lundi 9 avril 2012

Sauvegarde et Cloud Computing

Le 21 mars 2012, dans le cadre d’une exposition organisée par l’UGAP, s’est tenue une conférence intitulée «Trajectoire vers le Cloud Computing».
La notion de Cloud Computing est très utilisée en ce moment, mais pas toujours à bon escient. Cette conférence a donc été une très bonne occasion de le définir précisément.
Mais alors, sauvegarde externalisée et Cloud Computing convergent-ils ?

Objectifs et définition du Cloud Computing

JeanPierre Guédon, responsable du groupe de travail Cloud Computing de Ouest Numérique et enseignant chercheur à Polytech Nantes, a présenté une définition assez exhaustive.
L’idée fondamentale du Cloud Computing est d’aller vers une informatique se résumant à de l’achat / vente de ressources. Pour cela, il faut séparer la partie utilisateurs de la partie infrastructure.
L’informatique pourrait alors être consommée comme l’électricité : il suffit d’appuyer sur l’interrupteur pour avoir de la lumière, sans se préoccuper d’où vient l’électricité, par quel réseau elle a transité ni qui s’en est occupé.
Par conséquent, l’informatique dans le nuage (Cloud Computing) peut se définir de la façon suivante :
  • Payant à l’utilisation
  • Ressources partagées
  • Accès simple et à la demande
Cette définition met bien en avant que l’utilisateur ne doit plus se préoccuper de l’aspect technique des choses, mais que les solutions informatiques deviennent une simple ressource.

Caractéristiques

Une offre de services Cloud Computing doit répondre à ces cinq caractéristiques clés :
  • Utilisable à la demande
  • Indépendant du système d’exploitation et accessible depuis un navigateur Internet
  • Multi utilisateurs
  • Payant à l’usage
  • Elastique (extensible sans intervention de l’utilisateur)
Une fois de plus, ces caractéristiques ne vont que dans le sens de l'utilisation de la "ressource informatique".
Par ailleurs, une solution Cloud Computing s’appuie sur trois couches :
  • La couche Infrastructure, ou IAAS (Infrastructure As A Service) : c’est l’ensemble du matériel et des infrastructures de communication nécessaire à héberger l’offre Cloud Computing
  • La couche Plateforme, ou PAAS (Platform As A Service) : ce sont les couches qui permettent de gérer l’infrastructure (déplacement des données, accès aux ressources...)
  • La couche Logicielle, ou SAAS (Software As A Service) : ce sont les applications elles-mêmes, la partie visible de l’iceberg !

Types de nuages

A l’instar des nuages que l’on aperçoit quand on détache les yeux de son écran, il existe plusieurs offres de Cloud Computing :
  • Cloud Public : il est intégralement hébergé, mutualisé entre les différents utilisateurs et fait pour être facilement accessible.
  • Cloud Privé : ce nuage là est hébergé par l’organisation utilisatrice. La solution mise en œuvre est mutualisée entre les utilisateurs de l’organisation, mais fermée aux utilisateurs extérieurs.
  • Cloud hybride : comme son nom l’indique, ce nuage est mixte entre les deux premiers.

La sauvegarde externalisée

Il est tentant de faire un parallèle entre la sauvegarde externalisée et le Cloud Computing.
Si l’on considère la définition du Cloud Computing, nos offres de sauvegarde externalisée y répondent complètement : elles sont payantes à l’utilisation, accessibles simplement et à la demande et l’hébergement est mutualisé (dans certains cas il peut être dédié).
De la même façon, on retrouve dans nos offres de services de sauvegarde les différents types de solutions :
Si nous nous penchons à présent sur les caractéristiques des offres du Cloud Computing, il y a un point qui n’est pas applicable à la sauvegarde en général : « Indépendant du système d’exploitation et accessible depuis un navigateur Internet. »
Nos offres de sauvegarde / restauration sont bien accessibles depuis un navigateur web (accès à l’interface) mais un logiciel de sauvegarde ne peut pas être indépendant du système d’exploitation. La sauvegarde travaille sur les fichiers locaux, services et partages réseaux ce qui nécessite impérativement l’installation d’un logiciel local et dépendant du système de fichiers.

