Infonuagique Mythes et légendes

Illustration La Presse

Traditionnellement, chaque nouvelle technologie reçoit son lot de regards méfiants. Est-ce sûr? Est-ce fiable? Respecte-t-elle les normes établies par la technologie précédente? L'infonuagique, qu'on appelle aussi l'informatique dématérialisée ou en nuage, n'échappe pas à ces questions, au contraire. À une époque où la vie privée semble plus mise à mal que jamais, les promoteurs des services en nuage se font plus que rassurants: ils déboulonnent quelques mythes au passage.

Mis à jour le 16 mars 2011

Alain Mckenna, collaboration spéciale LA PRESSE

En échange de la promesse d'une économie substantielle de temps et d'argent, l'infonuagique exige des entreprises qu'elles délaissent une partie du contrôle qu'elles exercent sur leurs données au profit de leur fournisseur.

Le lieu et la méthode de stockage n'étant plus de leur ressort, plusieurs gestionnaires craignent qu'ils deviennent imputables des actes d'un fournisseur sur lequel ils n'ont aucune autre autorité que celle qui, chaque mois, prend la forme d'un chèque ou d'un virement électronique.

Ça en agace plus d'un. Selon une enquête menée par Microsoft l'automne dernier, ce sont pas moins de 75% des dirigeants d'entreprise dans le monde qui placent les questions de la confidentialité et de la sécurité des données en tête de liste des freins à l'adoption de cette nouvelle technologie.

À leurs yeux, la cybercriminalité, la mobilité informatique, le piratage et les médias sociaux prennent la forme d'autant de menaces qui pourraient nuire aux affaires de leurs entreprises.

La sécurité, incomprise des experts

Sous les ordres de ces dirigeants, les responsables des services informatiques nagent aussi en plein inconnu.

C'est du moins ce que révèle une enquête, publiée en février dernier, par la firme de sécurité informatique RSA Security, division du géant américain du stockage de données EMC.

Selon cette enquête, 73% des professionnels de la sécurité informatique au sein d'entreprises provenant de 100 pays affirment ne pas bien comprendre tous les enjeux de sécurité entourant l'infonuagique.

Quelque 90% des répondants disent qu'il leur faudrait acquérir de nouvelles aptitudes, soit en matière de technologie, soit en techniques de négociation, afin de mieux comprendre ce que leur proposent les fournisseurs de services infonuagiques.

«La moitié d'entre eux utilise déjà des services infonuagiques et ne le sait tout simplement pas», ce qui n'est pas normal, précise Rich Mogull, PDG de l'agence Securosis, qui a participé à l'étude de RSA Security. «Les entreprises adoptent ces technologies plus rapidement que les experts en sécurité peuvent suivre le changement, ce qui peut causer bien des problèmes», ajoute-t-il.

Que ces experts se consolent, le niveau de sécurité des centres de données que possèdent des géants comme Amazon et Google est bien plus élevé que celui de la plupart des entreprises, assure Benjamin Masse, vice-président de Nexio, intégrateur québécois de solutions TI.

«Ces entreprises-là ont des équipes techniques partout dans le monde, qui sont actives 24 heures sur 24, sept jours sur sept, dit-il. Leurs données sont stockées en double, au minimum, ce qui assure qu'elles ne s'égareront pas si facilement que ça. Peu d'entreprises peuvent se vanter de posséder à l'interne un parc informatique, ou même une équipe de techniciens aussi sophistiqués.»

Stockage de données: informations protégées

Outre la sécurité des données, la confidentialité est un autre aspect qui inquiète beaucoup les dirigeants. De l'espionnage industriel à la cybercriminalité, les cas documentés d'entreprises qui se font subtiliser les données personnelles de leurs clients ne sont pas rares.

Voir ces données confiées à un fournisseur signifie-t-il une hausse du risque que ces histoires se produisent au sein de son entreprise?

C'est tout le contraire, explique M. Masse: les entreprises profitent de services de stockage des données qui sont hautement protégés.

