Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Copie de données en Cloud : quel intérêt pour la Continuité?


Le cloud est à la mode depuis des années. C’est une réalité aisée à employer et qui peut rendre des services dans un contexte de sinistre. A condition bien sûr de s'y préparer et de faire attention à certains points.

Revue de quelques aspects concernant les copies de données en cloud.



D.R.
D.R.

Des usages ponctuels pragmatiques

Qui ne s’est pas envoyé un e-mail sous gmail, yahoo ou laposte, avec en pièce jointe le document important qu’on n’a pas le temps de sauvegarder et que l’on aimerait retrouver de chez soi le week-end ?

De manière plus professionnelle, les offres abondent qui permettent de copier ‘ailleurs dans le cloud’ des données que l’on souhaite y mettre.

Cet exemple illustre parfaitement deux aspects intéressants du cloud :

  • il permet de ‘copier’ et ‘sortir’ des données utiles : ces deux actions sont des actes très importants en continuité, pratiqués depuis que l’informatique existe : on prend une copie et on la met à l’abri. La sauvegarde c’est cela. Les données sont copiées et déposées ailleurs qu’au Data Center.

  • Il permet de récupérer des données utiles d’à peu près n’importe où. Il suffit d’une connexion à Internet et d’un accès aux données déposées. La ‘restauration’ des données est facile et immédiate, à partir du moment où le réseau Internet ‘marche’.

Pour la DSI, il est cependant très important de ne pas se laisser déborder par une anarchie de pratiques individuelles non contrôlée. Pour le RPCA, il faut proposer des facilités utilisables aussi en cas de sinistre.

Notons deux points importants :

  • Ces pratiques ne concernent que des ‘données mortes’ ou à mise à jour asynchrone. Pas question de traiter ainsi la base de données critique de l’entreprise qui réplique sur deux data centers proches en utilisant un middleware sécurisé. Les données candidates sont bien évidemment très nombreuses malgré tout et occupent des volumes grandissants.

  • L’initiative de l’utilisateur final est quelquefois majeure et peut aller à l’encontre des choix de la DSI si elle n’y prend pas garde. Ceci n’est pas nouveau et la DSI doit pouvoir être force de proposition dans ce domaine très mouvant.

Le cloud dans ces situations est donc un usage complémentaire et plutôt simple à mettre en œuvre. La DSI doit prendre le lead sur ces usages. Le cloud ne permet pas tout et ne peut servir aux environnements les plus critiques en production dans l’entreprise.

Pour ces éléments critiques, l’usage en cloud n’est envisageable qu’après une revue architecturale d’ensemble et une délimitation claire des éléments « cloudisables » ceci sort du périmètre de cette note.

Quelques risques liés au cloud

En matière d’informatique d’entreprise, deux types de risque sautent aux yeux : la sécurité et la disponibilité de l’accès réseau suite à sinistre.

La sécurité sous l’aspect confidentialité : le niveau de protection de l’accès aux données mises en cloud n’est pas forcément le même qu’en entreprise. Il peut être moins bon. La gestion de la sécurité connaît une discontinuité entre l’entreprise et le cloud, ce qui peut être une faille. Le gain en disponibilité est en revanche majeur. En général d’ailleurs on considère que l’on gagne en disponibilité au prix d’une perte en confidentialité. C’est un choix tactique.

L’accès à Internet : sans lui, pas d’accès possible aux données. Or dans un contexte d’entreprise, rien ne nous permet d’assurer que cet accès fonctionnera en cas de sinistre. L’accès Internet de l’entreprise doit en effet être résilient (donc doublé sur deux sites). La multiplicité des solutions possibles hors de l’entreprise (wifi de chez soi et tunnel VPN par exemple ou smartphone sécurisé) rend l’indisponibilité totale de l’Internet très compliquée à imaginer et peu vraisemblable (sauf gros sinistre électrique long ou blocage politique volontaire organisé par un Etat…)

Ce bilan sur les risques peut se résumer ainsi : au prix d’une prise de risque sur la confidentialité -gérable dans certaines limites, la disponibilité et l’accessibilité sont bien augmentées.

L'usage du cloud pour le RPCA

Le RPCA doit rendre un certain nombre de documents (des procédures, des listes de contacts, des schémas, des check-lists, …) disponibles en cas de sinistre auprès de ceux qui en auront alors besoin (cellule de crise, groupes d’interventions, dir com).

Dans certains scénarios de sinistre, l’informatique de l’entreprise est inaccessible et l’Intranet sur lequel ces éléments sont déposés est mort ou coupé du monde. La messagerie interne elle-même peut ne pas être opérationnelle pendant quelques heures.

Disposer alors d’un accès sur le web (en cloud ou mode SaaS) permettant de retrouver tous les éléments utiles à la gestion de crise est utile. Il faut s’assurer que dans les scénarios de sinistre envisagés ces éléments demeurent accessibles avec un niveau de sécurité adapté.

Disposer également chez un prestataire d’une messagerie sur le web (webmail) avec des accès aux boîtes à lettres précédemment sauvegardés pour la vingtaine de personnes clés de l’entreprise est aussi d’un usage intéressant.

L’utilisation de smartphones et la mobilité en général donne un intérêt certain à ces dépôts de données en cloud qui deviennent alors accessibles et peuvent être tenues à jour.

En conclusion

Pour de nombreuses données de l’entreprise la copie en cloud apporte un plus en terme de Continuité. Il peut y avoir une prise de risque en matière de confidentialité qui nécessitera arbitrage.

Pour les cellules de crise et les Plans de reprise, le recours au cloud et à la mobilité est aussi très intéressant.

En revanche, pour les données les plus critiques et les environnements actifs/actifs vitaux la solution cloud reste limitée (à des copies ultimes par exemple) en partie par la technologie et en partie par les enjeux de sécurité.

Le passage éventuel ‘en cloud’ de ces applications et données nécessiterait une complète refonte architecturale que les entreprises ne sont pas forcément prêtes à faire encore actuellement, sauf sur les environnements aisément virtualisables (en monde x-86).

Emmanuel Besluau
Mercredi 26 Novembre 2014

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2