaux attendus d’utilisation des ressources, mais transférer le traite-

ment sur le nuage public pour faire face aux pics de demande imprévus.


Maintenance, correctifs et mises à niveau exécutés par logiciel-service (SaaS)

Dans un environnement SaaS, les correctifs, les mises à niveau et autres frais de main-

tenance sont inclus dans l’abonnement. Par exemple, Workday14 met automatique-

ment à niveau son application tous les quatre mois. IaaS possède un avantage partiel

dans ce domaine. La maintenance quotidienne effective des systèmes appartient au

fournisseur de services IaaS, mais «la plus grande partie des coûts de gestion du logi-

ciel demeure les mises à niveau, l’application de correctifs, etc.15». Pour les entreprises

PaaS, l’application des correctifs sur le serveur sous-jacent revient au fournisseur, mais

l’application des correctifs de l’application revient à l’utilisateur (c’est-à-dire le déve-

loppeur de l’application)16.

Utilisation plus efficace des ressources informatiques

Les avantages cités ci-dessus sont généralement obtenus par l’utilisation de nuages

publics. Cependant, nuages publics et nuages privés bénéficient tous deux d’une allo-

cation plus efficace des ressources informatiques. Grâce au déploiement de nuages

privés, les entreprises peuvent consolider leurs ressources. Par exemple, avec la vir-

tualisation, plusieurs serveurs peuvent être hébergés dans un seul environnement phy-

sique. De même, par l’auto-approvisionnement automatisé des ressources, les utilisa-

teurs peuvent déployer un serveur virtuel en quelques minutes sans avoir à attendre

des mois que le service de TI interne achète, adapte et installe le serveur. Les nuages

publics, comme expliqué plus haut, permettent aux entreprises d’étendre et de réduire

leurs ressources pour s’adapter au trafic ou au volume auquel elles font face.

Voici quelques exemples qui illustrent les avantages ci-dessus :• Flightcaster17 est une jeune entreprise en démarrage qui propose une application

mobile pour prévoir les retards de vols. Le programme intègre les données de

la FAA, des compagnies aériennes et des services météorologiques et utilise,

pour faire ses prédictions, des techniques d’inférence et d’apprentissage auto-

matique (ou analytique gourmande en ressources TI) utilisées par les Facebook,

Google et autres. Bien que cela soit technique, cela reflète le fait que le modèle

de gestion de l’entreprise repose sur des ressources TI de grande puissance.

Selon Bradford Cross, architecte principal à Flightcaster, seulement deux per-

sonnes (dont lui-même) ont conçu toute l’intelligence et les analyses évolu-

tives. Il explique que cet effort aurait été impossible deux ans auparavant, car

il dépend d’approvisionnement en ressources TI sur le nuage. Cela aurait coûté

des millions de dollars pour créer les systèmes tolérants aux pannes sous-

jacents et Flightcaster aurait dû embaucher et payer le personnel nécessaire

pour en assurer la maintenance18.

14 www.workday.com; pour en savoir plus sur l’offre de Workday, voir la section de cet article intitu-

lée «Are clouds less expensive?» (en anglais).

15 Michael Armburst, et al., «Above the Clouds: A Berkeley View of Cloud Computing»

(10 février 2009), p. 13, www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.html

16 Tim Mather et al., «Cloud Security and Privacy» (Cambridge : O’Reilly Media Inc, 2009), p. 131.

17 www.flightcaster.com (en anglais)

18 John M. Willis, «Haddop and Cascading With Flightcaster», www.johnmwillis.com/ec2/cloud-

cafe-38-haddop-and-cascasding-with-flightcaster (19 août 2009).


• Animoto19 est une autre jeune entreprise en démarrage qui tire parti de l’infor-

matique en nuage. Cette entreprise offre une application qui crée des vidéos en

combinant des photos téléchargées par les utilisateurs avec de la musique en

utilisant un programme spécial pour la synchronisation. Elle a utilisé Rightscale

pour gérer son infrastructure d’informatique en nuage. Une fois cette infrastruc-

ture en place, elle a été capable d’augmenter de façon transparente le volume de

son environnement de 25 000 utilisateurs (environ 50 serveurs) à 250 000 utili-

sateurs (environ 3 500 serveurs), et ce, en trois jours20.

• Le Washington Post a utilisé l’informatique en nuage pour convertir 17 481 pages PDF

non interrogeables en texte lisible par la machine. À l’aide du service EC2 d’Amazon,

l’entreprise a activé 200 instances de serveurs et a effectué le travail en 26 heures.

