Big Data dans le Cloud : les dangers du Cloud Computing

le déploiement de l’IT dans le Cloud apparaît aujourd’hui comme étant un modèle rentable économiquement pour les entreprises. Le Big Data ne fait pas exception. Vous avez vu ce qui est arrivé à Cloudera et MapR pour n’avoir pas transformé leur  offre Big Data en modèle Cloud…(nous en reparlerons dans une autre chronique).  Ainsi, le Cloud fait désormais partie des phénomènes qui vont façonner de façon durable notre société dans l’ère numérique. Il est donc vital que vous sachiez le recommander à vos clients avec une vision 360°. Dans la chronique précédente, nous avons abordé les modèles de déploiement IT en vous présentant les avantages et les inconvénients de chacun d’entre eux. Dans cette chronique, nous allons tenter de vous rendre conscient des dangers du Cloud Computing

Selon nos recherches et notre expérience, il existe 2 grands dangers majeurs à l’utilisation du cloud computing : la perte de souveraineté et l’augmentation du TCO à long terme. Nous allons étudier chacun de ces dangers dans ce point.

Danger du cloud #1 : la perte de souveraineté de l’entreprise (ou de l’Etat)

Le danger le plus important du Cloud computing à nos yeux est sans aucun doute la perte d’indépendance. Au risque de nous répéter, grâce au Cloud Computing, les entreprises aussi bien petites que grandes qui n’avaient pas le budget nécessaire pour acquérir des infrastructures de production ont désormais l’opportunité d’acquérir tout un système informatique entier sur la base d’un coût variable (Cf . chronique Déployer Hadoop dans le Cloud). Malheureusement, l’utilisation du Cloud (spécialement en modèle SaaS) demande souvent la délocalisation du patrimoine le plus important de l’entreprise : la donnée. Souvenez-vous, dans la chronique précédente sur le modèle de déploiement as a service, nous vous avons expliqué que la souscription d’un service cloud va souvent nécessiter la souscription additionnelle d’un Object Store (par exemple Azure BLOB, Amazon S3, Google drive, etc…), car par défaut, les résultats des traitements en cloud ne sont pas sauvegardés. Vous devez donc utiliser un Object Store pour persister vos données.A moins d’être dans le cas d’un Cloud Hybride,  les données contenues dans l’object store sont souvent stockées dans les serveurs internes du fournisseur Cloud. Ce qui implique que vous perdez le contrôle sur ce que celui-ci fait de vos données. Plus encore, vous n’avez pas de contrôle sur la localisation de vos données. Les fournisseurs sont souvent obligés de géo-répliquer vos données pour garantir la haute disponibilité du service cloud. Une fois que vos données sont hébergées chez le fournisseur, vous n’avez plus de contrôle sur elles. Ceci représente un danger majeur !

A ceci, vous vous dites peut-être : “Mais, Juvénal, je ne vois pas en quoi le stockage dans l’object store représente un danger du cloud computing. Avec le SLA, le fournisseur s’engage à ne pas faire du n’importe quoi avec nos données nonn ? 

A celà, je dirais que vous avez parfaitement raison ! Etant donné que c’est leur business, les fournisseurs cloud ont tout à perdre si jamais vous, leur client, veniez à découvrir un usage non-approprié de vos données (par exemple revente des données à d’autres entreprises, espionnage industrielle, etc…). Par contre, ce que vous ne voyez pas c’est que le fournisseur Cloud est une petite entité qui évolue dans un environnement contrôlé par l’Etat. Les règles et les lois auxquels il est soumis peuvent être plus fort que l’agrément que vous avez signé. En cas de problème stratégique entre votre Etat et l’Etat de votre fournisseur, je peux vous garantir que votre contrat ne fera pas foi (spécialement si votre Etat est militairement ou économiquement moins fort que celui de votre fournisseur). 