Conclusion

Si on se réfère strictement aux caractéristiques du Cloud Computing, la sauvegarde ne peut pas en faire parti car sa couche applicative (SAAS) ne répond pas aux critères énoncés.
Par contre, on peut parler de sauvegarde en mode Cloud Computing, car dans notre cas, l’application cliente travaille avec une infrastructure qui répond parfaitement aux couches, caractéristiques et points de définitions de cette informatique de consommable comme une ressource.

jeudi 22 mars 2012

Matériel et service

C’est un fait avéré, la sauvegarde externalisée a le vent en poupe chez les professionnels. Le terme étant toutefois générique, il regroupe des solutions de nature très variée...
Selon les offres, la différence entre fourniture de matériel et la prestation service n’est pas présentée de façon très claire !

Fourniture de matériel et prestation de services

Comprendre la différence entre la vente de matériel et l’exécution d’une prestation de service est très simple.
Posez vous la question suivante : pour votre entreprise, avez vous acheté un aspirateur, ou faites vous intervenir une société d’entretien ?
A présent, comparez le coût d’achat des deux offres. Vous allez vite vous apercevoir que l’achat de matériel pèse financièrement beaucoup moins que la prestation de service. Ajoutez-y le coût d’exploitation de la solution et la tendance ne sera pas aussi tranchée que cela...
Alors, pourquoi choisir une prestation de service plutôt qu’un achat de matériel ? C’est très simple :
  • Vous n’avez pas de valeur ajoutée à exécuter la tâche concernée
  • Un spécialiste sera beaucoup plus efficace que vous sur le sujet concerné
  • Le temps ainsi libéré vous permettra de vous concentrer sur des tâches créatrices de valeur pour votre entreprise
En conclusion, si vous avez de la valeur ajoutée à exécuter une tâche, faites le. Dans le cas contraire, sous-traitez la à un prestataire.

Quelques définitions...

Si l’on s’en remet à ce qu’indique Wikipedia, « la sauvegarde est l’opération qui consiste à dupliquer et à mettre en sécurité les données contenues dans un système informatique (...) afin de permettre de restaurer un système informatique dans un état de fonctionnement à la suite d'un incident ».
Cela passe donc par trois étapes :
  • Lire / traiter les données de la source
  • Ecrire les données sur les supports de stockage sécurisés
  • Restaurer les données sur la machine source
La sauvegarde externalisée consiste à « dématérialiser » et automatiser la sauvegarde pour en éviter la gestion répétitive et écarter l’action humaine.
Vous ne gérez plus les supports physiques et il n’est plus nécessaire de recourir à une action manuelle pour mettre vos données en sécurité à l’extérieur de l’entreprise.
On peut donc parfaitement nommer sauvegarde externalisée tous moyens permettant d’obtenir ce résultat. Mais gardez bien à l’esprit qu’entre un ensemble de moyens (matériels, matériels et logiciels) et un service, vous obtiendrez des temps d’exploitation très différents.

Matériel

Beaucoup de prestataires vendent des NAS et autres Box avec réplication comme solutions de sauvegarde.
Ne vous y trompez pas, un NAS est un moyen de stockage, pas une solution de sauvegarde.
Si on revient à la définition, un logiciel de sauvegarde est nécessaire pour assurer les étapes de la sauvegarde en elle-même et de la restauration. Ce logiciel doit être installé soit sur les machines à sauvegarder, soit sur le stockage, soit sur les deux, en fonction de l’architecture de la solution.
Si vous souhaitez intégrer un NAS à votre solution de sauvegarde, il est indispensable d’utiliser un logiciel spécialisé avec ce dernier pour sauvegarder et restaurer vos données. Les NAS ne s’occupant que de la partie stockage des données de sauvegarde.
Ceci étant dit, quand vous achetez ce type de solution, il vous incombe toujours d’opérer vos sauvegardes (surveillance, tests de restauration, surveillance de l’infrastructure et de l’utilisation de l’espace disque).
Si on ramène ça à notre comparaison avec l’entretien des locaux, vous avez un bel aspirateur, mais la tâche de l’utiliser vous incombe toujours.