Le coût : 144,62 $21. Le New York Times a utilisé le nuage d’une manière similaire, en

convertissant 11 millions d’articles, ou 4 téraoctets de fichiers TIFF, en fichiers PDF plus

faciles à diffuser. Ce travail a coûté 240 $ et a été effectué en 24 heures sur 100 ser-

veurs. Derek Gottfrid, le programmeur logiciel du NY Times qui a dirigé le travail, a

admis qu’en d’autres circonstances, l’entreprise aurait probablement abandonné le

projet en raison de coûts trop élevés ou de problèmes de ressources22.

Les nuages sont-ils moins onéreux?

Certains estiment que les nuages sont des solutions moins onéreuses que les applica-

tions sur site. Par exemple, Workday fournit des logiciels destinés à l’entreprise (gestion

des ressources humaines, paye et gestion financière) par l’intermédiaire d’un modèle

de logiciel-service. Selon le président-directeur général adjoint de l’entreprise, Aneel

Bhusri, Workday est une meilleure solution parce qu’elle est moins chère et peut être

mise en œuvre plus rapidement. Selon Bhusri, Sony Pictures Entertainment a choisi

Workday pour les raisons suivantes : «moitié du temps et un tiers du coût», et cela en

dépit du fait que Sony Pictures Entertainment avait déjà payé les licences d’utilisation

du logiciel de ressources humaines SAP23.

Bien que cet exemple tende à démontrer que le nuage est plus rentable, il y a de nombreux

facteurs à considérer lors de l’évaluation des économies assurées par le nuage, par exemple :

• Analyse de rentabilité : avant d’examiner les problèmes de coûts, l’entreprise

doit procéder à une analyse de rentabilité précise pour l’utilisation de l’infor-

matique en nuage. Dans certains cas, les avantages sont indubitables, comme

pour le Washington Post et le New York Times. Dans d’autres cas, les respon-

sables doivent s’asseoir avec leurs directeurs informatiques et déterminer en

quoi les avantages de l’informatique en nuage présentés ci-dessus amélioreront

leur capacité à mieux servir leurs clients et à assurer davantage de valeur à leurs

actionnaires. De plus, des préoccupations telles que la confidentialité, la sécurité

et d’autres exigences de conformité peuvent s’avérer des obstacles insurmon-

tables. Dans de telles situations, les économies de coûts ne sont plus pertinentes.

19 www.animoto.com (en anglais)

20 «Animoto’s Facebook scale-up», http://blog.rightscale.com/2008/04/23/animoto-facebook-

scale-up (23 avril 2008).

21 http://aws.amazon.com/solutions/case-studies/washington-post (en anglais)

22 Nicholas Carr, «The new economics of computing», www.roughtype.com/

archives/2008/11/the_new_economi.php (5 novembre 2008).

23 Dana Gardner, «Move to Cloud Increasingly Requires Adoption of Modern

Middleware to Support PaaS and Dynamic Workloads», http://briefingsdirect.blogspot.

com/2009/10/executive-interview-workdays-aneel.html (14 octobre 2009).


• Largeur de bande : afin de déterminer le coût de la largeur de bande, il est

nécessaire d’estimer la quantité de données qui seront transférées du fournis-

seur de nuage au client. Les montants facturés varient selon les fournisseurs.

Par exemple, Microsoft demande 10 cents pour télécharger des données vers

l’amont et 15 cents vers l’aval24. Selon Bernard Golden, auteur d’ouvrages sur la

virtualisation et consultant dans le domaine de l’informatique en nuage, ce coût est

la principale source d’écarts dans le processus d’évaluation25. De même, la largeur

de bande fournie par le fournisseur de services Internet (FSI) peut s’avérer insuffi-

sante pour prendre en charge les exigences de l’application en termes de volume

de données26.

• Intégration : les entreprises doivent également évaluer les efforts et les res-

sources nécessaires pour intégrer la nouvelle application en nuage, à la fois à des

logiciels sur site et à d’autres applications situées sur le nuage. Cela peut s’avérer

particulièrement difficile avec les applications patrimoniales. Par exemple, une

entreprise a dû créer sa propre interface pour intégrer une application en nuage

à un logiciel sur site qui s’exécutait sur un serveur AS/40027.

• Prix au comptant et prix de gros : comme le souligne Frank Gillett, de Forrester, la

consommation de TI par l’intermédiaire du nuage est l’équivalent d’acheter des

services publics sur le «marché au comptant; cela revient plus cher de payer à

l’heure que de consentir un investissement initial28». On peut même aller plus loin

et dire que lorsqu’une entreprise atteint une certaine taille, il est probable qu’il lui

sera plus rentable d’héberger ses propres applications et l’infrastructure néces-

saire, plutôt que de les louer auprès d’un fournisseur d’infrastructure-service.

24 Allan Leinwand, «The Hidden Cost of the Cloud: Bandwidth Charges» (17 juillet 2009). http://

gigaom.com/2009/07/17/the-hidden-cost-of-the-cloud-bandwidth-charges

25 Bernard Golden, «The Skinny Straw: Cloud Computing’s Bottleneck and How to Address It»,

www.cio.com/article/499137/The_Skinny_Straw_Cloud_Computing_s_Bottleneck_and_How_

to_Address_It (6 août 2009).