Les données sont cryptées et l'accès physique aux serveurs est contrôlé de façon beaucoup plus stricte de cette manière, si on compare aux règles souvent plus permissives des entreprises ou des organismes qui ne font pas de cette activité leur spécialité.

«Imaginez, si la Ville de Montréal utilisait des services web pour ses besoins, sans doute qu'on n'aurait pas pu autoriser l'espionnage qui a eu lieu ces derniers mois», dit-il.

«L'accès aux données stockées en nuage est si bien contrôlé qu'un administrateur de système n'aurait pas osé donner un accès privilégié à un fonctionnaire, de crainte de se faire immédiatement retracer», souligne Benjamin Masse.

Naturellement, la Ville de Montréal aurait eu intérêt à utiliser un service conçu pour les entreprises, et non pas un service grand public, comme Google Docs ou Gmail.

Dans ces derniers cas, Google se réserve un certain droit de regard sur le contenu, ne serait-ce que pour ajuster sa publicité en fonction du sujet traité. Pas de ça du côté des services aux entreprises, précise M. Masse, dont l'entreprise est accréditée comme revendeuse des applications Google.

Contrats de service: simplifiés mais incomplets

L'infonuagique est associée au mouvement entrepreneurial issu des petites entreprises à haute valeur technologique.

Il a été largement adopté par ces innovateurs des TI tentant de créer de nouveaux services basés sur l'internet.

Les fournisseurs de services infonuagiques ont aussi adopté la culture de cette industrie, qui fait souvent dans la simplicité volontaire, ce qu'apprécient les clients qui n'ont pas froid aux yeux, mais qui fait craindre le pire à certains experts juridiques.

«Les contrats de service sont souvent incomplets, constate Véronique Wattiez Larose, associée au cabinet McCarthy Tétrault. Ce qui peut sembler évident sur le plan technologique ne l'est pas encore du côté juridique.»

L'avocate montréalaise déplore l'insouciance avec laquelle certaines entreprises se départent de leurs données, confiant leur gestion à un tiers sans garanties juridiques sur l'ensemble du service.

«Qu'arrive-t-il si l'entreprise désire récupérer ses données, ou si elle veut changer de fournisseur? Y aura-t-il des frais cachés? L'infonuagique est une forme plus poussée encore d'impartition, mais les contrats sont loin d'être aussi complets que ceux d'impartition.»

Un contrat complet est important, poursuit Me Wattiez Larose, du fait qu'il n'existe encore aucune véritable norme officielle permettant de certifier avec exactitude le niveau de sécurité et de confidentialité des services infonuagiques (voir encadré).

«Les entreprises doivent au moins faire une vérification diligente au préalable, s'assurer que le niveau de sécurité technique déclaré soit reproduit aussi dans les clauses du contrat», conclut-elle.

Trois normes de sécurité à connaître

Malgré la popularité et le haut niveau de sécurité technique de l'infonuagique, les experts juridiques ne sont pas convaincus de pouvoir appliquer les mêmes normes qu'ailleurs:

PCI DSS 2.0

S'adresse à la gestion des données liées aux cartes de crédit; version révisée du Payment Card Industry Data Security Standard qui couvre surtout les transactions par carte de crédit, et certains processus d'authentification sur l'internet.

Des fournisseurs de services web l'utilisent pour vanter l'ensemble de leurs mesures de sécurité, mais elle ne s'applique qu'au processus de transaction à partir d'une carte de crédit. Les autres formes de données ne concernent pas cette norme. Même lorsqu'elle s'applique, elle est contestée. Selon un sondage l'an dernier, 56% des commerçants nord-américains l'estiment trop faible pour être efficace.

SAS 70

Certification de la sécurité de Google de ses applications infonuagiques pour entreprises. Date d'avant l'émergence des premiers services web. Norme sur l'audit de certains processus mis en place par l'American Institute of Certified Public Accountants. Elle mesure la manipulation des données.

