Nous suivre Industrie Techno

Externalisez vos fichiers en toute sécurité

THOMAS BLOSSEVILLE tblosseville@industrie-technologies.com

Sujets relatifs :

,
L'externalisation des données informatiques est en plein boum. Avec la démocratisation d'Internet et le développement de l'informatique à la demande, elle est même devenue un passage obligé pour la plupart des entreprises. Accès aux serveurs, stockage illimité et modifiable à volonté... la formule a ses atouts. À condition de respecter quelques règles pour ne pas prendre de risques démesurés.

Qui stockera encore demain ses données sur ses propres serveurs ? Si l'on en croit la dernière étude d'IDC, très peu pourront se payer ce luxe. Le cabinet pronostique même une multiplication par huit, dans les trois ans, des échanges par Internet, notamment les emails vite dévoreurs d'espace, et une montée en puissance de l'externalisation des données du côté des PME : 55 % des sociétés de moins de 100 salariés et 66 % des entreprises de 101 à 500 salariés envisageraient de confier le stockage de leurs fichiers à des tiers.

Normal. Avec le développement galopant du Web et l'essor de l'informatique à la demande, l'externalisation est devenue in-con-tour-na-ble. Et si sa forme ultime, le cloud computing, est encore limitée à la gestion de portefeuilles clients (Salesforce.com), de messagerie (Google, Microsoft...) ou à des données bureautiques (Google...), le phénomène s'attaque aujourd'hui à des activités plus stratégiques, comme les données de conception ou de production. « Vous ne devriez plus avoir à vous soucier de l'endroit où sont stockés vos fichiers », prophétisait, en février dernier, Jeff Ray, le directeur général de Solidworks, devant un parterre d'utilisateurs de son logiciel de CAO. Avec son application de dessin 2D Blue Print, l'éditeur américain, qui fait ses premiers pas dans le cloud computing, propose d'héberger les données de ses clients dans des serveurs répartis dans le monde entier.

Pour bon nombre d'industriels, qui voient leurs besoins en stockage de données progresser de manière exponentielle, l'externalisation représente une aubaine. L'opération exige quand même une préparation méticuleuse. Confier ses fichiers à un hébergeur, à un centre de données (data center) ou à un éditeur est une opération simple et sans risque... À condition de respecter les six fondamentaux de l'externalisation des données.

1-Triez objectivement vos dossiers

C'est l'étape à ne pas négliger. Parce qu'elle porte sur des informations souvent confidentielles (techniques, relatives aux clients...), l'externalisation doit reposer sur une parfaite connaissance de son patrimoine de données. La première priorité consiste donc à les classer suivant leur criticité. Un fichier de simulation ordinaire pourra ainsi se révéler moins stratégique qu'une feuille de tableur, si celle-ci rassemble les spécificités de la prochaine innovation produit.

Profitez aussi de cette étape de tri pour repérer les fichiers les plus gourmands en mémoire, comme ceux émanant de la conception assistée par ordinateur (CAO) qui peuvent peser jusqu'à plusieurs dizaines de mégaoctets. Cette précaution permettra, le moment venu, d'ajuster la bande passante et de sécuriser le transfert de ces énormes fichiers vers les serveurs d'hébergement.

Identifiez les données soumises à des contraintes légales, comme les informations personnelles (loi informatique et liberté), bancaires ou relatives à la santé. De simples fichiers clients ou une base de données fournisseurs peuvent entrer dans cette catégorie. Cette étape de tri d'autant plus indispensable qu'elle permettra un gain de temps précieux au moment de choisir le prestataire. Ainsi, la société de conseil en usinage UF1, après analyse de ses besoins, s'est rendu compte qu'elle devait avoir accès à des fichiers issus de tout logiciel de CAO. Pour assurer cette flexibilité, elle a fait appel, comme Axon Câble (lire encadré p. 50), à un prestataire spécialisé dans l'externalisation des données de conception, PI3C.

2-Testez le centre de données

Quel que soit le prestataire choisi (data center, éditeur ou SSII spécialisée), allez voir le centre qui héberge vos données. Cette visite permet de s'assurer que les garanties de sécurité minimales sont respectées. À ce titre, compte tenu des législations très variées d'un pays à l'autre en cas de litige, mieux vaut savoir dans quel pays est localisé le centre. Et, au sein même du data center, identifier le serveur précis qui abrite vos données. « Il faut aussi savoir ce que le data center prévoit contre les incendies et les inondations », conseille Philippe Jouvellier, consultant sécurité chez l'intégrateur de réseaux Telindus. Les hébergeurs disposent généralement d'une panoplie de systèmes de sécurité redondants : double sauvegarde (dans des locaux séparés), groupe électrogène (pour pallier toute coupure de courant), détecteurs de fumée, capteurs de température, d'humidité... Mais, dans ce domaine, une petite visite vaut mieux qu'une longue enquête.