26 Ibid.

27 Kim S. Nash, «Cloud Computing: What CIOs Need to Know About Integration»

www.cio.com/article/593811/Cloud_Computing_What_CIOs_Need_to_Know_About_Integra-

tion (15 mai 2010).

28 Dana Gardner, «Dana Gardner Interviews Forrester’s Frank Gillett on Future of Mission-Critical

Cloud Computing», http://briefingsdirect.blogspot.com/2009/06/dana-

gardner-interviews-forresters.html (1er juin 2009).


RISQUES ET DÉFIS DU NUAGEIl est important de souligner que l’adoption de l’informatique en nuage en est encore à

ses tout débuts. Au moment de la publication de cette note d’information du CCTI, l’in-

formatique en nuage était en phase de «pic des espérances» du Hype Cycle de Gartner

et entrait en phase de «désillusionnement»29. C’est pourquoi de nombreux risques et

défis doivent être pris en considération.

Gouvernance

Comme l’illustre l’«analyse de rentabilité du nuage» effectuée avec le Washington Post

et le New York Times, un employé peut s’acheter des services d’informatique en nuage

avec sa carte de crédit. Cela ouvre la porte à d’éventuels «nuages incontrôlables» : le

risque que certains groupes d’une entreprise achètent des services d’informatique en

nuage par l’intermédiaire du «processus de note de frais», en contournant le processus

normal et contrôlé d’approvisionnement des TI30. Cela n’aboutira pas uniquement à

exposer les données aux risques propres aux nuages, mais également à entraîner des

dépassements de coûts31. En ce qui concerne ces derniers, le risque est comparable

au fait de passer d’une location d’appartement «tous services inclus» à une location

«électricité en sus» : les premières factures seront probablement élevées, car l’utilisa-

teur n’est pas habitué à se voir facturer les ressources utilisées. De plus, si l’applica-

tion devient importante pour le fonctionnement global de l’organisation, les TI seront

confrontées au défi d’intégrer le nuage dans le reste de l’environnement informatique

sur site. Cependant, l’implication clé de ce risque est que les entreprises peuvent être

déjà sur le nuage sans le savoir.

Comme pour les projets d’impartition traditionnels, le problème de la viabilité du four-

nisseur est aussi un point important à considérer. Digital Railroad, un service basé sur

le nuage assurant le stockage et la vente de photos pour le compte de photographes

professionnels, a soudainement fermé ses portes. Un autre risque est que le fournis-

seur, bien que viable, soit acheté. Cela laisserait le client à la merci de l’entreprise

acheteuse, qui pourrait fermer le service que le client utilise. Ces deux problèmes

illustrent le fait que même si le nuage est une nouvelle façon de s’approvisionner en

technologie, les entreprises doivent néanmoins mettre en place des stratégies de sau-

vegarde et de disponibilité pour s’assurer que leurs données demeurent disponibles

indépendamment du nuage.

L’autre défi ayant trait à la viabilité du fournisseur est de comprendre ses dépendances.

Par exemple, la panne du service de stockage en nuage S3 d’Amazon a empêché Twit-

ter de gérer les avatars de ses utilisateurs32. En d’autres termes, lorsqu’une compagnie

se fie à Twitter, elle se fie également à Amazon.

29 «Gartner’s 2010 Hype Cycle Special Report Evaluates Maturity of 1,800 Technologies», www.

gartner.com/it/page.jsp?id=1447613 (7 octobre 2010).

30 Chris Murphy, «Get Ready For Rogue Clouds», http://informationweek.com/blog/main/

archives/2008/12/get_ready_for_r.html (9 décembre 2008).

31 Daryl C. Plummer, «Cloud Elasticity Could Make You Go Broke», http://blogs.gartner.com/daryl_

plummer/2009/03/11/cloud-elasticity-could-make-you-go-broke (11 mars 2009).

32 Jon Brodkin, «More outages hit Amazon’s S3 storage service», www.computerworlduk.com/

news/security/10155/more-outages-hit-amazons-s3-storage-service

(22 juillet 2008).