Services

Pour continuer à filer la métaphore de l’entretien des locaux, dans le cas d’une prestation de service, vous savez que la tâche sera exécutée à un moment défini, mais la puissance de l’aspirateur, la taille du sac ou la personne qui va le passer ne vous importe que peu !
Un service de sauvegarde doit intégrer de nombreux éléments : logiciel, matériel, supervision des sauvegardes, tests de restauration...
L’augmentation des volumes de données, l’évolution du nombre de machines à sauvegarder et toute évolution de vos besoins doivent êtres du ressort de votre prestataire de services de sauvegarde et non plus votre préoccupation.
La limite de tels services est dans la définition des services proposés par votre prestataire et dans les engagements pris (sécurité, limites de prestations, etc...).
Les échanges (écrits), les offres et conditions contractuelles sont les meilleurs garants du contenu des prestations.

L’importance des contrats

Ce sont les aspects contractuels et les écrits qui vont définir ce que contiennent réellement les offres, pas forcément ce qui vous est dit.
Par exemple, si votre offre contient un contrat de financement conclu avec un organisme tiers (pas l’organise vendeur de la solution), cela peut signifier deux choses :
  • Vous ne souscrivez pas à un service de sauvegarde, mais achetez du matériel de façon déguisée.
  • Une fois le contrat signé, le prestataire va empocher la globalité du contrat de financement et votre fournisseur deviendra l’organisme financier. Adieu services et gestion de vos sauvegardes... Ca n’est pas le métier d’une banque !
Dans le cas où le contrat porterait sur un NAS ou une Box, cela signifie aussi que le stockage n’est plus dématérialisé, mais qu’il devient votre propriété. Si vos besoins de stockage et de sauvegarde évoluent, vous allez devoir souscrire un nouveau contrat et continuer à financer ce premier équipement qui ne sera plus adapté à vos besoin...

Conclusion

Dans la sauvegarde, comme dans beaucoup de domaines, il n’est jamais simple d’y voir clair. Certains prestataires n’hésitent d’ailleurs pas à brouiller les pistes !
Gardez toujours à l’esprit :
  • Vos besoins techniques
  • Vos attentes en termes de service
Vos besoins et attentes, s’ils sont clairement exprimés, vous aideront à y voir clair et à faire un choix adapté.
Nous laissez pas parasiter par le prix, qui ne doit venir qu’en dernier, et concentrez-vous sur vos besoins et attentes. Souvenez-vous que le prix n’est qu’une contrainte, pas une réponse à vos besoins.

lundi 6 février 2012

Confidentialité des données de sauvegarde

La dématérialisation, la virtualisation et l’externalisation sont de grandes tendances du marché de l’informatique auxquelles n’échappe évidemment pas la sauvegarde. Dans le cadre de l’externalisation des données (qu’il s’agisse de la sauvegarde externalisée ou de tout autre service), la notion de confidentialité est fondamentale. Comment un utilisateur peut-il s’assurer que cette confidentialité est réellement respectée ?