3-Garantissez vos transferts

Parlez de transfert sécurisé à votre éditeur, il vous répondra aussitôt codage des données. « La moindre donnée transférée vers les serveurs doit être cryptée », avertit Gianluca Granero, responsable technique de Memopal, le spécialiste italien de la sauvegarde en ligne. D'autant que des moyens techniques variés existent pour protéger les communications. L'imprimeur Maury dispose d'un réseau privé accessible exclusivement à son prestataire de sécurité, VeePee, et à lui-même. Deuxième solution : le tunnel de chiffrement, dont la vocation est d'empêcher, par cryptage de la communication (en plus de celui des données), tout intrus de consulter des informations transmises par Internet.

Mais l'un des plus grands dangers, c'est de ne plus pouvoir accéder à ses données, même temporairement. En amont, il faut donc se garantir un niveau minimal de disponiblité. Pour éviter les difficultés à l'usage, il reste préférable de contractualiser les conditions d'utilisation : traçabilité des données (en cas d'injonction de la justice), continuité d'accès aux serveurs, assurance de récupérer les fichiers en cas de sinistre... Maury prévoit ainsi de doubler son réseau privé (Orange) avec un réseau SFR. Disposer de deux prestataires le protège en cas de défaillance de l'un ou de l'autre.

C'est un premier pas. Pour le fabricant d'équipements pour cuisines professionnelles Horis, la contrainte réside plutôt dans la maîtrise de la bande passante (4 Mo). « Nous utilisons un réseau privé d'Orange avec 800 utilisateurs répartis sur plus de 40 sites. Plus que les fichiers de bureautique ou de GPAO, c'est la quantité de messages Outlook qui ralentit nos communications », diagnostique Mansour Hamou, ingénieur système chez Horis. Sa solution ? Toutes les données sont d'abord sauvegardées localement dans des boîtiers Beebox de Beemo Technologie (un par site). Les fichiers, répartis sur plusieurs comptes, sont programmés pour s'externaliser à la fréquence choisie. Seules les données modifiées sont envoyées, fluidifiant ainsi les transmissions. Horis a acheté les boîtiers Beebox (500 euros pour 500 Go, 800 euros pour 1 250 Go et 1 200 euros pour 5 750 Go), et paie en plus la location des gigaoctets de stockage dans des centres de données à Marseille (Bouches-du-Rhône) et à Lyon (Rhône).

4-Renforcez le contrôle d'accès

Les risques les plus pernicieux ne sont pas forcément là où l'on croit. Plus que chez son hébergeur, c'est finalement dans ses propres locaux - ou ses propres troupes - que se trouvent les risques majeurs... faute de spécialistes informatiques en interne. Le périmètre numérique de l'entreprise - l'interface entre son parc informatique et le réseau extérieur - doit être correctement protégé. Il est donc impératif de restreindre l'accès à la plate-forme Internet par laquelle transitent les données.

Des identifiants et mots de passe nominatifs constituent un premier stade - minimal - de sécurité. « Un niveau supérieur peut être atteint, à l'authentification, grâce à des mots de passe dynamiques », propose Éric Rousseau, le PDG de VeePee, spécialiste en sécurisation des réseaux. À chaque connexion, et après une première identification nominative, un algorithme génère un deuxième code d'accès, dont la validité est limitée dans le temps. Une minute suffira pour laisser à l'utilisateur interne le temps de se connecter. En cas d'interception par un tiers extérieur, ce délai se révélera trop court pour que le code soit abusivement réutilisé. C'est un verrou supplémentaire, mais pas toujours suffisant à l'heure où l'informatique devient de plus en plus nomade.

