Le Cloud computing, un défi pour l'archivistique
Par Jean-Michel Salaun le jeudi 16 juin 2011, 08:42 - Cours - Lien permanent
Ce billet a été rédigé par Sylvie Sperano dans le cadre du cours SCI6355 sur l'économie du document de la maîtrise en sciences de l'information de l'EBSI.
Le marché du Cloud computing est en pleine expansion : Gartner, prévoit que ce marché récoltera 149 milliards de US dollars en 2014 (alors qu’il en a récolté 68,3 milliards en 2010 et 51,7 milliards en 2009) (ici et là). Ayant mis de l’avant et/ou consolidé différents modèles (nuages corporatifs ou privés, nuages commerciaux et nuages publics) et plusieurs offres de services (Saas, IaaS, Paas, Daas, Bpaas, etc.), ce nouveau micro-média a su capter l’attention des organismes et, ainsi, augmenter sa clientèle. En effet, « Il ne s’agit plus de savoir si les entreprises adopteront ce concept, mais de quelle façon elles peuvent le mettre à profit » (ici). La réussite économique du Cloud computing est incontestable et semble donc mettre fin à la polémique qui avait cours sur sa rentabilité (là).
Quelques années après sa mise en marché, le recours au Cloud computing revêt plusieurs avantages qui sont maintenant bien connus et reconnus à savoir, la multiplicité des services, l’accès rapide et au besoin, le paiement à l’usage et la réduction des coûts d’opération. À l’opposé, les inconvénients ou les risques engendrés par l’utilisation de l’informatique en nuage, principalement liés à la sécurité et à la protection des renseignements, sont tout aussi connus (ici, là, là et là). Il semble que l’« on voit le nuage comme un projet technologique, alors que les enjeux principaux sont de l’ordre des affaires : gestion contractuelle, conformité, sécurité, continuité des opérations… » (ici) et j’ajouterai à cette énumération, archivistique ou gestion documentaire.
En effet, diverses problématiques, ou questions, se posent pour l’archiviste qui œuvre au sein d’un organisme ayant opté pour le Cloud computing, et ce, particulièrement lorsque le nuage est public. Dans son billet, Archivistique et Cloud Computing, Jean-Michel Salaün invitait les professionnels de l’information à mener une réflexion urgente sur le sujet (là). À ce titre, j’amorce donc celle-ci par une série de questions… Comment assurer une saine gestion des documents corporatifs, de leur création (ou réception) à leur disposition finale lorsque ceux-ci sont, en tout ou en partie, conservés chez des tiers, généralement inconnus de l'organisme? L’archiviste doit-il modifier ses pratiques et revoir les principes qui sous-tendent sa profession?
Évidemment, depuis de nombreuses années, l’archiviste est confronté à une nouvelle réalité, celle des documents numériques. Les caractéristiques propres à ce support (dématérialisation, volatilité, fragilité, opacité, etc.) ont certes amené l’archiviste à modifier certains outils et certaines pratiques de gestion documentaire traditionnels ou à en adopter de nouveaux : convention de nommage, élaboration de profils de métadonnées, gestion des accès, transfert ou migration de support, etc.. Ces outils et ces pratiques de gestion documentaire, revues et corrigées, sont-elles suffisantes pour répondre aux enjeux que pose l’informatique dans les nuages ?
Comment garantir l’intégrité des documents conservés dans les nuages ? Comment contrôler l'accès à ces documents ? Comment assurer la protection des documents essentiels et celle des documents contenant des renseignements personnels ? Comment s’assurer de leur accessibilité et leur conservation à long terme ? À l’inverse, comment s’assurer de leur destruction définitive et confidentielle, lorsque ceux-ci n’ont plus de valeur ? Le principe de respect des fonds ou de provenance est-il en péril ? Comment préserver la mémoire institutionnelle de l’organisme ?
Et vous, qu’en pensez-vous ?