Sécurité

Comme l’a souligné l’enquête de Novell, la préoccupation majeure en ce qui concerne

l’informatique en nuage est la sécurité. Une fois que l’information se trouve sur un

nuage public — en-dehors du pare-feu de l’entreprise — il existe un risque qu’elle soit

accessible à des utilisateurs non autorisés. Cela est dû au fait que l’informatique en

nuage recourt au partage, dans lequel les données de plusieurs clients sont mêlées

au sein de l’application du fournisseur d’informatique en nuage. Un exemple d’un tel

risque pour un fournisseur IaaS (par exemple AWS) est l’«attaque latérale», qui permet

à un éventuel utilisateur mal intentionné d’accéder aux ressources informatiques d’une

organisation33. Pour ce faire, les attaquants identifient l’emplacement de l’instance de

la victime, deviennent «corésidents» de leur victime et exploitent l’information diffu-

sée par la machine virtuelle pour placer leur attaque34. L’autre risque lié au partage

est que le fournisseur de nuage divulgue accidentellement l’information au mauvais

utilisateur. Par exemple, Google Docs a connu une faille de sécurité qui a entraîné le

partage accidentel de documents avec quiconque avait déjà été autorisé à consulter

ces documents par le passé35.

Les risques de sécurité émergent aussi de la virtualisation, dont dépendent de nom-

breux déploiements de nuages. Selon Gartner, 60 pour cent des serveurs virtualisés

seraient moins sûrs que les serveurs physiques qu’ils remplacent36. Certains de ces pro-

blèmes sont dus à des raisons techniques, mais ce communiqué de presse de Gartner

souligne également un manque de contrôle de l’organisation, comme ne pas impliquer

les responsables de la sécurité de l’information dans les projets de virtualisation et une

attention inadéquate portée à la séparation des tâches.

Couvrir tous les problèmes de sécurité associés à l’informatique en nuage va bien au-

delà de l’objet du présent document. Cependant, il existe de nombreuses ressources pour

en savoir plus. Reportez-vous aux sections ci-après intitulées «Directives de sécurité et

normes pour le nuage» et «Informatique en nuage : ressources complémentaires».

Audit

Les auditeurs internes et externes seront amenés à faire face aux défis de l’informatique

en nuage public lorsqu’elle s’intégrera à des processus dont ils sont supposés assurer

la conformité. Comme les fournisseurs de services en nuage sont indépendants, il est

nécessaire de pouvoir vérifier leurs installations ou alors d’obtenir un rapport sur leurs

contrôles. D’un point de vue proactif, les auditeurs devraient travailler avec les TI ou

d’autres services utilisant les nuages publics pour s’assurer que les ententes qu’ils ont

conclues avec les fournisseurs de nuages publics comportent une clause d’audit

ou alors une disposition pour permettre un rapport sur les contrôles, comme un

rapport SysTrust.

33 Thomas Ristenpart et al., «Hey, You, Get Off of My Cloud! Exploring Information Leakage in Third-

Party Compute Clouds», Proceedings of the ACM Conference on Computer and Communications

Security (CCS) (Chicago, IL, novembre 2009), http://cseweb.ucsd.edu/~savage/papers/CCS09.pdf

34 Ibid.

35 Jason Kincaid, «Google Privacy Blunder Shares Your Docs Without Permission»,

http://techcrunch.com/2009/03/07/huge-google-privacy-blunder-shares-your-docs-without-

permission (7 mars 2009).

36 «Gartner Says 60 Percent of Virtualized Servers Will Be Less Secure Than the Physical Servers

They Replace Through 2012», www.gartner.com/it/page.jsp?id=1322414 (15 mars 2010).


Bien qu’il s’agisse là d’une pratique exemplaire, les auditeurs doivent être conscients

qu’il est peu probable que les grandes entreprises, comme Amazon, personnalisent

leur offre pour répondre aux besoins de leurs clients. Par exemple, on dit qu’Eli Lilly

a abandonné tout projet d’extension de son utilisation d’AWS parce que «les deux

parties ne pouvaient s’entendre sur les modalités de leur responsabilité légale et des

problèmes d’indemnisation en cas de pannes ou de brèches de sécurité qui affecte-

raient les affaires d’Eli Lilly37».

Un des défis d’audit plus spécifiquement liés au nuage est le problème de la disparition

des preuves. La possibilité d’utiliser les ressources informatiques seulement quand on

en a besoin, comme un service, est un avantage clé de l’informatique en nuage. Les

utilisateurs peuvent tout simplement «fermer le robinet» quand les ressources ne sont

plus nécessaires. Comme le fait remarquer Shahed Latif, de KPMG38, lorsque le client

interrompt le service, la preuve d’audit qui réside sur le serveur virtuel disparaît «en

même temps qu’on ferme le robinet39».

Lors de la planification de l’audit, il est également nécessaire de déterminer le nombre

de fournisseurs de services en nuage qui participent effectivement à l’application uti-

lisée par l’entreprise ou le client. Comme discuté à la section Modèles de services en

nuage ci-dessus, les entreprises SaaS donnent l’opportunité aux développeurs indé-

pendants de créer des applications qui seront vendues à leurs clients SaaS. Comme

ces applications peuvent s’intégrer de façon transparente à l’application SaaS, l’utili-

sateur final ne sait peut-être pas qu’il ne traite pas en fait avec Salesforce.com ou avec

Intuit, mais avec un tiers complètement indépendant. Dans les cas où le fournisseur

SaaS offre un rapport sur les contrôles, les auditeurs devront évaluer le travail supplé-

mentaire nécessaire pour bien cerner le traitement effectué par l’application créée par

le développeur tiers.