Sans chiffrement, point de salut

C’est le chiffrement des données (appelé communément « cryptage ») qui va rendre les données confidentielles : seul le processus ou la personne détenant une clé pourra lire le contenu des données.
Plusieurs paramètres rentrent en ligne de compte pour un résultat fiable :
  • La clé de chiffrement : à l’instar de vos mots de passe, plus la clé est complexe et longue, plus il sera difficile de la craquer. Sur les méthodes de chiffrement les plus fiables, les attaques de type «force brute» sont les seules qui peuvent s’avérer efficaces. Ces attaques consistent à essayer toutes les clés possibles afin de trouver la bonne. C’est pour cela, dans le cas de l’AES que les clés deviennent de plus en plus longues : l’AES-128 fonctionnait avec des clés de 128 bits, puis l’AES-192 avec des clés de 192 bits, puis l’AES-256, etc... La clé est un véritable garant de la confidentialité et c’est le paramètre le plus important. Les points essentiels d’une bonne clé de chiffrement sont :
    • Sa longueur
    • Sa complexité
    • Sa confidentialité (vous seul devez pouvoir y avoir accès)
  • La méthode de chiffrement : Il en existe une grande variété qui utilisent des algorithmes plus ou moins complexes à mettre en œuvre. Les plus connues sont DES, Triple DES, AES, Blowfish, etc... Leur «solidité» et variable mais les méthodes les plus répandues sont généralement les plus fiables.
  • La portée du chiffrement : Pour que le chiffrement soit efficace, il doit couvrir toutes vos données et il doit être fait un plus proche de vos données.
Dans le cas de sauvegardes externalisées, il est donc impératif pour la confidentialité de vos données qu’elles soient chiffrées à la source avec une clé et une méthode fiable.

Il est beau mon aspirateur, il est beau !

Un récent article posté sur le réseau social LinkedIn faisait état d’une fraude à l’hébergement de données de santé. La société contrevenante avait déclaré auprès de la CNIL des procédés de sécurités non conforme à la réalité des faits. En l’occurrence il s’agissait d’un chiffrement partiel de données de santé, à la place d’un chiffrement total.
Malheureusement, cet état de fait est le triste reflet des pratiques de certains prestataires peux scrupuleux : vous avez un besoin et ils sont prêts à vous raconter n’importe quoi pour vous engager avec eux.

Mais alors, que faire ?

Il y a deux mesures très simples à prendre afin de ne pas se faire piéger :
Première mesure, lisez ce que le prestataire vous écrit. Si vous trouvez des incohérence entre la documentation, les conditions générales de ventes et les échanges commerciaux, passez votre chemin !
Parmi les énormités qui nous ont été données de voir, en voici un florilège :
  • « Vos données sont dédupliquées avec celles des autres clients afin de réduire l’occupation disque ». Cela signifie que les données arrivent en clair (pas chiffrées) sur les serveurs de stockage, le taux de déduplication de données chiffrées avec des clés différentes étant de zéro.
  • « Les données de sauvegarde sont traitées par un antivirus une fois sur le serveur de stockage ». Si les données sont chiffrées, comment l’antivirus peut-il en lire le contenu ? Soit elles ne sont chiffrées qu’en suite (donc pas à la source) soit le prestataire peut très simplement et sans votre accord accéder à vos données...
Nous vous le répétons, lisez bien ce qui vous est fourni... il s’agit tout de même de la sécurité de vos données !
Deuxième mesure, demandez des engagements. Votre prestataire doit vous assurer qu’il chiffre bien vos données avec des méthodes fiables et que la clé n’est accessible qu’à vous. Si rien est écrit dans les conditions générales de vente, n’hésitez pas à vous faire préciser les engagements du fournisseur dans les conditions particulières de l’offre.

Conclusion

Qu’il s’agisse de sauvegarde externalisée ou d’externalisation de données au sens large, soyez prudent ! Il ne s’agit, au fond, que d’une dématérialisation de ses données, mais dans ce cadre leur confidentialité est fondamentale.
La prudence consiste simplement à lire les CGV et à demander des engagements écrits aux prestataires.
Si les réponses et écrits vous paraissent fumeux ou contradictoires, passez votre chemin !
Par contre, si votre prestataire est sérieux, ce type de solutions peut vous rendre de grands services.
Externalisez, mais choisissez bien votre prestataire !

lundi 23 janvier 2012

Incidents informatiques les plus fréquents

Les risques pesant sur vos données informatiques sont nombreux. Ils peuvent assez rapidement entrainer des pertes de données et par voie de conséquences une perte de valeur pour les entreprises.