Commentaires
L’utilisation massive par les entreprises de l’utilisation du Cloud Computing (Informatique dans les nuages) révèle deux positions par les observateurs. Les uns y voient une évolution majeure, les autres un piège marketing. L’informatique dans les nuages ne se présente pas comme une révolution technologique, mais bien comme une révolution économique. D’un point de vue économique, la discussion est brève, tout le monde s’entend pour dire qu’il y a beaucoup d’intérêt et l’on sait que l’économie raisonne davantage par intérêt que par nécessité http://blogues.ebsi.umontreal.ca/jm... Cependant, je pense que la nécessité est liée à l’intérêt, même si au premier abord cela est moins perceptible. Qui sont déjà les gros joueurs du Cloud Computing : Google, amazone, Microsoft, etc. Le problème qui m’apparaît est que les données de nombreuses entreprises sont détenues par un nombre restreint de gros acteurs ultras puissants : http://lexpansion.lexpress.fr/high-... Une nouvelle fois, toujours avec la même recette de promesse d’économie et de gain de temps, le client perd son indépendance et sa liberté. Les bibliothécaires ne peuvent pas penser au Cloud Computing sans avoir en tête l’exemple des consortiums d’achat de périodiques. Il n’est plus question d’acheter des documents, mais seulement leur accès. Si le consortium ferme boutique, tant pis pour les usagers… Sauf que dans le cas de l’informatique dans les nuages, même l’accès à nos propres documents sera sous conditions économiques or là il est question de nécessité pour la bonne marche de l’entreprise. Et puis, qui nous dit que ces géants actuels, tels que Google, Apple, IBM et autres seront encore présent dans 20, 30 ou 50 ans, car là encore, la garantie est donnée sur l’accès immédiat des données, mais aucune garantie n’est faite sur l’accès dans la durée. Simplement, parce que cela n’est pas possible.
Autre point important souligné par Sylvie Sperano avec l’utilisation du Cloud Computing est le problème de la gestion des archives, de l’intégrité des documents, mais je pense aussi à leur confidentialité : «Pour être sûr que personne ne puisse y accéder, y compris le fournisseur, il faut chiffrer les données. Ainsi, seul l'utilisateur a les clés de son coffre. Tant que l'on veut stocker des données privées, cela fonctionne. Mais les copies de clés à grande échelle, aujourd'hui on ne sait pas faire» http://lexpansion.lexpress.fr/high-...
Par contre, je vois dans l’arrivée du Cloud Computing une bonne occasion de remettre enfin en question le principe de respect des fonds et de provenance avec ses assises positivistes, ce qui à mon avis aurait du être fait depuis longtemps. Ce qui sera peut-être le sujet d’un autre commentaire ?
CL
Il y a un aspect différent de la question qui mérite un petit commentaire, il s'agit de la gestion des entrepôts de données. Il y a dans le Wallpaper,no146, p.133(designinteriorsfashionartlifestyle) un article sur ces banques de données en fait des édifices massifs et blindés, l'un d'eux à Stockholm niche dans un ancien buncker nucléair. Ces endroits se doivent d'être pourvus en électricité sans aucune faille, une armée de générateurs, des batteries pour asurer la relève si la tension faiblit. Le serveur de Woking en Angleterre est entouré de murailles de 6m, pourvues de mèche sensible au toucher et sa porte peut résiser aux assauts de camions de 40tonnes à 150kmh. D'immenses bassins d'eau froide servent à rafraichir l'édifice, chacun d'eux pour seulement 15 minutes. Endroits impressionnants, et sans dout appelés à disparaître avec la miniaturisation des supports de données. On prévoit en faire des banques de sperme...
Marie-Andrée
Bonjour Sylvie,
Dans l'ensemble, j'apprends beaucoup de ton billet.
Je vais tenter d'apporter un élément de réponse à l'une de tes questions.
Comment contrôler l’accès aux documents dans «Cloud computing»?