Les plans d’audit doivent également déterminer où finit la responsabilité du fournis-

seur et où commence celle du client. Par exemple, Salesforce.com donne accès à son

rapport de services de fiducie, qui aborde la sécurité, la confidentialité et la disponibi-

lité40. Cependant, s’assurer que les employés qui ont quitté l’entreprise n’ont plus accès

à une telle application SaaS est de la responsabilité du client.

37 Joe Maitland, «Eli Lilly ends talks to expand Amazon Web Services use»,

http://searchcloudcomputing.techtarget.com/news/1517662/Eli-Lilly-ends-talks-to-expand-

Amazon-Web-Services-use (2 août 2010).

38 Shahed Latif, coauteur de Cloud Security and Privacy: An Enterprise Perspective on Risks and

Compliance; voir la section Livres ci-après pour en savoir plus sur cet ouvrage.

39 OreillyMedia, «O’Reilly Webcast — Cloud Security & Privacy», www.youtube.com/

watch?v=tF2EV5olkbQ (30 septembre 2009).

40 Voir http://trust.salesforce.com/trust/assets/pdf/Misc_SysTrust.pdf


Comme pour la section relative à la sécurité, toute la gamme des problèmes d’audit va

bien au-delà de l’objectif de ce document. Cependant, l’ISACA (Information Systems

Audit and Control Association) a beaucoup œuvré dans le domaine de l’informatique

en nuage et propose un certain nombre d’articles et de publications pour aider les

professionnels de la certification avec les problèmes spécifiques aux nuages41 :

• Cloud Computing Management Audit/Assurance Program

• Cloud Computing: Business Benefits With Security, Governance and Assurance

Perspectives

• IT Audit of Cloud and SaaS

• Making Sure You Really Are Walking on Cloud Nine

L’AICPA (American Institute of Certificated Public Accountants) ne propose pas de

ressources spécifiques à l’informatique en nuage mais, au moment de la rédaction

de la présente note d’information, cet organisme était sur le point de dévoiler des

directives pour les nouveaux rapports SOC (Service Organization Control) appelés à

remplacer les rapports SAS 7042 :

• Rapport SOC 1 — Report on Controls at a Service Organization Relevant to User

Entities’ Internal Control over Financial Reporting

• Rapport SOC 2 — Report on Controls at a Service Organization Relevant to

Security, Availability, Processing Integrity, Confidentiality or Privacy

• Rapport SOC 3 — Trust Services Report for Service Organizations.

41 Veuillez noter que ces publications peuvent nécessiter d’être membre de l’ISACA; pour en savoir

plus, voir www.isaca.org (en anglais)

42 Pour en savoir plus, voir www.aicpa.org (en anglais)


NUAGE-CONTRÔLEUn des aspects intéressants du nuage est de pouvoir appliquer son modèle écono-

mique au concept de contrôle. Comme expliqué plus haut, le nuage permet de louer

des ressources informatiques à la demande. Dans certains cas, cet avantage du nuage

peut affecter l’analyse «coûts-avantages» des contrôles et permettre leur application

alors qu’auparavant, ils ne pouvaient pas l’être parce que beaucoup trop coûteux. La

liste ci-après n’est en aucun cas exhaustive, mais donne une idée de cet impact du

nuage sur les contrôles.

Tests de systèmes sur le nuage

Avec la possibilité d’utiliser des systèmes sur demande, les entreprises n’ont plus

besoin de dépenser des milliers de dollars pour créer un environnement de test repro-

duisant leur environnement de production. Au lieu de cela, elles peuvent louer un envi-

ronnement en fonction de leurs besoins auprès d’un fournisseur IaaS comme Amazon

ou recourir aux services d’entreprises telles que Soasta43. Du point de vue du contrôle,

les avantages liés à un environnement de test spécifique sont maintenant possibles

grâce aux économies que procure l’informatique en nuage. Cela dit, des contrôles

appropriés doivent malgré tout être mis en place lors de l’utilisation de tels services.

Par exemple, les données de production ne doivent pas être utilisées dans un environ-

nement de test hébergé sur un nuage; tout comme elles ne devraient pas l’être dans

un environnement de test hébergé à l’interne.

