Ce n’est pas tous les jours qu’on trouve un livre en français sur un sujet aussi spécialisé que la sécurité dans le Cloud. Autant vous le dire tout de suite, toutefois : le traitement n’est pas aussi pointu qu’on aurait pu le souhaiter. Je suis le premier à enseigner que la sécurité est avant tout une question de méthodologie, mais il me parait tout de même difficile de ne pas rentrer dans la technique.
Un regret…
Ce livre approche timidement la technique, et une grande partie est en fait une explication de comment fonctionnent les différents types de Clouds. C’est très intéressant, et l’auteur est visiblement très expert sur la mise en place de Clouds, ainsi que sur la sécurité, mais en lisant ce livre, on s’attend à ce que le cœur du sujet soit les spécificités de la gestion de la sécurité (logicielle comme physique). Or, une grande partie reprend simplement une gestion des risques sur des cas d’étude de Clouds, sans apporter vraiment un plus…
D’une certaine manière, ce livre aurait du s’appeler “Considérations autour de la sécurité dans le Cloud” : cela montrerait que 100% du livre n’est pas sur des méthodes de sécurisation dédiées au Cloud, tout en mettant en avant les deux notions qui restent centrales, mais sont abordées presque séparément.
N’allez toutefois pas croire que je regrette une seule minute de mon temps passé à lire ce livre : j’y ai appris un tas de choses sur les Clouds en général. Ma petite déception est seulement due au fait que je m’attendais à trouver des réponses précises sur comment sécuriser des applicatifs à destination du Cloud, alors que la sécurité est plus envisagée du point de vue du fournisseur de service de Cloud. Mais un tas de petites informations très pratiques compensent largement ce petit décalage entre l’attente et la réalité.
Mais plein de bonnes idées…
Ce livre nous fait par exemple prendre conscience du fait que le temps nécessaire à déplacer les données dans le Cloud est un des critères les plus importants d’amélioration de la rentabilité par rapport à une infrastructure in-house. Dans le cas de données volumineuses, il faut bien regarder le coût du Go déplacé en upload. Certains fournisseurs de Cloud propose de leur envoyer des disques durs avec les données pour économiser sur la bande passante…
Un autre point intéressant est le DaaS (Desktop as a Service), qui consiste à virtualiser le bureau d’exécution. En particulier, l’analogie sur l’internet pris comme un très long câble reliant le clavier, la souris et l’affichage est très bonne. Surtout, elle pose la question de la possibilité de concevoir d’autres systèmes innovants en imaginant la segmentation en d’autres points du SI.
Le livre est également très bien renseigné sur l’impact des lois des différentes juridictions s’appliquant sur les données et les traitements du Cloud. Si vous avez des doutes sur les lois qui s’appliquent sur vos données, il vous donnera d’excellents pointeurs, et surtout une bonne idée des risques associées aux règlementations légales en cours, en Europe comme aux USA.
Un projet à surveiller pour éviter l’enfermement dans un Cloud propriétaire : le Data Liberation Front. Bien que j’ai tendance en ce moment à regarder d’un œil critique les déclarations de Google sur la “libération des services et des données”…
Avant de lire ce livre, je ne connaissais pas non plus bien la notion de Cloud communautaire. Je me rends compte que c’est peut-être une façon hybride d’amener des clients travaillant de manière différente à rapprocher leurs méthodes de fonctionnement par une réduction des coûts d’infrastructure, mais aussi par la garantie d’une évolution beaucoup plus transparente du logiciel.
Conclusion
Si vous êtes un manager ou un expert, à combien estimez-vous une bonne idée ? 1000 € ? 100 000 € ? Un livre comme celui-ci ne coûte que 37 € et vous en donnera certainement au moins quelques-unes… Je ne pense pas que ça devienne un classique, car il manque un peu de densité, mais il vaut sans aucun doute le coup de prendre le temps de le lire si votre activité vous oriente vers le Cloud.