Plusieurs secteurs se sont déjà emparés de cette technologie jeune et neuve comme Amazon, Google, IBM. On prévoit même que cette nouvelle technologie devrait, dans moins de cinq ans, pénétrer le marché.
AAPI (l'association sur l'accès et la protection de l'information) est une référence intéressante sur la question et plus particulièrement son plus récent congrès tenu à Québec les 27 et 28 avril 2011:
http://www.aapi.qc.ca/congres2011/p...
Sécurité sans frontière de son côté avait rencontré les responsables de 1600 entreprises, tous secteurs confondus de 56 pays lors de sa 13ème enquête mondiale sur la sécurité de l’information en 2010. Les résultats avaient confirmé que plus de la moitié des entreprises étaient prêtes à augmenter leurs dépenses afin de prévenir des fuites et des pertes d’information. Les responsables étaient aussi prêts à ajuster leur stratégie de contrôle, de gestion des identités et d’accès à l’information. http://www.ey.com/Publication/vwLUA...
Dans cette nouvelle mouvance du «Cloud computing», qui fait référence à l'utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs mondiaux; le meilleur contrôle serait, selon notre point de vue une affaire juridique et technologique. Les institutions pourraient établir des normes standards de stratégies de contrôle qui seraient liées à l’utilisation du Cloud computing. C’est simplement dit. Mais je pense fortement que les risques de violation de confidentialité pourraient être contrôlés surtout pour les archives qui sont des documents à valeur historique.
Christian, ton commentaire est fort intéressant, merci. Pour ce qui a trait au principe de respect des fonds, tu sembles avoir une opinion bien campée sur le sujet. Peut-être sauras-tu m'éclairer ? Pour ma part, j'ai du mal à me positionner face à cette question... En fait, j’ai davantage tendance à croire que la dispersion virtuelle des documents administratifs d’une organisation n’invalide pas le principe de respect des fonds.
Marie-Émile, l’AAPI pourrait certes devenir une référence incontournable compte tenu son expertise en matière d’accès et de protection des renseignements, mais pour le moment, elle ne s’est pas réellement positionnée sur le Cloud computing. J’ai, par ailleurs, assisté à la conférence donnée par François Coallier dans le cadre du congrès en avril dernier. Celle-ci était quasi-exclusivement axée sur l’aspect technologique. Une seule mise en garde fut lancée à l’égard du Patriot Act…
Pour l’heure, il semble que l’avenue du chiffrement des données, tel qu’avancé par Christian, soit une bonne option. De même, le cloud privé est présenté par plusieurs spécialistes de l’informatique des nuages comme étant l’alternative de choix pour les entreprises qui souhaitent bénéficier des avantages du Cloud tout en assurant la sécurité de leurs données. Le point de vue de Sécurité sans frontière m’apparaît également intéressant (merci pour la référence) : l’adoption de politiques internes en matière de sécurité m’apparaît être un impératif pour les entreprises ainsi que l’établissement de normes et de standards nationaux ou internationaux. Au Québec, le Comité pour l’harmonisation des systèmes et des normes a été mis sur pied en mars dernier (pour connaître son rôle exact, voir chapitre 4, section 1 de la Loi concernant le cadre juridique des technologies de l’information http://www.canlii.org/fr/qc/legis/l... ). Espérons que le Cloud computing et tous les questionnements qu’il suscite seront dans leur mire !
Je n'avais presque pas entendu parler du cloud computing avant la lecture du billet de Sylvie. Enfin j'avais bien entendu le terme, mais je n'étais pas familier avec le principe. Il semblerait effectivement y ait beaucoup d'avantages économiques à utiliser le cloud computing, notamment une réduction importante des coûts liés à l'achat et à l'entretiens du hardware. Cependant, beaucoup de gens intéressés par ces avantages sont néanmoins inquiets quand à la sécurité du dit système, dont plusieurs dirigeants de grandes entreprises.