Reprise après sinistre et planification de la continuité des opérations sur le nuage

Tout comme pour les tests de systèmes, le nuage affecte le calcul coûts-avantages de

la création d’un site de traitement de secours. Comme le souligne David Linthicum44,

dans le cas d’un site de traitement de secours hébergé sur le nuage, «aucun investis-

sement en centre de traitement n’est requis, et il n’y a pas de coûts de matériel ou de

logiciel. Qui plus est, on peut l’activer lorsque nécessaire, et on ne sera facturé que

pour les ressources effectivement utilisées. Cela ouvre de nouvelles opportunités aux

entreprises qui ne pouvaient normalement pas s’offrir le luxe d’un centre de secours.

Le coût estimé est d’environ un quart de celui des sites de secours traditionnels, en

grande partie grâce aux économies réalisées en frais d’exploitation45». Cet article sou-

ligne également que, dans un contexte de reprise après sinistre, les employés pourront

accéder plus facilement aux ressources car il leur suffira de se connecter à un réseau,

au lieu d’un véritable site de traitement de secours.

43 www.soasta.com (en anglais)

44 David Linthicum est considéré comme un grand expert de l’informatique en nuage. Il est fré-

quemment invité à des conférences pour faire des présentations sur ce sujet,

a écrit plusieurs ouvrages dans ce domaine et dirige une émission en baladodiffusion. Voir la

section Ressources pour en savoir plus sur lui. L’adresse de son blogue est

www.infoworld.com/blogs/david-linthicum (en anglais)

45 David Linthicum, «Leveraging Cloud Computing for Business Continuity», Disaster Recovery

Journal (été 2010), p. 28, 30, www.drjournal-digital.com/drjournal/2010Summer?pg=30#pg30


Les entreprises intéressées à assurer la sauvegarde d’applications spécifiques peuvent

identifier des partenaires SaaS spécifiques, selon l’application en question. Par

exemple, Google propose le service Google Message Continuity, qui assure la sau-

vegarde sur un nuage de la configuration Microsoft Exchange Server de l’entreprise

installée sur le site. Grâce à ce service, les utilisateurs peuvent basculer vers Gmail en

cas d’indisponibilité de leur serveur de courriel interne46.

L’autre «SaaS» : la sécurité-service (Security-as-a-Service)

Contrairement aux tests de systèmes et à la reprise après sinistre sur le nuage, la sécu-

rité-service offre bien plus de solutions spécifiques pour remédier à des problèmes

de sécurité spécifiques. L’application la plus courante de tels services de sécurité est

l’anti-pourriel47. Une filiale de Google (Postini) propose un service qui assure une pro-

tection contre le pourriel et les virus, ainsi que le chiffrement des courriels48. Il existe

d’autres offres de sécurité-service, comme la gestion de l’identité. Cependant, éva-

luer leur rapport coûts-avantages est comparable à l’impartition d’autres applications

aux fournisseurs de services en nuage et n’offre pas une évaluation coûts-avantages

convaincante, comme dans le cas du transfert des tests de systèmes ou de la reprise

après sinistre sur le nuage.

L’intérêt du nuage en tant que contrôle pour la gestion est qu’il permet de faire plus

avec les ressources à sa disposition et de bâtir un meilleur environnement de contrôle.

Pour les auditeurs, les contrôles qui étaient jusqu’alors négligés pour des raisons de

coûts méritent qu’on s’y attarde à nouveau pour voir si le nuage affecte suffisamment

l’aspect économique afin que leur mise en œuvre soit envisageable.

46 «Bringing Gmail’s reliability to Microsoft® Exchange», http://googleenterprise.

blogspot.com/2010/12/bringing-gmails-reliability-to.html, (9 décembre 2010)

47 Andreas M. Antonopoulos, «Security-as-a-service growing», www.networkworld.com/columnists

/2010/083110antonopoulos.html (31 août 2010)

48 www.google.com/postini/email.html (en anglais)


DIRECTIVES DE SÉCURITÉ ET NORMES POUR LE NUAGEBien que l’informatique en nuage en soit encore à ses débuts, un certain nombre d’or-

ganisations proposent des directives et des normes :

• Le forum Jericho a publié le «Cloud Cube49» , un document destiné à aider l’utili-

sateur à identifier le meilleur modèle de déploiement de nuage pour ses besoins.

• L’Agence européenne chargée de la sécurité des réseaux et de l’information

(ENISA) a publié un document de 125 pages intitulé Cloud Computing Risk

Assessment50, qui étudie à la fois les avantages et les risques en matière de sécu-

rité du nuage. Les risques de sécurité sont répartis en 24 risques spécifiques au

nuage et 11 risques non reliés au nuage.

• La CSA (Cloud Security Alliance) a publié la version 2.1 de son document de

directives, qui classe les problèmes de sécurité en 13 domaines. La CSA a égale-

ment publié Top Threats to Cloud Computing ainsi que Cloud Controls Matrix 51.

