Cloud et SaaS, quel intérêt ?

Dans le monde des offres de logiciels, le Cloud est en train de gagner du terrain par sa simplicité d’usage et la focalisation sur la fourniture de services à valeur ajoutée en simplifiant pour le client une bonne partie des aspects techniques. Mais qu’entend-on précisément par Cloud. Est-ce pour autant une bonne idée ? Quels impacts sur la sécurité des données ?


Qu’est-ce que le Cloud et le SaaS ?

Si on se réfère à la définition donnée par Wikipédia, le Cloud (ou Cloud Computing) est l’exploitation de la puissance de calcul ou de stockage de serveurs informatiques distants par l’intermédiaire d’un réseau, généralement internet. En réalité, et comme le précise l’article, le Cloud recouvre plutôt une terminologie d’offre commerciale segmentée selon plusieurs niveaux en fonction de l’offre de services associée.

Il existe en effet 3 niveaux de services que l’on est susceptible d’acheter à un fournisseur (sachant que ce fournisseur peut également acheter un service de plus bas niveau à un autre fournisseur)

  • IaaS : Infrastructure as a Service
  • PaaS : Platform as a Service
  • SaaS : Software as a Service

En fonction du type de services, voici la répartition des responsabilités entre le client et le fournisseur :

cloud-repartition

IaaS : achat à un fournisseur des machines (virtuelles la plupart du temps) sur lesquelles on peut installer les systèmes d’exploitations et les applications souhaitées. Ce service s’apparente aux services d’hébergement classiques.

PaaS : situé juste au-dessus des services IaaS, le système d’exploitation et les outils d’infrastructure sont sous la responsabilité du fournisseur.

SaaS : le fournisseur met à disposition du client une application qu’il peut directement utiliser sans rien avoir à paramétrer. Cette application peut être mise à disposition via internet mais aussi via un réseau privé ou tout autre moyen de connexion adapté.


Que peut apporter le Cloud ?


Pas d’investissement matériel

(IaaS, PaaS, SaaS)

Le premier avantage du cloud est qu’il n’y a pas besoin d’acheter et de maintenir du matériel informatique autre que celui qui sert au routage interne ainsi que le matériel de bureau. Cela représente une économie sur les investissements à mettre en œuvre dans le cadre d’un projet, mais aussi du point de vue des moyens humains nécessaires à la gestion de ces infrastructures.


Redondance matérielle

(IaaS, PaaS, SaaS)

La virtualisation des serveurs, le stockage des données et les infrastructures étant gérés par le fournisseur des services sur un parc machine très conséquent, un haut niveau de redondance peut être assuré et rend ainsi la plupart des pannes matérielles complètement transparentes pour l’utilisateur. Ce qui permet d’atteindre un niveau de disponibilité des applications bien supérieur à ce qui peut être obtenu avec des infrastructures en propre.


Des serveurs toujours à jour et une maintenance assurée par des experts

(PaaS, SaaS)

Le système d’exploitation des machines ainsi que la supervision de l’infrastructure sont sous la responsabilité du fournisseur. Par conséquent le client n’a pas à se soucier de ces tâches qui nécessitent des compétences spécialisées et sont souvent consommatrices de temps. Dans le cadre du PaaS ou du SaaS, ces tâches sont réalisées par des experts dans le domaine, ce qui permet de s’assurer que les meilleures pratiques en termes de sécurité sont mises en œuvre. Il s’agit d’un des socles essentiels pour garantir la sécurité des données traitées et la disponibilité des infrastructures.


Une grande flexibilité dans le dimensionnement des ressources

(PaaS, SaaS)

Un des principaux points forts du Cloud est la capacité à ajuster les ressources rapidement et de manière dynamique en fonction des besoins des applications. Cela concerne à la fois la puissance de calcul, la mémoire mais également l’espace de stockage. Différents mécanismes permettent de jouer simplement sur ces différents leviers afin d’offrir un grand confort et une flexibilité aux utilisateurs des applications et ce au meilleur coût. Prenons l’exemple d’une application qui nécessiterait des calculs importants une fois par jour pendant 1 heure. Dans le cas d’une infrastructure en propre, il serait nécessaire de la dimensionner pour ces calculs et le reste du temps elle serait très surdimensionnée. Avec une infrastructure Cloud, il est possible de mobiliser, et donc de payer, de la puissance de calcul qu’une heure par jour pour ce besoin.


Des applications métiers toujours à jour

(SaaS)

Dans le contexte du SaaS, le fournisseur délivre à son client directement les applications dont il assure la maintenance et la mise à jour de manière industrialisée. Ce qui le conduit à le faire fréquemment et de manière réactive. Cela garantit au client d’avoir une application évolutive et flexible tant du point de vue de nouvelles fonctionnalités, que de la correction de bug ou de dépannage urgent.


Quels impacts du SaaS sur la sécurité et la confidentialité des données ?


Cloisonnement des données stockées

Les infrastructures n’étant plus sous la responsabilité de l’utilisateur des applications, il est nécessaire de garantir à ce dernier que ses données ne vont pas être accessibles par des tiers. Voici les différents éléments permettant d’assurer un très haut niveau de confidentialité des données :

  • Cryptage systématique des données stockées. Les technologies de stockage Cloud permettent de crypter à la volée les données sans perte de performance.
  • Cloisonnement système par l’utilisation d’instances de serveurs dédiées pour un client et/ou de bases de données dédiées. Dans ce cadre les serveurs qui exécutent l’application et/ou les bases de données ne voient passer que les données d’un client ce qui assure un cloisonnement total vis à vis des autres clients.
  • Accès aux instances de serveurs sécurisées pour les équipes en charge de la maintenance applicative : utilisation des meilleures pratiques en termes d’accès sécurisé (systèmes propriétaires de l’hébergeur cloud, certificats d’authentification, filtrage d’IP, cryptage SSL, identification forte multi-facteurs…)

Intégrité des données stockées

Sur ce point aussi le Cloud permet d’atteindre un très haut niveau de sécurité. Les données peuvent être sauvegardées de manière régulière et transparente avec les meilleures pratiques :

  • Sauvegardes incrémentales permettant de revenir à un point précis dans le temps.
  • Sauvegardes en parallèle sur des matériels et des lieux géographiques différents permettant de se prémunir contre des défaillances matérielles.
  • Cryptage des sauvegardes.

