Le Cloud. Le terme évoque une seule et même entité nébuleuse qui hébergerait quantité de données et serait le théâtre de toutes sortes d’activités informatiques. Bien sûr, la réalité est plus prosaïque ; dans les faits, la notion de Cloud désigne un réseau de data centers qui abritent eux-mêmes une armée de serveurs et de nœuds de stockage. Dès lors, on peut se demander où les données hébergées sur le Cloud sont, en pratique, conservées.

Certaines entreprises mettent un point d’honneur à sauvegarder leurs données uniquement sur leurs propres data centers. De la sorte, elles savent précisément où se trouvent ces dernières, qu’elles soient stockées en local ou sur un Cloud privé. Cet article ne s’adresse pas à elles. Néanmoins, bien des raisons peuvent conduire les entreprises – y compris celles opérant sur un secteur réglementé – à recourir à un service Cloud externalisé, sans pour autant renoncer à garder la main sur leurs données. Il leur faut simplement répondre à six questions fondamentales.

  • Dans quelle région mes données sont-elles stockées ?
  • Dans quel pays mes données sont-elles stockées ?
  • Dans quel pays mon fournisseur de services est-il enregistré ?
  • Dans quel type de data centers mes données sont-elles stockées ?
  • Sous quel régime de propriété mes données sont-elles stockées ?
  • Dans quel format de stockage mes données sont-elles stockées ?

Dans quelle région mes données sont-elles stockées ?

Bien souvent, les data centers des fournisseurs de services Cloud français sont souvent disséminés à travers plusieurs régions. Or, la distance physique entre l’utilisateur et le data center – même avec une très large bande passante – est intimement liée à la latence du réseau, c’est-à-dire le temps requis pour transmettre un paquet de données d’un point A à un point B. Sachant qu’une forte latence peut provoquer des dépassements des délais de transfert et faire planter des applications, il peut être avisé de confiner le périmètre de stockage des données à la France, ou au moins à l’Europe du Nord. Celles qui sont établies dans plusieurs zones géographiques (comme l’Amérique du Nord et l’Europe) devront prendre quelques précautions supplémentaires, en veillant par exemple à posséder dans chacune des régions d’implantation une version intégrale de leurs données. Certaines sociétés procèdent de la sorte à des fins de redondance ou de récupération de données après une catastrophe naturelle.

Bon nombre de fournisseurs de services Cloud envoient automatiquement les données au data center le plus proche en France. Il arrive toutefois que l’entreprise préfère réserver certains types de données à une région ou un pays spécifique, par exemple en France, pour des motifs juridiques ou réglementaires.

Dans quel pays mes données sont-elles stockées ?

Avec l’essor des services virtualisés, la souveraineté des données est devenue un enjeu clé pour les entreprises. En effet, dans plusieurs pays – c’est souvent le cas en Europe, mais aussi au Canada – la pratique veut que certains types de données ne quittent pas le territoire national. Il s’agit tantôt d’une obligation légale, tantôt de la simple volonté, de la part de l’entreprise, de montrer à sa clientèle que les questions de confidentialité ne sont pas prises à la légère.

Dans quel pays mon fournisseur de services est-il enregistré ?

La souveraineté des données n’est pas seulement fonction de leur lieu de résidence, c’est-à-dire de l’endroit où elles sont physiquement stockées. En effet, même si ces dernières sont conservées dans votre propre pays, il suffit que votre prestataire de services soit étranger – et donc assujetti à d’autres lois que les vôtres – pour que des gouvernements étrangers soient habilités à s’en saisir au titre des lois relatives à la divulgation d’informations, ou demandent à accéder à tout ou partie dans le cadre d’une procédure judiciaire. C’est par exemple le cas du Patriot Act, aux Etats-Unis. En effet cette loi permet d’exiger à des sociétés telles que Google et Microsoft de communiquer toute donnée sur injonction du tribunal. Pour éviter ce type de désagrément, nous vous invitons à vérifier le statut juridique de votre fournisseur de services au préalable.

Dans quel type de data center(s) mes données sont-elles stockées ?

Il est impératif que le fournisseur de services respecte les normes et pratiques en vigueur sur le marché en matière de sécurité des données, tant sur le plan logiciel que physique. Surveillance 24/7, systèmes anti-incendie et authentification multifactorielle sont autant de mesures de protection qu’un client est en droit d’attendre de son fournisseur. Les data centers peuvent également se prévaloir de certificats de conformité, obtenus à l’issue d’audits mettant l’accent sur leur respect des bonnes pratiques.

Sous quel type de régime de propriété mes données sont-elles stockées ?

Il importe de faire le distinguo entre le modèle de Cloud public à propriétaires multiples et le modèle désormais connu sous le nom de Virtual Private Cloud, ou VPC. La grande différence entre ces deux régimes réside dans les modalités de stockage et d’accès aux données. Dans un modèle multi-tenant classique, vos données sont hébergées dans le même système logique, ou compartiment, que celles appartenant à d’autres organisations, leur accès étant régi par un mécanisme de filtrage par authentification.

À contrario, les données hébergées sur un VPC sont placées dans une infrastructure logique séparée, infranchissable, qui peut être configurée pour n’être accessible qu’à partir du réseau virtuel privé. Aussi, le VPC présente les mêmes gages de sécurité qu’un data center propriétaire, installé au sein de l’entreprise : même si le mécanisme régissant l’accès rencontre un problème, vos données ne peuvent être mélangées à celles des autres. Par défaut, cela signifie en outre que vous pouvez crypter vos données avec vos propres clés et contrôler ainsi tous les aspects de la politique de cryptage de l’entreprise.

Sous quel format mes données sont-elles stockées ?

Parmi les formats de stockage les plus courants (sur et en dehors du Cloud), on trouve le stockage bloc, le stockage fichier et le stockage objet. Le stockage virtualisé est généralement un mélange de ces trois méthodes, mais il les utilise à différentes fins et applications.

Pour la plupart des services liés à la gestion des fichiers comme la sauvegarde, la synchronisation et le partage de fichiers, ou encore le stockage d’importantes quantités de données non structurées, le stockage objet est le format le plus indiqué, tant pour sa remarquable évolutivité que pour son rapport coût-efficacité.

En règle générale, les utilisateurs du Cloud n’ont pas à se soucier de ce genre de question – mais si vous avez des contraintes budgétaires ou des besoins d’évolutivité particuliers et travaillez avec un fournisseur de services Cloud mineur, il peut être judicieux de vérifier que vos solutions de stockage sont compatibles avec le format de stockage qui correspond à vos besoins.

Prenez soin de vos données

Si vous avez parcouru cet article en entier, bravo à vous ! Vous avez l’air d’être très attaché à vos données. Plus sérieusement, tout le monde n’a pas besoin de s’intéresser à des questions aussi pointues, mais il est toujours rassurant de savoir que des solutions sont à portée de main en cas de besoin. Les fournisseurs de services Cloud ne sont pas responsables de vos données – c’est à vous qu’incombe cette tâche.

Démystifier le stockage virtualisé pour savoir où vos données sont réellement stockées et comprendre comment cela peut affecter la gouvernance, la sécurité, l’intégrité, la souveraineté et la conformité des données, est une démarche essentielle pour lever les doutes qui subsisteraient et adopter le Cloud avec sérénité et efficacité.

________
David Darmon est directeur général France et Benelux de Ctera Networks