• L’Open Cloud Manifesto52 est une initiative qui vise à rendre l’informatique en

nuage plus ouverte et à améliorer son interopérabilité. Cette initiative a été lan-

cée par Reuven Cohen (président d’Enomaly, une entreprise d’informatique en

nuage établie dans les environs de Toronto), IBM et d’autres. Cependant, celle-ci

ne bénéficie d’aucun soutien d’Amazon, Google, Salesforce.com ou Microsoft.

• Cloudaudit.org 53 est une initiative menée par Chris Hoff 54. Selon ce site web 55,

le «but de CloudAudit (nom de code : A6) est de proposer une interface com-

mune et un espace de noms qui permettent aux fournisseurs d’informatique en

nuage d’automatiser l’audit, l’assertion, l’évaluation et la certification de leurs

environnements IaaS (infrastructure), PaaS (plateforme) et SaaS (application) et

de donner aux consommateurs autorisés de leurs services la possibilité de faire

de même par l’intermédiaire d’une méthodologie et d’une interface ouvertes,

extensibles et sécurisées».

49 www.opengroup.org/jericho/cloud_cube_model_v1.0.pdf (en anglais)

50 www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment (en anglais)

51 Pour en savoir plus sur cette recherche et d’autres publiées par la CSA, voir :

www.cloudsecurityalliance.org/Research.html (en anglais)

52 www.opencloudmanifesto.org (en anglais)

53 www.cloudaudit.org (en anglais)

54 Chris Hoff est directeur des Solutions nuage et virtualisation de l’unité commerciale Technologie

de sécurité chez Cisco Systems; il fait partie des fondateurs de la CSA (Cloud Security Alliance) et

est à l’origine du projet CloudAudit. L’adresse de son blogue est www.rationalsurvivability.com/

blog (en anglais)

55 www.cloudaudit.org/page3/page3.html (en anglais)

INFORMATIQUE EN NUAGE : RESSOURCES COMPLÉMENTAIRESInformation de fond sur l’informatique en nuage et ses perspectives

Ressources sur le nuage du NIST56 : comme expliqué à la section A, la documentation

compilée par le NIST est devenue la norme de facto pour définir l’informatique en

nuage. La plupart des articles, livres, baladodiffusions et autres publications se basent

sur ce modèle d’informatique en nuage pour présenter leur point de vue à ce sujet.

Computing in the Cloud: What, How and Why 57: la présentation en tant que telle, par Edward

W. Felten, commence juste après la marque des 6 minutes. Cet extrait vidéo donne un bon

historique de l’informatique et montre comment le passage au nuage est une sorte de «retour

du balancier» vers l’ancien paradigme du partage de temps sur les gros ordinateurs.

Era of the Cloud: Nicholas Carr (Google Atmosphere Session 2)58: Nicholas Carr émet

l’hypothèse selon laquelle il en va de l’informatique comme de l’électricité. À l’origine,

les entreprises produisaient leur propre électricité, puis sont passées à l’électricité dis-

tribuée par le réseau public parce qu’elles ont estimé que c’était plus logique pour

leurs affaires. D’après lui, une tendance similaire se dessine aujourd’hui avec la tech-

nologie : les entreprises constatent qu’elles peuvent faire des économies en déplaçant

leurs centres de traitement vers le nuage.

Above the Clouds: A Berkeley View of Cloud Computing59: ce document, publié par

l’université de Californie, Berkeley, explore les coûts réels associés au déploiement de

ressources informatiques sur le nuage. Il fournit des informations de coûts détaillées

sur l’utilisation des services d’informatique en nuage d’Amazon.

Baladodiffusions

Cloud Computing Podcast 60 avec David Linthicum (auteur du livre Cloud Compu-

ting and SOA Convergence in Your Enterprise). Cette baladodiffusion est encore «en

ondes» et propose des émissions hebdomadaires. Cette série traite de nouveautés et

de tendances et propose des entretiens avec des personnalités marquantes de l’indus-

trie. David Linthicum aborde les problèmes du point de vue de l’entreprise et n’est ni

pour ni contre le nuage, mais s’en fait l’avocat en tant que modèle architectural assu-

rant une meilleure valeur à l’entreprise.

56 http://csrc.nist.gov/groups/SNS/cloud-computing (en anglais)

57 www.youtube.com/watch?v=MXoMWC6xPUw (en anglais)

58 www.youtube.com/watch?v=BYP3uMOobqk (en anglais)

59 http://d1smfj0g31qzek.cloudfront.net/abovetheclouds.pdf (en anglais)

60 www.cloudcomputingpodcast.libsyn.com (en anglais)

The Cloud Computing Show61 : Gary Orenstein propose des entrevues avec des personna-

lités de ce domaine. Il organise également des panels qui examinent les problèmes et les

tendances dans le monde de l’informatique en nuage. C’est une émission plutôt technique.