Google, ainsi que d'autres sociétés comme IBM ou Microsoft, assurent ainsi que leurs objectifs en matière de sécurité ont été analysés par des vérificateurs externes. La norme SAS 70 Type I assure l'existence des mesures de sécurité, alors que la conformité à la norme SAS 70 Type II indique que l'entreprise mesure aussi le niveau d'efficacité de ces mesures.

NIST

Le gouvernement américain a demandé au National Institute of Standards and Technology américain, (ou NIST) de rédiger un guide des meilleures pratiques pour sécuriser les services infonuagiques. La division consacrée à la sécurité informatique de l'organisme vient de publier deux versions préliminaires des définitions de l'infonuagique et des protocoles de sécurité et de confidentialité qui s'y rattachent.

Il y a un mois, le NIST a publié un échéancier visant à établir une norme officielle couvrant cet aspect spécifique des services web. Pour le moment, cet échéancier ne fournit qu'un portrait d'ensemble de la technologie, et identifie les points qui demandent un niveau de sécurité accrue. Ce document ne certifie pour le moment aucune mesure de sécurité.

Portfolio En continu

Portfolio

Industrie maritime QSL et la nouvelle logistique mondiale

Les principales portes d’entrée et de sortie des biens et services en Amérique du Nord ont exposé leur fragilité durant la pandémie. L’entreprise québécoise QSL y a vu une belle occasion d’affaires. Elle cherche depuis à offrir de nouvelles options en matière de logistique maritime. Explications.

Mis à jour le 23 avril
Portfolio

Industrie maritime Le Saint-Laurent n’a pas dit son dernier mot

Face à la concurrence des ports américains et au défi de la transition énergétique, le Saint-Laurent peut s’appuyer sur les entreprises qui bordent ses rives. De l’optimisation énergétique au partage des données, le Québec dispose de plusieurs atouts pour positionner son fleuve comme porte d’entrée continentale.

Mis à jour le 23 avril
Portfolio

MBA Objectif : les hautes sphères de la gestion

Ambitieuse, Barbara Karczewska veut faire partie des femmes qui accèdent de plus en plus aux postes de gestion de haut niveau. Directrice des services juridiques aux projets à la Société québécoise des infrastructures, elle vient d’obtenir un MBA de l’Université de Sherbrooke pour continuer de gravir les échelons.

Mis à jour le 3 avril
Portfolio

MBA Un bac en droit… et un MBA en même temps

Depuis 1997, l’Université de Sherbrooke offre une formation qui combine le baccalauréat en droit et la maîtrise en administration des affaires (MBA). Un programme unique au Québec… et fort contingenté !

Mis à jour le 3 avril
Portfolio

MBA Une expérience intense... à répéter sans hésiter

Le MBA de Rémy Marchand, complété au début des années 2000 au campus de Laval de l'ESG UQAM, peut se comparer à une immense montagne à surmonter. Le bachelier en génie, spécialisé en gestion du trafic aérien, jongle alors avec une nouvelle promotion et un bébé tout neuf à la maison. Aujourd’hui directeur des solutions ATM pour l’entreprise Adacel, il répéterait l’expérience sans hésiter.

Mis à jour le 3 avril
Portfolio

MBA EMBA : pour gestionnaires d’expérience

Contrairement au MBA, destiné aux personnes qui ont déjà un diplôme universitaire et quelques années d’expérience de travail (pas nécessairement en gestion), l’EMBA – pour Executive MBA – est conçu pour les gestionnaires d’expérience qui veulent se perfectionner ou propulser leur carrière.

Mis à jour le 3 avril
Portfolio

MBA Un poste de direction en pleines études

Depuis un peu plus d’un an, Marie-Pier Bernard est directrice, conseil en performance, services de conseil, chez Raymond Chabot Grant Thornton (RCGT). Économiste de formation, elle a eu cette promotion sept mois avant d’obtenir son MBA de l’École des sciences de la gestion (ESG) de l’Université du Québec à Montréal (UQAM).

Mis à jour le 3 avril
Portfolio

MBA L’investissement en vaut-il la peine ?