(http://articles.cnn.com/2010-03-12/...)
Cette inquiétude est facile à comprendre quand on analyse le principe de base du cloud computing qui consiste finalement à délocaliser ses données et, par extension, à les mettre dans les mains d’une autre groupe ou entreprise. Évidemment cela nécessite non seulement une confiance en la dite entreprise, mais également une confiance envers ses systèmes de sécurité.
Pour cette raison, je pense qu’il ne serait pas nécessairement souhaitable que des gouvernements ou de grands organismes confient leurs données à une entreprise de cloud computing. Cependant, les opinions sont polarisées à ce sujet. Les défenseurs du cloud computing sont plusieurs à prétendre qu’en fait il serait plus sécuritaire que bien des systèmes de sécurité d’entreprises. Ils citent notamment l’attaque contre Sony d’il y a quelques mois au cours de laquelle on a porté atteinte aux données personnelles de milliers d’usagers.
(http://www.reuters.com/article/2011...)
Avec la sortie de Icloud gageons que cette polarisation s’accentuera encore. Voir le site internet d’Apple ici :
(http://www.apple.com/icloud/)
Mais malgré cette polarisation je ne doute guère du succès du système d’Apple, reste à savoir si cela engendrera un mouvement de masse des usagers, des entreprises et des institutions vers le cloud computing.
Petit correctif: le comité d'harmonisation a été mis sur pied en mars 2010.
Marie-Andrée, pour compléter ton commentaire: deux autres liens portant sur les centres de données Google (http://www.theregister.co.uk/2009/0... et http://homebiss.blogspot.com/2009/0...).
Mega-centres impressionnants, mais surtout pollueurs... Grands consommateurs d'énergie, ceux-ci sont d'ailleurs dénoncés par Greenpeace (http://www.greenpeace.org/canada/fr...).
Bonjour,
Pour l'actualité des centres de données, voir : http://www.datacenterknowledge.com/
Une réflexion plus générale : Carr N., The Big Switch: Rewiring the World, from Edison to Google, W. W. Norton, 2008. (présentation et extraits http://www.nicholasgcarr.com/bigswi...)
Il y a beaucoup de littérature sur l'informatique dans les nuages, mais en réalité peu de professionnels de l'information pour en évaluer les conséquences sur leur domaine.
Pour une veille sur l'évolution de l'archivistique : http://friendfeed.com/archiveilleurs
Oui Sylvie, l'aspect environnemental lié au centre de données ne m'a pas échappé. Je voulais mentionner que cette dépense représentait 3% de l'énergie produite en Angleterre mais l'endroit exact de ma référence m'échappait alors, je n'étant pas certaine du chiffre avancé et j'ai oublié de reformuler cette critique autrement. Merci de le préciser.
Marie-Andrée
Merci Sylvie pour ce billet sur le cloud computing. Je ne savais définitivement pas en quoi cela consistait en réalité! Un des principaux points positifs du cloud computing est bien la réduction des coûts d’opération pour l’entreprise. Toutefois, comme vous le mentionnez, il y a aussi des problèmes de sécurité des renseignements. J’ai lu quelques uns des blogues auxquels vous faites référence et un de ceux-ci (http://www.directioninformatique.co...) soulève la question que je me demandais, à savoir même si c’est avantageux sur le plan économique, rien n’indique combien coûtent les contrôles de sécurité… Est-ce alors si profitable économiquement ? Ce qui m’a d’autant plus étonné, c’est que rien n’empêche un fournisseur d’envoyer les données de son client à l’étranger (où il n’y a pas les mêmes lois en matière de propriété intellectuelle) pour les sauvegarder (http://www.directioninformatique.co...). Concernant l’archivistique, est-ce une si bonne idée que d’utiliser le cloud computing pour le stockage des archives numériques ? Sommes-nous prêts à prendre le risque de sauvegarder notre patrimoine dans un nuage informatique sans être assurés que nous ne le perdrons pas ou qu’il ne sera pas utilisé à mauvais escient ?