Un homme prévenu en vaut deux

Connaitre les risques, c’est être capable de les évaluer et de les anticiper.
Il est donc essentiel pour toute organisation professionnelle d’avoir une véritable politique de sécurité informatique.
C’est cela qui vous garantira de ne pas perdre de valeur, ou pire, toute votre entreprise, à la suite d’un sinistre informatique.

Les risques

La liste des risques les plus fréquents a été publiée en octobre 2011 dans le magazine Novamag (édité par Novacité). Elle concerne les entreprises du Rhône, mais le constat doit être très proche dans le reste de la France.
Les voici par ordre décroissant :
  • 15% - Attaque virale
  • 10% - Perte de données liée à une panne matérielle
  • 10% - Perte de données liée à une erreur humaine
  • 5% - Vol de matériel informatique
  • 4% - Panne d’électricité
  • 3% - Accidents physiques (incendie, dégat des eaux, explosion...)
  • 1% - Intrusion dans le système informatique de l’entreprise

Conclusion

Cette liste ne présente rien de bien surprenant... Ceci dit, elle met en évidence deux points :
  • Un bon anti-virus vous préservera des 15% d’attaques virales
  • Une bonne sauvegarde externalisée vous préservera de l’intégralité des risques
Le point de la sauvegarde n’est vrai que si votre prestataire s’engage à du résultat... si le contrat de sauvegarde est signé avec un intermédiaire financier et/ou que les conditions générales de ventes sont très opaques, dite vous que c’est le premier signe du prestataire qui ne souhaite prendre aucun risque ni aucun engagement !
Bref, on ne le dira jamais assez : protégez et sauvegardez vos données !

jeudi 12 janvier 2012

Bonne année 2012 !

2011 n’est plus, bienvenue à 2012! Le moment est venu de faire nos vœux, accompagnés d’un bilan sur l’année écoulée et des perspectives pour celle qui démarre.

Bonne année !

Pour bien commencer ce post, nous nous devons de vous souhaiter une très bonne année 2012, sous le signe de la santé, du bonheur et de l’enthousiasme !
De notre coté, nos souhaits pour 2012 vont vers la transparence des offres de sauvegarde et vers une professionnalisation du segment de l’externalisation.
Il serait bon qu’acheteurs et fournisseurs cessent de confondre contrats de financement et contrats de services, box grand public et serveurs professionnels, ou encore copie de fichiers et sauvegarde de données...

Une bonne année 2011

2011 a été le deuxième exercice de la société et cette année nous a permis de nous conforter dans notre positionnement :
  • Développement de notre présence au sein des PME
  • Pénétration de quelques grandes entreprises et institutions
  • Développement de notre réseau de revendeurs spécialisés
  • Relations au beau fixe avec nos clients et partenaires
  • Affirmation de notre positionnement sur le service (proximité, pro-activité, écoute, accompagnement, évolutions...)
Et le résultat est là, puisque nous avons doublé notre chiffre d’affaires par rapport à 2010 ! Par chance, tout le monde ne confond donc pas contrats de financement et contrats de services !
Sur le plan des tendances, la sauvegarde externalisée garde le vent en poupe puisqu’elle représente 76% de notre parc de clients. Les 24% restant s'appuient, quant à eux, sur nos solutions de sauvegarde dématérialisée en interne.
Pour tout cela, nous n’avons qu’une seule chose à dire : Merci à tous de nous faire confiance !

Les perspectives de 2012

Notre volonté pour 2012 est de garder le même cap, malgré le contexte économique que nous connaissons tous.
Pour arriver à cet objectif, nous continuons à nous appuyer sur quatre axes fondamentaux :
  • Innovations : nos solutions sont innovantes et nous continuons à imaginer ce qui, demain, pourrait vous aider à simplifier et fiabiliser la sécurité de vos données
  • Développement : nous voulons conforter notre positionnement auprès des PME et continuons à développer notre présence auprès des grands comptes
  • Services : Nous assurons un bon service sur la durée et nos clients en sont les témoins
  • Enthousiasme : Nous sommes heureux de servir nos clients et de pouvoir vivre cette aventure à leurs cotés !
Merci encore à tous et surtout bonne année !