Après avoir obtenu un baccalauréat en neurosciences, Ange Amizero est allée travailler dans une banque, en gestion privée. Alors qu’elle avait beaucoup à apprendre dans le domaine financier, elle a décidé de s’inscrire au MBA en gestion de placements à l’École de gestion John Molson de l’Université Concordia. Résultat ? Elle a été rapidement propulsée vers de nouveaux horizons.

Mis à jour le 3 avril
Portfolio

Approvisionnement au Québec Quand « local » rime avec « circulaire »

Le fabricant de mobilier urbain Equiparc, établi à Saint-Jean-sur-Richelieu, table sur un projet d’économie circulaire avec une entreprise locale visant à transformer ses résidus de bois en matière première qu’il réutiliserait dans ses produits. Quatre questions pour Mylène Gaudet, directrice, marketing et design.

Mis à jour le 27 mars
Portfolio

Approvisionnement au Québec Des relations d’affaires plus humaines

« On aurait pu aller directement aux États-Unis ou même au Mexique, mais on préfère rester ici. » Abritek, manufacturier de portes et fenêtres établi à Saint-Georges, en Beauce, fait partie des entreprises québécoises qui s’approvisionnent entièrement dans la province. Pourquoi le faire ? Quels sont les avantages, les défis ? Tour de piste.

Mis à jour le 27 mars
Portfolio

Approvisionnement au Québec Lorsqu’on est mieux servi au Québec

La crise de l’approvisionnement qui a éclaté pendant la pandémie a été la goutte qui a fait déborder le vase pour Solutions murales Proslat, un fabricant de produits de rangement pour le garage. Alors que ses articles en acier étaient manufacturés en Chine, l’entreprise a décidé en 2022 de rapatrier le travail au Québec en construisant une usine à Salaberry-de-Valleyfield.

Mis à jour le 27 mars
Portfolio

Sorel-Tracy Construire, mais aussi déconstruire des bateaux

La construction navale fait partie de l’histoire de Sorel-Tracy. Mais d’ici quelques années, la déconstruction de navires pourrait aussi marquer le paysage. La municipalité, le Centre de transfert technologique en écologie industrielle (CTTEI) et de nombreux acteurs de la région souhaitent développer cette expertise. Le point avec Claude Maheux-Picard, directrice générale du CTTEI.

Mis à jour le 25 mars
Portfolio

Sorel-Tracy Géant industriel cherche locataire à la hauteur

Au cœur du parc industriel Ludger-Simard, à Sorel-Tracy, on trouve un géant : l’édifice Sylvain-Simard. C’est dans cet espace que l’entreprise Marine Industries construisait pendant la guerre froide ses navires militaires. On cherche maintenant un locataire d’envergure pour ce bâtiment surdimensionné. Qui pourra prendre cette place dans le paysage industriel de la ville ?

Mis à jour le 25 mars
Portfolio

Sorel-Tracy Quatre chiffres sur l’économie de la région

Le positionnement de Sorel-Tracy à l’écart des grands centres urbains pourrait être un atout pour son développement économique. Alors que les terrains industriels et résidentiels deviennent plus rares dans la grande région de Montréal, l’économie locale entreprend de développer de nouveaux projets. Survol en quatre chiffres.

Mis à jour le 25 mars
Portfolio

Sorel-Tracy Des fraises en serre contre vents et marées

À 21 ans, Magalie Rajotte s’est lancée dans la production de fraises en serre afin de diversifier les activités agricoles de la ferme familiale, mais aussi pour tracer sa propre voie. Même si ses petits fruits rouges sont grandement prisés, elle doit malgré tout composer avec de nombreux défis. Rencontre.

Mis à jour le 25 mars
Portfolio

Sorel-Tracy Plus de 300 ans d’histoire maritime

Que vous évoque Sorel-Tracy ? La métallurgie ? Le survenant ? Le premier sapin de Noël illuminé en Amérique du Nord ? Vous avez tout bon. Mais saviez-vous que l’industrie maritime y a aussi connu une époque glorieuse ? Retour sur un pan méconnu de l’histoire de la ville.

Mis à jour le 25 mars