5-N'oubliez pas les outils nomades

Les hébergeurs se présentent comme des spécialistes de la sécurité informatique. Leurs centres de données sont effectivement plus sécurisés que les stockages internes des entreprises. Mais, avec l'explosion des périphériques nomades (clé USB, PDA, iPhone, ordinateur portable), ces garanties sont-elles suffisantes ? « Nos commerciaux et consultants à l'extérieur de l'entreprise représentent un parc de 130 PC portables, avec des fichiers de bureautique, de CAO ou de simulation », souligne François Bonnafous-Boucher, directeur opérations qualité chez Keonys, distributeur des logiciels de Dassault Systèmes en France. Chaque jour, leurs données sont sauvegardées dans des serveurs belges et anglais, protégeant Keonys d'effacements malencontreux, du vol ou de la casse d'ordinateur. Keonys a donc acquis 130 licences de Safe PC, le logiciel de sauvegarde en ligne de Magic OnLine. L'offre est facturée suivant les forfaits. Pour chaque licence, comptez de 19 euros hors taxe par mois pour 5 Go à 154 euros pour 120 Go.

Autre menace avec des outils nomades : la sortie, sur imprimante ou par copie sur un périphérique, de données confidentielles. Par défaut, le logiciel DeviceLock d'Athena Global Services bloque toute extraction de fichiers. Ensuite, il l'autorise au cas par cas - selon l'utilisateur et le fichier.

Quoi qu'il arrive, l'informatique mobile multiplie les occasions de sortie des données de l'espace physique de l'entreprise. Alors autant s'y préparer.

6-Faites appel aux spécialistes

Maury, Axon Câble, UF1... Nombre d'industriels non spécialistes de l'informatique qu'Industrie et Technologies a interrogés, préfèrent déléguer entièrement la sécurité. Le suivi des tentatives d'intrusion reste affaire de spécialistes, une tâche quotidienne qui prend du temps. L'enjeu majeur consiste à définir la part de délégation accordée à un prestataire. Quand doit-il donner l'alerte ? Qui doit-il prévenir ? Les scénarios doivent être prévus et leurs ripostes mises en place.

Pour l'hébergement de ses e-mails, Maury a retenu l'offre de VeePee et lui a entièrement délégué la gestion de ses pare-feu. Pour homogénéiser la communication entre ses sept sites, il a misé sur un réseau de transmission privé, géré par Equant (filiale d'Orange). VeePee en est la seule porte de sortie vers Internet. Au prestataire de s'occuper de la mise à jour des antivirus, des antispams... et de bloquer toute tentative d'intrusion. « Dans le choix du prestataire, sa connaissance de notre métier (l'imprimerie) fut décisive. Plusieurs de nos clients étaient déjà reliés à sa plate-forme », justifie Joël Schvartz, ingénieur système chez Maury. Muet sur le coût de la prestation, il reconnaît que Neuf Telecom disposait aussi (pour la sécurisation du réseau privé) d'une excellente offre.

La sous-traitance garantit une surveillance par un spécialiste 24 heures sur 24 et 7 jours sur 7. Ce qui ne veut pas dire que l'industriel peut s'exonérer de tout contrôle. Certains intégrateurs, comme Telindus, conseillent de garder une visibilité complète sur tout ce qu'entreprend le prestataire. Stonesoft, spécialiste en sécurité réseau, propose une solution de supervision. « Notre logiciel permet par exemple de contrôler que le prestataire opère en mode coupure », détaille Léonard Dahan, le directeur général France de Stonesoft. Il s'agit de bloquer l'attaque venant d'Internet avant qu'elle n'arrive sur le réseau interne, plutôt que de se contenter de répertorier l'intrusion après coup. Utile, à condition de disposer d'un responsable informatique en interne...

Boucler son budget en 3 étapes

Comment chiffrer le coût d'une externalisation ? A priori, au cas par cas, selon le type de données, leur volumétrie et le niveau de sécurité. Mais, pour tous, établir un budget impose trois priorités. 1. Évaluer combien coûte aujourd'hui la gestion en interne de l'informatique, en anticipant les futures mises à jour. 2. Identifier les critères de facturation pour chaque prestataire : place de la mémoire pour le stockage, bande passante pour la communication, nombre d'accès ou d'adresses e-mail pour l'utilisation... 3. Confronter l'analyse des coûts à celle des risques pour éviter de surestimer - ou sous-estimer - ses besoins en matière de sécurité.