En Juin 2013 (ça ne fait pas si longtemps que ça), Edward Snowden, un jeune informaticien de la CIA a révélé des documents confidentiels qui montraient que son Etat, l’Etat américain nous espionne.  L’espionnage n’est pas un problème en soi. Tous les Etats investissent des sommes considérables pour savoir ce que font ses voisins juste au cas où

Aujourd’hui, l’Etat américain (qui n’est qu’un exemple) a dépassé le cadre de l’espionnage et a passé deux lois qui ont des répercussions sérieuses sur l’usage du Cloud : Le Patriot Act et le Cloud Act. Nous en avions brièvement parlé, mais c’est important d’y revenir dans le cadre de cette chronique. Ces 2 lois, quoique différentes dans les textes, ont le même objectif. Elles autorisent le gouvernement américain via ses agences gouvernementales (FBI, CIA, NSA, US Navy) à accéder aux données hébergées dans le Cloud des entreprises américaines pour des raisons d’investigation d’actes terroristes, indépendamment de la localisation de leurs data centers dans le monde (pas uniquement sur le sol américain). Ainsi, si l’État américain le juge nécessaire, il peut accéder aux données stockées dans le Cloud de Microsoft ou Amazon même si les serveurs qui stockent ces données sont hébergés sur le territoire européen. Malheureusement, pour le moment, le paysage du Cloud est dominé par des entreprises américaines.

Je n’aurais aucun commentaire sur ces lois ! Les Etats doivent assurer la sécurité de leur territoire. On ne peut pas reprocher l’Etat américain d’investiguer des données pour des raisons de sécurité nationale.

Par contre, en mentionnant ces lois, mon point est de souligner que le risque d’utiliser une raison légitime pour vous espionner existe une fois que vos données sont stockées chez un fournisseur Cloud qui ne paye pas ses impôts dans le pays où vous, le client payez vos impôts. 

Même si les fournisseurs Cloud garantissent l’intégrité des données hébergées, rien ne les protège du recours à la loi. Pour protéger nos clients de ce risque, nous leur recommandons de ne pas stocker leurs données sensibles (par exemple des données clients, des bons de commande, etc…) dans un cloud public. Cela devrait aller de soi, mais ce n’est pas le cas 🙁

Danger du cloud #2 : le TCO à long terme du Cloud

Le deuxième danger du Cloud computing concerne la potentielle hausse à long terme du TCO. En effet, la baisse des coûts immédiate que fournit le modèle de déploiement du Cloud est fabuleux !  Vous n’avez plus besoin d’acheter des infrastructures, ni de construire (et donc de gérer) en interne une équipe dédiée à sa maintenance et au run. La baisse de TCO induite peut être spectaculaire ! Par contre, à long terme (dans un horizon de 5 à 10 ans), le Cloud peut revenir plus cher que le modèle On Premise. En effet, même si en Cloud, les fournisseurs disent facturer à l’usage, dans la pratique c’est plus complexe. Pour des besoins spécialisé, le fournisseur va généralement exiger un abonnement fixe  sur une durée qui ne dépend pas de l’usage des logiciels. Par exemple, supposons vous que vous acquérez un logiciel de webConference déployé et facturé en Cloud. Rare sont les éditeurs qui vont vous facturer à la conférence (c’est ce que suppose le modèle de facturation “pay as you go”). Ils vont souvent exiger un abonnement annuel pour un coût fixe, par exemple 30 euros/mois. Cela signifie qu’en cas de fluctuation ou baisse de besoin de webconférence dans l’entreprise, vous pouvez perdre en TCO dans le long terme. Bien évidemment, nous avons pris un exemple simple pour que vous comprenez le principe

Aussi, vous n’êtes pas à l’abri d’un changement de conditions tarifaires de la part de votre fournisseur Cloud. Plus vous déploierez votre SI dans le Cloud, et plus vous deviendrez dépendant de votre fournisseur Cloud pour les transactions quotidiennes indispensables de votre business. Cette dépendance accrue peut à un moment donné faire pencher la balance en faveur de votre fournisseur, qui aurait alors toute la lassitude de vous imposer ses nouvelles conditions tarifaires, en sachant qu’il vous sera difficile de sortir de son Cloud. Bien que le fournisseur est engagé sous la loi par le SLA à fournir une certaine performance applicative, il n’est pas engagé à ne pas profiter de sa situation de force pour hausser ses tarifs. 

D’autres fournisseurs Cloud peuvent même aller plus loin en complexifiant leurs contrats et en rajoutant des barrières de sortie importantes de leur Cloud (avec pour but de décourager les clients biensûr).  Restez donc en alerte et ne vous emballez pas face aux gains de TCO annoncés. Vous pouvez le regretter plus tard. Dans la prochaine chronique, nous vous indiquerons quelques critères pour identifier et sélectionner un fournisseur Cloud fiable.

Avez-vous identifié d’autres dangers du Cloud computing ? Si oui, lesquels ? N’hésitez pas à les mentionner en commentaire.