FLASH INFORMATIQUE FI



Cloud, une question de confiance


Les techniques du Cloud Computing sont prometteuses pour répondre aux défis modernes de l’IT académique comme ceux du cycle de vie (accès, traitement, sauvegarde) de l’information scientifique. Mais elles apportent leur lot de problèmes légaux, économiques ainsi que de dépendance et de perte de contrôle. Est-ce qu’une approche nationale ou communautaire pourrait nous aider à bénéficier du cloud ?



Cloud computing techniques have the potential to address data- and compute-intensive challenges in academic research and education, for example in the field of scientific data life cycle management. However, it currently raises new issues in the fields of laws and regulations, economics, dependency and loss of control. Could national or community-specific approaches help make this technology palatable ?


Simon LEINEN


Les services basés sur le modèle du cloud [1] sont largement répandus dans le monde universitaire : qui n’utilise pas d’engins de recherche tels que Google ou Bing  ? De nombreux étudiants partagent des fichiers sur des services comme Dropbox. L’utilisation d’outils de collaboration tels que Gmail ou Skype ou de réseaux sociaux en ligne comme Facebook ou LinkedIn ne se limite plus à la vie privée. Quelques chercheurs curieux ont déjà trouvé que, munis d’une simple carte de crédit, ils peuvent créer des systèmes impressionnants et stocker des quantités énormes de données sur des services comme l’AWS de Amazon, Azure de Microsoft, Google App Engine/Google Compute Engine et j’en passe.

Soucis de perte de contrôle

Si les services cloud sont très utiles et agréables à utiliser, il reste souvent un sentiment de malaise chez l’utilisatrice ou l’utilisateur. Parmi les questions qu’on peut se poser, citons :

Où sont mes données  ?

Savoir où se trouve ce à quoi l’on tient apporte toujours un certain réconfort. C’est la même chose pour les données importantes ... même si on ne peut pas être à 100% sûr que le disque que l’on tient dans sa main sera effectivement lisible au moment opportun. Dans le cloud, le lieu de stockage est diffus, quasiment par définition. Un autre aspect de lieux concerne le cadre légal, dont je vais parler plus loin.


salle de stokage du DIT à la fin du 20ème siècle ; bandes magnétiques et cartouches sont alignées à perte de vue

Qui a accès à mes données  ?

Dans mon institution, je peux savoir (au moins approximativement) qui a la possibilité d’accès aux données que je stocke sur les systèmes, et en estimer les risques. Dans le cloud, cela n’est guère transparent.
À part les opérateurs du service, on peut se soucier également des tiers qui ont des désirs plus ou moins légitimes de fouiller dans ces données. Dans ce contexte, on entend souvent parler du USA PATRIOT act qui donne aux organismes (américains) d’application de la loi des pouvoirs assez larges et discrets sur les données gérées par des sociétés américaines au sens large [2]. Il faut dire que les lois dans la plupart des pays européens confèrent des privilèges similaires à leurs autorités respectives [3].

Qui va m’aider en cas de soucis  ?

L’efficacité et l’économie des services cloud sont dues en grande partie à un niveau très élevé d’automatisation. Le service à la clientèle traditionnel - c’est-à-dire par des êtres humains - est un peu contradictoire avec ce modèle.

Qui va payer la facture  ?

Un grand nombre de services cloud sont offerts sans rémunération, ce qui est au premier abord fort sympathique. Mais fournir des services a un coût, et les fournisseurs de services veulent, pour la plupart, que cela rapporte ; on peut ainsi se demander qui joue le rôle du client. Certains disent que l’utilisateur n’est en fait pas le client, mais la marchandise que le fournisseur vend à ses vrais clients, ceux qui payent pour la publicité. En fait la marchandise, c’est l’attention de l’utilisateur et/ou des informations démographiques, qui peuvent être d’une précision assez surprenante, incluant des informations sur son comportement qu’on aurait tendance à considérer confidentielles.

Le cloud sera-t-il encore là pour moi demain  ?

Ce qui nous mène à des questions de pérennité. Même si l’on accepte l’affichage de publicité et des intrusions dans sa sphère privée, il reste un risque si le business case ne fonctionne pas : soit le service qu’on a commencé à apprécier devient soudain payant, soit le fournisseur se voit obligé de trouver d’autres moyens d’y trouver son compte, qui risquent de changer les conditions d’usage en défaveur de l’utilisateur. Ou bien le service disparaît tout simplement ; en donnant assez de temps aux utilisateurs d’en extraire leurs données, on l’espère, et si possible, sous une forme utilisable ailleurs.

Solution : un cloud à moi tout seul  ?

Tout cela peut paraître bien inquiétant, et certains vont se dire qu’il vaut mieux éviter tous ces risques en construisant des clouds privés (private clouds). Ceux-ci épousent les principes techniques des grands clouds publics : virtualisation, gestion automatisée, interfaces self-service ; mais dans le contexte d’une entreprise. Aujourd’hui, presque tous les grands fournisseurs de matériel informatique pour l’entreprise vendent ce type de solutions : HP, IBM, Dell, Cisco, EMC² et autres.
Mais en choisissant cette alternative, on risque de passer à côté d’une grande partie des avantages : l’échelle sera forcément limitée, les prix vont plutôt ressembler aux systèmes high-end, et l’accès depuis l’extérieur sera entravé par les firewalls, ce qui ne facilite pas les applications partagées avec le monde hors entreprise, y compris des employés qui sont prêts à travailler depuis l’extérieur.
Surtout, on n’arrive pas à se débarrasser d’une grande partie du travail qu’on devrait peut-être outsourcer à des spécialistes afin de mieux pouvoir se concentrer sur le coeur de son métier.