En cas de perte des données, peu probable du fait de la redondance des systèmes, il est possible de remettre en service les applications dans les meilleurs délais grâce à ces sauvegardes.

D’autre part, le service étant fourni en SaaS, les données stockées chez le fournisseur sont à l’abri de l’attaque par des cryptowares, malwares et autres virus qui pourraient infecter le réseau du client.


Protection des accès aux applications

Un des moyens potentiels d’accéder aux données du client de manière frauduleuse est d’accéder à ses applications. Pour éviter ce genre d’attaque plusieurs solutions (pouvant être combinées) existent :

  • Un accès à l’application par login et mot de passe sécurisés par cryptage SSL.
  • Certificats d’identification côté serveur.
  • Certificats d’identification côté client.
  • Utilisation d’identification forte multi-facteurs.
  • Usage des mots de passe dynamiques.
  • Filtrage par adresse IP des machines autorisées à se connecter à l’application.
  • Utilisation d’un réseau privé virtuel (VPN).

Protection des données en transit

Du fait de son architecture, les données en provenance et à destination du Cloud vont transiter sur des réseaux publics. Il est indispensable de s’assurer qu’aucun tiers ne pourra accéder aux données en transit.

  • Pour un accès simple aux applications depuis internet, il est possible de mettre en place une connexion cryptée (SSL) avec certificat ce qui garantit que les données qui transitent sont cryptées et permet d’identifier avec certitude le fournisseur du service.
  • Dans le cas d’un accès depuis un nombre limité de points, il est possible de mettre en place une connexion privée (généralement de type réseau privé virtuel – VPN) qui garantit la sécurité de la connexion. Les données peuvent également être cryptées au travers de cette connexion sécurisée.

Quels impacts du SaaS sur la maîtrise des données dans le temps ?

Les données n’étant plus stockées chez le client mais chez le fournisseur de services, il est important que le client s’assure de la possibilité de récupérer ses données que ce soit :

  • Pour se désengager et pouvoir adopter une autre solution applicative (SaaS ou non).
  • Pour son propre usage.

Il est évident que les données appartiennent au client, cependant c’est un point de vigilance qui doit être négocié avec le fournisseur du service SaaS.


La réversibilité des données

La réversibilité est la possibilité de revenir en arrière sur le fait que les données soient stockées chez le fournisseur. Le fournisseur doit s’engager à mettre à disposition les données de son client à sa demande au travers d’un format lisible par ce dernier. Le contrat de fourniture du service SaaS doit inclure une clause de réversibilité afin de garantir ce droit au client.


Comment obtenir la meilleure qualité de service avec le SaaS ?

Comme les infrastructures de calcul et de stockage ne sont plus gérées par l’utilisateur des applications ce dernier va devoir se consacrer uniquement à dimensionner correctement l’accès à la plate-forme SaaS et ce afin de garantir la meilleure qualité de connexion et donc de service.


Dimensionnement et redondance de l’accès internet

L’accès à la plateforme étant un point critique, l’utilisateur va devoir s’assurer que l’accès de son site à internet est suffisamment robuste en particulier :

  • Utilisation d’accès internet avec un niveau de qualité de service (QoS) et de débit adéquat à l’usage.
  • Redondance des accès sur des technologies différentes (fibre, XDSL…) et des fournisseurs différents.
  • Infrastructures de routage sur site configurées pour prendre en charge de manière transparente la redondance et pour assurer la réservation de débit nécessaire pour les applications en SaaS.

Des postes utilisateurs à jour

Les solutions SaaS étant la plupart du temps fournies au travers d’application Web, il est important d’avoir des postes utilisateurs utilisant un navigateur préconisé par le fournisseur et mis à jour régulièrement. En fonction du type d’application SaaS il sera aussi nécessaire d’effectuer la mise à jour des modules nécessaires au bon fonctionnement de l’application.


En conclusion

Une offre SaaS permet à son utilisateur de:

  • Se focaliser sur l’usage des applications.
  • Se décharger de la gestion des infrastructures, des systèmes et des applicatifs.
  • Bénéficier du meilleur niveau de sécurité, fiabilité et disponibilité.
  • Optimiser le rapport coût / expérience utilisateur grâce à une grande agilité sur les ressources.
  • Avoir un accès simple et sécurisé à ses applications depuis n’importe quel lieu.
  • Réduire ses investissements en matériels, licences et réduire leurs coûts de gestion.
  • Être beaucoup moins exposé aux problèmes d’obsolescence.

Les points de vigilance avant de mettre en œuvre une solution SaaS :

  • La politique de sécurité mise en œuvre par le fournisseur.
  • Les mesures de cryptage mises en œuvre entre le fournisseur et le client.
  • La qualité des contrôles d’accès aux applications.
  • Les règles de sauvegarde des données mises en place par le fournisseur.
  • La clause de réversibilité du contrat.
  • La qualité des infrastructures d’accès réseau en place chez le client.


Auteur : Mathieu Cura



Demandez une démo de notre solution SaaS