Cloud Café62, avec John M. Willis, qui était consultant en informatique en nuage avant

de devenir récemment vice-président, formation et services, chez Opscode63. Cette

émission peut se montrer très technique, mais propose une excellente vision en pro-

fondeur de l’informatique en nuage. Au moment de rédiger cette note de vérification,

aucun épisode n’avait été diffusé depuis fin 2009.

IT Management and Cloud Podcast64, avec Michael Cote et John M. Willis. Cette émis-

sion aborde les tendances de l’industrie et adopte une approche plus humoristique du

sujet, qu’elle traite d’un point de vue opérationnel. C’est une émission plutôt technique.

Au moment de rédiger cette note d’information, aucun épisode n’avait été diffusé

depuis octobre 2010.

Livres

Cloud Computing and SOA Convergence in Your Enterprise:

A Step-by-Step Guide

Auteur : David S. Linthicum

Date de publication : 9 octobre 2009 (Boston : Addison-Wesley Professional)

Résumé : Propose le point de vue de l’entreprise sur l’informatique en nuage. Sur la

base du modèle SPI du NIST, cet ouvrage suggère d’autres types d’offres «en tant que

service», comme l’information-service, l’intégration-service, et d’autres. Par ailleurs, un

chapitre complet est consacré à l’élaboration d’une analyse de rentabilité des nuages

et à l’examen des problèmes qu’ils posent. On y parle également des liens entre l’infor-

matique en nuage et les architectures orientées services.

Cloud Application Architectures:

Building Applications and Infrastructure in the Cloud

Auteur : George Reese

Date de publication : 3 avril 2009 (Sebastopol : O’Reilly)

Résumé : Bien que destiné aux spécialistes techniques, ce livre permet de mieux com-

prendre en quoi le nuage diffère de l’informatique sur site d’un point de vue écono-

mique. Par exemple, une simple analyse du RCI compare l’informatique en nuage au

coût d’un centre de traitement. Ce livre porte avant tout sur l’infrastructure-service

et explore les services en nuage proposés par Amazon (par exemple Simple Storage

Service, Elastic Compute Cloud, etc.). Il contient également des chapitres consacrés à la

sécurité et à la disponibilité, avec des références au contexte de l’informatique en nuage.

61 http://cloudcomputingshow.blogspot.com (en anglais)

62 www.johnmwillis.com/best-of/ (en anglais)

63 www.opscode.com/blog/2010/02/03/opscode-announces-john-willis-as-new-vice-president-of-

training-services (en anglais)

64 www.redmonk.com/cote/topic/podcasts/itmanagementguys (en anglais)

Cloud Computing For Dummies

Auteurs : Robin Bloor, Judith Hurwitz, Marcia Kaufman et Fern Halper

Date de publication : 30 octobre 2009 (Hoboken : Wiley Publishing Inc.)

Résumé : Donne un aperçu des problèmes clés relatifs à l’informatique en nuage.

Parmi les sujets abordés, on trouve le développement d’une stratégie en nuage, la

gestion des données, les nuages hybrides et privés (y compris un bref panorama des

fournisseurs dans ce domaine), IaaS, PaaS, SaaS, la gouvernance sur le nuage et autres

thèmes similaires.

Cloud Security and Privacy:

An Enterprise Perspective on Risks and Compliance

Auteurs : Tim Mather, Subra Kumaraswamy et Shahed Latif

Date de publication : 22 septembre 2009 (Sebastopol : O’Reilly)

Résumé : Ce livre commence par un tour d’horizon des concepts de base de l’infor-

matique en nuage. Abordés du point de vue de la sécurité, les différents thèmes sont

la sécurité de l’infrastructure (au niveau du réseau, de l’application et de l’hôte), la

sécurité des données, la gestion des identités et des accès, la gestion de la sécurité (y

compris la disponibilité) et la sécurité-service (sur le nuage). Ce livre traite également

des problèmes de confidentialité, d’audit et de conformité. Il contient des échantillons

de rapports SAS 70 et SysTrust, qui sont étudiés plus en détail dans le chapitre relatif

aux problèmes d’audit et de certification.

Le présent document, initialement publié par l’Institut Canadien des Comptables Agréés

(ICCA) en 2011, a été mis à jour par les Comptables professionnels agréés du Canada

(CPA Canada) et fournit des indications ne faisant pas autorité.

CPA Canada et les auteurs déclinent toute responsabilité ou obligation pouvant décou-

ler, directement ou indirectement, de l’utilisation ou de l’application de cette publication.

Notes L’informatique en nuage : une introduction

277, RUE WELLINGTON OUEST TORONTO (ONTARIO) CANADA M5V 3H2 TÉL. 416 977.3222 TÉLÉC. 416 977.8585WWW.CPACANADA.CA

dossier du ccti l’informatique en nuage : une …/media/site/business-and...˜dossier du ccti...

Documents