Et si un peu de perte de contrôle, ça en valait la peine  ?

Si on revisite les questions du début de l’article avec objectivité, il y a pour chaque question des arguments allant dans le sens inverse :

Où sont mes données  ?

Les données dans le cloud sont vraisemblablement mieux protégées - entre autres grâce à la distribution spatiale - que celles qu’on garde près de soi.


intérieur du Centre de traitement de données de Facebook à Prineville dasn l’Oregon. Photographie de Alan Brandt

Qui a accès  ?

Les personnes qui font tourner le cloud sont des professionnels avec un sens éthique élevé, et à qui leurs employeurs, pour leur propre intérêt, ont instauré des règles strictes sur l’accès aux données de leurs clients, avec des mécanismes de protection et d’audit. Dans la plupart des entreprises, ces mécanismes sont encore lacunaires, ce qui confère un grand pouvoir, et donc une grande responsabilité, aux super users.

Qui va m’aider  ?

Les systèmes grand public sont généralement assez conviviaux, surtout quand ils ont de la concurrence. Et vous pourrez sans doute trouver assistance dans des forums ou auprès de connaissances.

Qui paie  ?

Il y a souvent la possibilité, surtout pour les entreprises, d’avoir un accès payant sans publicité, et même avec du support humain. Sur la question de la pérennité, ce n’est pas si problématique dans des segments du marché où la concurrence fonctionne. Et les solutions in-house ont leur lot de risques, surtout quand ils dépendent de personnes qui vont un jour vous quitter, par exemple quand elles finissent leur thèse. Notons qu’une objectivité totale est mal placée ici : à risques égaux, on va préférer les risques anciens, qu’on a en quelque sorte apprivoisés, aux risques nouveaux, plus difficiles à évaluer faute d’expérience.
Au fond, faire confiance et déléguer des responsabilités à des tiers, c’est une base du progrès de notre société vers le partage de travail et la spécialisation. On peut y regretter le danger d’aliénation, mais il faut avouer que ce développement nous a apporté pas mal d’avantages, et de toute façon il semble difficile à stopper. Comme nous avons appris à confier notre argent aux banques, et nos vies à des médecins, pilotes etc., on va peut-être finir par céder nos données même les plus importantes à des spécialistes anonymes. Mais ce sera un long processus, et on aimerait éviter les trop grosses bourdes, si possible.

Archivage des données scientifiques : vers un cloud académique suisse  ?

Un des grands défis pour l’université est la gestion de la connaissance sous forme numérique. Ceci ne comprend pas seulement les e-publications, mais aussi les données primaires et secondaires utilisées dans leur production. La situation actuelle est insatisfaisante à plus d’un égard : les données générées par des scientifiques, souvent à grands coûts et efforts, sont trop rarement partagées avec d’autres chercheurs, et se perdent trop souvent après la fin d’un projet ou d’une thèse, faute de moyens et de motivation. Même quand les données sont conservées, il est souvent difficile de les utiliser, soit à cause des formats problématiques, soit pour des raisons logistiques.
La CUS (conférence universitaire suisse) va lancer un projet 2013-2016 sous le nom Information scientifique : accès, traitement et sauvegarde pour étudier cette problématique. Les solutions cloud ont beaucoup de potentiel comme infrastructure de base pour une gestion améliorée de données scientifiques : elles pourraient fournir de la capacité de stockage économe, accessible à travers l’Internet sans entraves de bande passante limitée, liée avec des possibilités de traitement sur place, par exemple sous la forme de services de location de VM (machines virtuelles).
Pour des raisons de souveraineté, il est souhaité que ces infrastructures soient sous contrôle suisse. C’est une belle occasion pour l’ensemble des universités d’étudier différentes options pour se doter d’une telle infrastructure : avec des partenaires industriels, en fédérant les private clouds émergeant des universités, ou pourquoi pas en mandatant une organisation commune, comme cela s’est fait avec SWITCH pour le réseau académique voilà presque 25 ans. Quel que soit le résultat, SWITCH est prêt à assister les universités dans leurs choix, en vue de trouver une solution - qui sera forcément un compromis - correspondant aux critères techniques, économiques et de gouvernance.
Un tel cloud suisse, encore plus s’il est contrôlé par les Hautes Écoles, pourrait aider à surmonter les inhibitions que de nombreuses universités ont par rapport au cloud, pour des raisons légales, mais aussi de contrôle. Il reste à espérer que cela ne va pas mener à un nouveau réduit helvétique, mais nous aider à maitriser cette technologie afin de pouvoir mieux bénéficier des atouts des grands clouds industriels, ainsi que de contribuer à la stratégie cloud au niveau européen [4].



[1] Quand cet article parle du cloud, je focalise sur des caractéristiques suivantes : des systèmes matériels/logiciels d’un ensemble d’équipements consumer-grade - donc bon marché grâce à l’échelle et la compétitivité du marché - sous une gestion centralisée et hautement automatisée, permettant une grande évolutivité (scalability) ; basés sur ce genre d’infrastructures, des services grand public et accessibles par Internet, qui sont financés par la publicité, facturés à l’usage, ou soutenus par des modèles hybrides style freemium. Pour une définition plus rigoureuse de Cloud Computing, il y a l’excellent travail de NIST (NIST SP800-145, nist.gov).

[2] Cette loi concerne toutes les sociétés qui ont une attache aux États-Unis, et également si les données sont stockées en dehors du territoire américain, Microsoft et Google ont dû clarifier ce point

[3] Hogan Lovells. White Paper on Governmental Access to Data in the Cloud Debunks Faulty Assumption That US Access is Unique. May 2012.

[4] KROES, Neelie. A European Cloud Strategy. Discours du 25 juin 2012



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.