Bonjour Marie-Claude,
Les points que vous soulevés sont tout à fait exacts. Le Cloud Computing implique, pour les organismes, une gestion de risques.... Aussi certains organismes ont-ils choisi de conserver leurs documents stratégiques et hautement confidentiels à l'interne, d'autres ont tout simplement choisi d'opter pour un cloud privé.
Le présent commentaire a pour but de faire une synthèse de la discussion effectuée autour de mon billet, du 16 au 17 juin.
Nombreux sont les commentateurs qui ont reconnus les bénéfices apportés par le Cloud computing pour une entreprise. Par contre, le principal aspect ayant animé la discussion s’avère être les risques associés à l’usage du Cloud computing, soit la dépendance de l’entreprise envers le fournisseur, l’inaccessibilité des données à long terme, le non-respect de la confidentialité des données et la perte de documents, de notre patrimoine. En parallèle, quelques solutions pour réduire ou éliminer ces risques ont été présentées, à savoir le chiffrement de données, l’usage du cloud privé ainsi que l’élaboration et l’adoption de normes, de standards et de stratégies permettant un meilleur contrôle du Cloud computing.
Pour les fins de mon dossier, je tenterai d’analyser ces risques et ces solutions du point de vue de l’archivistique. La perte potentielle de documents fera certes l’objet d’une attention particulière, mais aussi, la possible perte du contexte dans lequel ceux-ci ont été créés ou reçus par l’organisme. Soit, tout aussi grave que la perte du document lui-même, la perte de l’information contextuelle entourant la création ou la réception d’un document aurait des conséquences importantes sur la valeur de celui-ci (juridique et de témoignage, notamment).
Par ailleurs, à mon avis, un autre aspect important ressort de la discussion : le Cloud computing, d’un point de vue archivistique, suscite plusieurs questionnements pour lesquels nous avons bien du mal à répondre. Sur ce point, le commentaire de M. Salaün me semble bien révélateur…
Enfin, sans nécessairement donner de réponses à mes nombreuses questions, la discussion m’aura tout de même permis d’approfondir ma réflexion sur le sujet et d’orienter celle-ci vers de nouvelles avenues (notamment, en ce qui concerne l’adoption de normes et de standards). Cet exercice qui visait à nous apprendre à écrire et à débattre dans le ciel fut donc très enrichissant.
Merci à tous pour votre contribution!
Sur la dernière partie de votre réflexion vous pouvez utilement exploiter des billets récents des archives de Nouvelle Galle du Sud (Australasie) sur le sujet, en suivant les liens suivants :
Recordkeeping and the cloud (http://futureproof.records.nsw.gov....)
managing recordkeeping risk in the cloud (http://futureproof.records.nsw.gov....)
Bonne suite.
Pour compléter l'analyse et faire suite au billet de Jean-Daniel, je vous invite aussi à examiner le sujet du cloud computing sur le plan juridique. Ce point n'est pas à négliger dans votre réflexion surtout dans une perspective archivistique.
Par exemple, pour la France, le code général des impôts, le Code du patrimoine, la loi Informatique et Libertés, entre autres textes réglementaires, n'autorisent pas une totale liberté du lieu de stockage (pouvant être limité au territoire national) des données aux organismes du secteur public mais aussi aux entreprises pour certains types de documents. Voir http://www.feral-avocats.com/fr/nos...
Cela tombe bien, la loi sur les archives de 1983 au Québec est présentement soumise à un processus de réflexion en vue d'une éventuelle révision... La question du cloud computing pourrait y être soulevée...
Merci à vous pour ces nouvelles pistes...
L'éventuelle révision de la Loi sur les archives sera effectivement à surveiller... À plus court terme, on peut espérer que les travaux du Comité pour l'harmonisation des systèmes et des normes permettront l'élaboration de lignes directrices au sujet du Cloud Computing.