SKF évite les dérives grâce au serveur central

Avec une soixantaine de centres de compétence répartis dans le monde, SKF n'arrête pas de faire circuler ses données informatiques. Le fabricant suédois de roulements à billes avait même dédié six serveurs au flux de fichiers CAO. Problème : « Nous risquions de dupliquer des développements et de faire diverger des projets de conception », rappelle Frédéric Ponson, le directeur du bureau d'étude « paliers magnétiques » de SKF. Depuis 2002, le suédois a opté pour un serveur central, hébergé par la société EDS en Allemagne. « Le serveur nous est dédié et présente plusieurs redondances de sauvegarde et d'alimentation », assure Stéphane Girard, le responsable français du service support CAO-PLM. Chaque soir, les données y sont automatiquement envoyées. Mais SKF prépare déjà l'étape suivante. L'industriel va réaliser des tests de performance pour contrôler les vitesses de transmission. Des serveurs de réplication pourraient alors être installés, pour soulager le réseau, sur les sites où le trafic dépasse les capacités de la bande passante. Il s'assurera ainsi une totale sécurité d'hébergement en contrôlant le stockage... et le réseau de transmission.

FRÉDÉRIC DIDIER RESPONSABLE BUREAU D?ÉTUDES FRANCE CHEZ AXON CÂBLE

Axon Câble protège ses projets collaboratifs

« Pour garantir la sécurité de nos données, nous avons choisi PI3C. Spécialiste de la gestion des données de conception, PI3C utilise les logiciels dédiés de PTC, PDM Link et Project Link, qui nous permettent de manipuler les fichiers de nos clients, quel que soit leur logiciel de CAO. Le coût de la prestation est fonction du nombre d'accès simultanés (500 euros/mois pour un accès, 800 euros les quatre et 1 300 euros les dix). C'est PI3C qui délivre identifiants et mots de passe nominatifs, avec d'éventuels droits restreints (lecture des données, écriture, effacement...). J'estime à 15 % le temps gagné en réunions, sans compter les déplacements évités. Ce système nous permet d'organiser des conférences à distance où chacun peut manipuler les fichiers CAO. L'hébergeur des données, Hexanet, est localisé à Reims (Marne), avec les mesures de sécurité appropriées : redondance des sauvegardes, locaux blindés, communication Internet sécurisée... »

LES BONNES QUESTIONS A SE POSER

Quelle est l'étendue de mon parc informatique ? Quelles données externaliser ? Où seront stockés mes fichiers ? Qu'est-il prévu en cas de sinistre dans le centre de stockage (inondation, incendie...) ? Quelle visibilité garder en interne ? Comment sont garanties la confidentialité, la disponibilité, la traçabilité et la restauration de mes données ? À quelles contraintes légales suis-je soumis ? Qui a accès aux données ? Avec quelles restrictions ? Quels scénarios d'évolution puis-je anticiper ?

FRAPPER À LA BONNE PORTE

LES CENTRES DE DONNÉES Spécialistes de l'hébergement et de la sécurité des données, ils mutualisent les ressources informatiques. Avantage Externaliser en réduisant le nombre d'intermédiaires. Inconvénient Attention aux problématiques métiers spécifiques. Acteurs Intercity, IXEurope, Telehouse, Interxion et Interoute. LES SSII Les sociétés de service peuvent faire office d'intermédiaire entre les néophytes en informatique et les centres de données. Avantage Ils sont spécialisés sur un métier, comme la CAO. Inconvénient Pas de contact direct avec le centre de stockage. Acteurs IBM Global Services, EDS, Steria, Capgemini, Atos Origin, PI3C... LES ÉDITEURS Issues du Web ou non, des sociétés proposent un nombre croissant de logiciels accessibles en ligne et hébergés dans l'informatique en nuage. L'avantage Disposer de capacités à la demande. L'inconvénient Une offre limitée (messagerie, bureautique, gestion de portefeuilles clients...). Acteurs Google, Salesforce.com, Microsoft, IBM...

vous lisez un article d'Industries & Technologies N°0912

Découvrir les articles de ce numéro Consultez les archives 2009 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Faites de l'or avec les données

Faites de l'or avec les données

La démarche d'open data, qui consiste à rendre accessibles des données variées, a été initiée par les administrations. Elle représente une opportunité[…]

01/11/2012 | EXPÉRIENCES
ISO 50 001 : pilotez vos performances énergétiques

ISO 50 001 : pilotez vos performances énergétiques

Comment protéger son réseau informatique

Comment protéger son réseau informatique

SPÉCIAL BUREAU D'ÉTUDES

SPÉCIAL BUREAU D'ÉTUDES

Plus d'articles