L’informatique en nuage
… solutions pour la continuité des opérations
James Alexander McCarney, Affilié BCI, CFCP Conseiller en continuité des opérations
2 décembre 2010
Agenda
1. Survol de l’informatique en nuage2. À quoi ça sert ?3. Les différents acteurs et leurs soucis4. Beaucoup de questions …5. Pourquoi ne pas s’embarquer ?6. La continuité changerait-elle ?7. Les risques 8. Les plans de continuité ?9. Les éléments du nuage10.Questions
2 décembre 2010 2L'informatique en nuage BCI Québec
À quoi ça sert ?
• Nombreux décideurs d’entreprises se fichent des idées techies : à moins que le risque soit moindre que le coût et que ça rapporte des $$ et € £ ¥ pour l’entreprise.
• L’informatique en nuage peut les laisser perplexes si l’on aborde la question de façon nébuleuse.
• À quoi ça sert… Comment puis-je tirer parti de cette technologie?
2 décembre 2010 3L'informatique en nuage BCI Québec
Les différents soucis …
• On veut se protéger globalement contre les interruptions et les suites catastrophiques des sinistres :
• … le chef de l’entreprise se soucie des affaires quotidiennes, à moyen et à long terme
• … le chef de l’information se soucie du traitement et de la protection des données
• … le chef des finances se soucie des coûts et des risques financiers
• … le professionnel de la continuité se soucie de tout !
2 décembre 2010 4L'informatique en nuage BCI Québec
Le nuage leur offre risques et bénéfices
2 décembre 2010 5L'informatique en nuage BCI Québec
Beaucoup de questions pour les décideurs
• Comment le nuage me permet d’être concurrentiel et compétitif ?
• Comment puis-je tirer le maximum du nuage ?
2 décembre 2010 6L'informatique en nuage BCI Québec
Beaucoup de questions pour les décideurs
• Comment sécurise-t-on ses données dans les nuages ?
2 décembre 2010 7L'informatique en nuage BCI Québec
Beaucoup de questions pour les décideurs
• Dois-je y consacrer toutes mes ressources ?• Est-ce possible de faire une informatique
hybride ? (privé, publique ou un mix)• Comment puis-je devenir le propriétaire du
nuage ?• Quels sont mes recours légaux ?
2 décembre 2010 8L'informatique en nuage BCI Québec
Beaucoup de questions pour les décideurs
• Où sont mes ordis ?• Des hackers peuvent-ils me voler ? • Comment me sécuriser ?
2 décembre 2010 9L'informatique en nuage BCI Québec
Raisons pour ne pas s’embarquer ?• Notre entreprise n’est pas prête !
– Le patron ne veut pas…– Sensibilités géopolitiques– Ignorance parmi les dirigeants – On n’a pas de budget pour y penser !– Problèmes budgétaires globaux– Problèmes dans les programmes (notamment risque
et continuité)• Nos applications, infras, etc. ne sont pas prêtes !
– Nous n’avons pas vraiment préparé une stratégie de migration vers le nuage
2 décembre 2010 10L'informatique en nuage BCI Québec
La continuité ne changerait pas !
• Assentiment (« buy-in ») des dirigeants• Analyse de risques• Bilan d’impacts sur les affaires (BIA)• Stratégie de continuité des opérations• Entretien et perfectionnement des plans de crise, d’urgence de
communications et de réponse• Programmes de sensibilisation des cadres et de formation du personnel• Exercez les plans et fournissez les preuves aux fins de vérification et de
maintenance.• Assurez-vous que les communications de crise sont à jour.• Assurez-vous que la coordination avec les agences externes, premiers
répondants, etc. sont à jour
http://www.thebci.org/gpg.htmhttp://tinyurl.com/6frrw7 (BS25999)
2 décembre 2010 11L'informatique en nuage BCI Québec
• Quelles données ne peuvent pas être transférées et pourquoi ?– Règlementation interdisant aux données de
sortir du pays– Une tierce partie n’est pas autorisée à les
garder– Trop confidentielle ou critique à confier
au fournisseur
Les risques sont essentiellement les mêmes
2 décembre 2010 12L'informatique en nuage BCI Québec
• Avec qui faisons-nous affaires ?– Appliquer le principe
de la diligence raisonnable– Le fournisseur détient-il
une certification ISO-27001 ? – Suit-il les pratiques ITIL® ?– Où sont les preuves ? – Peut-on visiter les lieux ? – En quoi consiste le SLA* du fournisseur ?
