Cloud public, privé ou modèle hybride : quelles différences et comment choisir ?

Cloud : définitions

Tous les Clouds regroupent, partagent et extraient des ressources de calcul déportées en dehors de l'enceinte d'une entreprise, sur un réseau. Ils permettent d'exécuter des charges de travail. Chaque Cloud se distingue par :

• son matériel
• sa plateforme de gestion
• ses interfaces de programmation (API)
• son système d'exploitation
• des éléments supplémentaires comme des solutions d'automatisation et de virtualisation.

Il existe trois grandes formes de Cloud Computing.

Le Cloud Public

Les Clouds publics sont des environnements créés sur une infrastructure informatique appartenant à un fournisseur, mais pas à son utilisateur final. Les principaux fournisseurs de cloud public sont américains et chinois : AWS, Google Cloud, IBM Cloud, Microsoft Azure et Alibaba Cloud.

Le Cloud Privé

Les Clouds privés sont des environnements infonuagiques qui sont spécifiques à une organisation ou à un utilisateur final. Contrairement au Cloud public, l'infrastructure informatique sous-jacente est spécifique et l'accès est isolé.

Longtemps hébergés sur site (on prem), les Clouds privés sont aujourd'hui eux aussi déportés dans des infrastructures appartenant à un fournisseur tiers, mais de manière isolée des autres clients. On parle alors de Cloud privé infogéré.

Le Cloud Hybride

Un cloud hybride fonctionne lui comme un environnement créé à partir de plusieurs environnements interconnectés via des réseaux LAN, WAN et VPN. Un système informatique Cloud devient hybride dès que les applications ou les données peuvent se connecter entre différents environnements.

Généralement, les Clouds hybrides naissent de la combinaison d'un Cloud privé et d'un Cloud public, mais certaines configurations impliquent également la présence d'infrastructures on premise.

Cloud Public : non sans risques

De nombreuses entreprises et des institutions ont opté pour le Cloud public dans le cadre de l'hébergement d'applications ou de données à caractère sensible. Une erreur selon Grégory Distatte, Cloud Engineer chez Win : "Nous remarquons aujourd'hui une tendance forte à la simplification des infrastructures informatiques, mais avec un revers de taille : le choix du Cloud Public se fait désormais souvent pour des raisons économiques de manière totalement irréfléchie, grâce à des offres attrayantes".

Le manque de stratégie de gouvernance des données conduit encore trop souvent ces clients à stocker sur des infrastructures étrangères (principalement chinoises et américaines), sans la moindre réflexion autour de la territorialité des données, des données sensibles :

• médicales, par exemple, pour le secteur des soins de santé ;
• d’autres relatives à des personnes physiques, donc soumises au RGPD.

Quel risque court alors l'organisation en cas d'attaque ? "On remarque que le score de sécurité des données dans le Cloud public est souvent de 14 %. Effrayant, mais cela part d’une bonne intention a priori : pour ne pas embêter les utilisateurs finaux, on évite de mettre en place des couches de sécurité essentielles, comme l'authentification multi-facteurs. On a également tendance à lésiner sur des options comme la sauvegarde des données hébergées. Résultat : la facture peut s'avérer salée, une fois les options supplémentaires activées" .

Cloud public, privé, hybride : les bonnes questions à se poser

Toute direction informatique (DSI, CIO, IT Manager) en 2021 doit envisager le Cloud, quelle qu'en soit la nature, avec une réflexion sous-jacente: quelle est la criticité des données stockées et opérées ?

Cette réflexion devrait toujours démarrer par un audit des infrastructures existantes et des données. Objectif : obtenir une cartographie des données et des applications existantes.

Une nouvelle fonction s'impose désormais, celle du DPO (Data Privacy Officer). Ce dernier devient alors à la fois référant maître d'œuvre d'une optique de gouvernance, pour classifier les données et ainsi établir des critères de criticité (en fonction des priorités business, des législations, des impératifs économiques,…). L'idée est de déterminer quand une donnée revêt un caractère sensible : dossiers patients, plans comptables, comptabilité, fichiers de développement de produits.

Grégory Distatte rappelle les risques que représentent aujourd'hui les attaques cyber et le crypto-hacking : "Leur impact peut être fatal, à la fois sur la continuité des opérations et les finances, puisque des données et ressources sont dérobées ou cryptées avec une demande de rançon afin d’obtenir le logiciel de décryptage… mais sans garantie".

Quel type de Cloud choisir ?

Pour savoir quel Cloud choisir, tout dépend des résultats de l'audit et de la stratégie mise en place :

• Le Cloud privé est adapté aux charges de travail avec des modèles prévisibles. Il s'impose également dans le cadre de données à caractère sensible ou stratégique.
• Le Cloud public est par essence adapté à la gestion des données à caractère non sensible. Il convient également aux charges de travail nécessitant une puissance de calcul plus importante, comme l'Intelligence artificielle.
• Le modèle de Cloud hybride se montre le plus polyvalent : il va permettre d’utiliser plusieurs types d’environnements (on premise, public, privé) en fonction de la criticité des données et des stratégies mises en place.

Grégory Distatte ajoute : "Le Cloud public n’est pas à rejeter. Il est utile dans certains cas. Toutefois, si une organisation manipule des données sensibles, le choix le plus raisonnable en termes de sécurité et de continuité business, c’est de préserver une infrastructure on premise ou de placer ces données dans un datacenter en Belgique". Exemple : envisager le Cloud privé dans un environnement comme le Wallonie Data Center (WDC) : "Nous y gérons le hardware dans un espace à la fois isolé et entièrement sécurisé. Les ingénieurs et IT Managers ont l'impression d'être chez eux - nous organisons d'ailleurs des visites du site : ils ont un datacenter virtuel, où il est possible d'installer une machine Linux, un poste Windows, faire du patching ou déployer des applications. Mais surtout de faire évoluer cette infrastructure au gré des besoins, sans risquer de voir les données éparpillées sur des serveurs à l'étranger, autour desquels règnent souvent un flou juridique".