L’infonuagique, nerf du commerce au 21e siècle

En février dernier, le ministre délégué à la Transformation numérique, Éric Caire, a annoncé vouloir confier 80 % des données des organismes gouvernementaux à des serveurs d'entreprises privées, ouvrant la voie à l'infonuagique (ou cloud computing, en anglais).

Cette technologie permet d’abord et avant tout aux entreprises et aux États d’emmagasiner leurs données sur des serveurs situés hors de leurs propres bâtiments.

Cette volonté de délocalisation est née dans la foulée des attentats terroristes du 11 septembre 2001, raconte Omar Cherkaoui, professeur au Département d’informatique de l’UQAM.

La Banque TD a perdu tout son centre de données qui était dans les tours jumelles et la banque était coincée, elle a tout perdu, raconte M. Cherkaoui. Pendant une semaine, plus personne n’avait accès à ses données ou à ses transactions bancaires.

C’est donc d’abord par souci de sécurité, pour éviter qu’un incendie ou un dégât d’eau ne ruine les serveurs, que des centres de données ont été construits par des firmes privées.

Puis, deux autres avantages se sont dessinés : les faibles coûts et la flexibilité du réseau.

C’est un peu normal que les gens aillent dans cette direction-là, car acheter de l’équipement, c’est dispendieux. S’assurer que l’équipement est bien entretenu, c’est aussi dispendieux, explique Éric Parent, PDG d'EVA Technologies et enseignant en cybersécurité à l’École polytechnique de Montréal et à HEC Montréal.

Le gros avantage, c’est la flexibilité, ajoute pour sa part M. Cherkaoui. Vous voulez 3 milliards de gigaoctets? Vous allez l’avoir en quelques minutes. Alors que dans une entreprise ou au sein du gouvernement, pour doubler ses capacités de mémoire ou de capacité de calcul, ça prend des projets sur trois ou quatre ans pour y arriver.

Car le principe au cœur de l’infonuagique est de sous-traiter l’hébergement de ses données dans d’immenses centres répartis un peu partout dans le monde.

L'infonuagique repose sur le principe de louer des ressources informatiques à des entreprises ou des organismes.

Photo : Reuters

Tu es censé distribuer ça à deux ou trois endroits, précise M. Parent. Donc, si tu perds un centre de données ou qu’il y a un problème de télécommunication avec le centre, ça ne devrait pas avoir un impact.

Les entreprises qui gèrent ces centres peuvent ensuite moduler l’usage de plusieurs serveurs selon les besoins de leurs clients.

Un service cher payé

Le récent vol chez Capital One, dont les données sont hébergées par Amazon Web Services (AWS), la filiale d’infonuagique du géant Amazon, a soulevé bien des questions à propos de la fiabilité de cette technologie. Surtout dans le contexte de la transformation numérique que souhaite amorcer le gouvernement québécois, et dont la première phase, soit l’étude du projet de loi 14, a repris mardi dernier.

La Coalition avenir Québec (CAQ) espère, au terme de cette transformation, réaliser des économies annuelles de 100 millions de dollars. Des réductions de coûts qui ne sont peut-être pas aussi systématiques qu’on le croit, selon Jean-Baptiste Su, analyste principal pour Atherton Research, une firme d’analyse basée dans la Silicon Valley.

Il faut savoir une chose, c’est qu’AWS coûte cher, explique celui qui collabore également au magazine américain Forbes. Ça revient plus cher d’utiliser AWS que de construire son propre centre de données, sauf quand on démarre et qu’on n’a pas beaucoup d’argent.

« Le coût ne doit pas être le premier facteur pour basculer ses données vers le cloud. »

M. Su compare le service d’infonuagique avec la location d’une voiture. Ainsi, stocker les données sans trop les utiliser reviendrait à louer un véhicule sans trop faire de kilométrage.

On peut louer des calculateurs et des machines pour faire rouler des applications, précise M. Su. Comme service de stockage, Amazon peut être moins cher, mais si des gens ont souvent accès à leurs données, ça peut revenir plus cher.

Un point de vue que partage José Fernandez, professeur titulaire au Département de génie informatique et génie logiciel à Polytechnique Montréal.

Sans vouloir faire porter le blâme à personne, il y a suffisamment d’exemples de pratiques abusives en informatique au cours des dernières années, que ce soit à la Ville de Montréal ou au gouvernement du Québec, qui supporteraient l'hypothèse qu’il est effectivement facile pour une administration publique de devenir otage de ces contracteurs privés, rappelle M. Fernandez.

Des risques majeurs

La sécurité est également un enjeu important dans le choix d’opter pour l’infonuagique.

Il faut quand même se rendre compte qu’il y a des risques majeurs, met en garde Omar Cherkaoui. Le risque, réellement, c’est le réseau. [...] Si une catastrophe arrive et fait tomber l’Internet d’une ville ou la téléphonie d’une ville, c’est la pagaille totale.

Pour Éric Parent, le problème est ailleurs puisque les centres de données sont censés avoir des relèves en cas de pannes.

Pour moi, le problème, c’est plus de se demander ce qu’on va faire avec l’infonuagique, explique-t-il. Quelles sortes d’applications [on va utiliser]? Qui a fait l’architecture? Quelles sont les mesures de sécurité qui ont été mises sur l’application?

Un son de cloche similaire du côté d’André Mondoux, professeur à l’École des médias de l’UQAM et membre du Groupe de recherche sur l’information et la surveillance au quotidien (GRISQ).

Il faut se poser la question – parce qu’on ne le sait pas encore – à savoir quels sont les coûts réels de la marchandisation des données personnelles, soulève-t-il. Je ne parle pas juste de coûts financiers liés à la sécurité, au refroidissement des serveurs, aux centres de données, mais aussi les coûts en termes d’impacts sociopolitiques et culturels.

« On est dans une ère d’enthousiasme : on est en retard, il faut se dépêcher, ou on est en avance et si on ne se dépêche pas on va perdre cet avantage-là. »

Dans son rapport mi-annuel de 2019, la firme d’analyse en cybersécurité Skybox soulignait que le nombre de vulnérabilités informatiques à l’intérieur de ce qui est appelé les conteneurs avait considérablement augmenté depuis deux ans. Les conteneurs servent à isoler différentes sections d’un environnement virtuel.

Le problème souvent, c’est que la plateforme qui est au-dessus de tout ça, qui gère ces différents conteneurs, va avoir accès à tous les conteneurs, explique Éric Parent. S’il y a une faille de sécurité à ce niveau-là et que quelqu’un l’exploite, il peut passer de son conteneur au conteneur du voisin.

Selon Skybox, le nombre de vulnérabilités à l’intérieur de ces conteneurs a bondi de 240 % entre 2017 et 2019.

L’évolution de la technologie est tellement rapide que, du point de vue de la protection légale, il est très difficile pour les gouvernements de légiférer là-dedans, croit Omar Cherkaoui. En fin de compte, nous sommes un peu à la merci [des entreprises].

En chef de file de ces entreprises se trouve un géant de l’informatique, Amazon, qui a été un précurseur de l’infonuagique et qui domine maintenant ce marché.