2 décembre 2010 13L'informatique en nuage BCI Québec
Les risques sont essentiellement les mêmes
• En quoi consiste le SLA du fournisseur ?– Pénalités juridiques ou judiciaires– Reporting– Performance et disponibilité des services– Responsabilité– Transparence
2 décembre 2010 14L'informatique en nuage BCI Québec
Les risques sont essentiellement les mêmes
• En quoi consiste le SLA du fournisseur ?– Conformité– Mesures de continuité des opérations– Conventions de confidentialité– Procédures de traitement des incidents
de sécurité (et rapidité)
2 décembre 2010 15L'informatique en nuage BCI Québec
Les risques sont essentiellement les mêmes
• Nous sommes confortables avec le fournisseur et connaissons les données à migrer. Avons- nous un plan de migration intelligent ?– Sinon, on risque de perdre gros ! Pertes de données,
temps d’immobilisation, écarts de sécurité, discontinuité des activités commerciales…
– Les experts en sécurité de l’information et les professionnels de la continuité doivent collaborer étroitement pour concevoir la solution architecturale sécurisée et résiliente en informatique de nuage
2 décembre 2010 16L'informatique en nuage BCI Québec
Les risques sont essentiellement les mêmes
• Comment pouvons-nous appliquer nos politiques de la conservation de données et de la destruction de celles-ci lorsqu’elles deviennent périmées ?– Il faut prouver que nous avons traité
l’information selon la règlementation. Le fournisseur est-il en mesure de nous fournir la preuve acceptable ?
2 décembre 2010 17L'informatique en nuage BCI Québec
Les risques sont essentiellement les mêmes
« Le Cloud n'est pas une nouvelle technologie, il s'agit plutôt d'un nouveau
modèle de livraison… »
2 décembre 2010 18L'informatique en nuage BCI Québec
La vie avant le cloud….
2 décembre 2010 19L'informatique en nuage BCI Québec
Salle froide ? Salle tiède ? Salle chaude ?
• Niveau 0: Pas de données hors site - Peut-être pas de reprise• Niveau 1: La sauvegarde des données n'ayant pas de site à chaud• Niveau 2: La sauvegarde des données avec un site de secours• Niveau 3: chambre forte électronique• Niveau 4: copies Point-à-temps• Niveau 5: l'intégrité des transactions• Niveau 6: zéro ou proche de zéro perte de données• Niveau 7: Solution d’affaires intégrée et automatisée d'affaires
(haute disponibilité, équilibrage de la charge)
http://en.wikipedia.org/ (Seven tiers of DR)
2 décembre 2010 20L'informatique en nuage BCI Québec
Comparaison des coûts
2 décembre 2010 21L'informatique en nuage BCI Québec
Et s’il n’y avait plus de salle d’ordinateurs ?
• Les bureaux seraient là• Les gens seraient là• Mais où serait l’infrastructure ? (IaaS*)• Où serait le plate-forme ? (PaaS*)• Où seraient les logiciels dont nous aurions
besoin ? (SaaS*)
2 décembre 2010 22L'informatique en nuage BCI Québec
Et s’il n’y avait plus de salle d’ordinateurs ?
• On s’abonne aux services informatiques !
2 décembre 2010 23L'informatique en nuage BCI Québec
Et s’il n’y avait plus de salle d’ordinateurs ?
2 décembre 2010 24L'informatique en nuage BCI Québec
Plan de continuité des opérations
• Alertage / notification• Réponse (gestion de la crise)• Activation des plans• Retour à la normale
2 décembre 2010 25L'informatique en nuage BCI Québec
Questions
James Alexander McCarney, Affilié BCI, CFCP [email protected]
2 décembre 2010 26L'informatique en nuage BCI Québec