Certes, le Cloud Computing était partout présent à la RSA Conference 2009 : plus d’un dizaine de sessions y était consacrées, sans compter celles dédiées au modèle Software as a Service (SaaS). En cela, on peut affirmer que cette édition de la RSA Conference collait parfaitement aux tendances du marché.

Oui, mais les tendances elles-mêmes collent-elles à la réalité de ceux qui font vivre le-dit marché ?

On peut en douter en s’intéressant aux autres conférences programmées durant cette semaine californienne. Beaucoup d’entre elles prenaient pour thème la gestion de la sécurité ou la conformité réglementaire. Des notions qui, pour l’essentiel, concernent surtout le Système d’Information local, ses bons vieux serveurs installés dans la salle machine et les applications que l’on fait tourner dessus.

Se dessine alors deux mondes : d’une part les promesses du Cloud Computing, bien réelles (et nous y reviendront dans un prochain dossier), et de l’autre les nécessités d’une informatique mûre qui exige des outils de gestion centralisés, du reporting et des assurances quant au respect des obligations réglementaires. Et il n’y avait à cette RSA Conference aucune indication que ces deux univers aient tendance à se rejoindre à court terme.

L’on quitte ainsi les allées du Moscone Center avec un sentiment de déjà vu. Voici une course excitante vers les fonctionnalités du Cloud Computing, tout comme jadis l’on courait après les fonctionnalités des logiciels sans trop se soucier de gérer tout cela de manière rationnelle. Il a alors fallu développer sur le tas et sur le tard les interfaces nécessaires à gérer les parcs importants, les solutions tierces pour déployer à grande échelle ou faire remonter les alertes sur une console dédiée. Et ne parlons pas d’outils de gestion généralistes tels les SIEM, encore trop peu répandus.

Tous ces progrès semblent balayés dans la course au Cloud Computing. Car où est le « méta-cloud », cet hypothétique service en mode SaaS qui permettrait de gérer les différents services que l’entreprise a confié au SaaS ou, directement au nuage, quels que soient leurs fournisseurs ? Ou comment peut-on consigner l’état de sécurité d’un serveur qui fonctionne dans le nuage (Amazon EC2 par exemple), alors que les termes du service interdisent tout scan et, a fortiori, tout audit de sécurité ?

Plus généralement, il n’existe pas encore non plus de service de sécurité tiers destiné à contrôler les services délivrés en mode Cloud Computing ou SaaS par un autre éditeur. Il n’existe pas non plus de métriques à destination du management IT pour mesurer l’exposition de l’entreprise en y incluant de manière transparente sa présence dans le nuage. Les méthodes d’analyse de risque traditionnelles ne peuvent prendre en compte de manière spécifique le recours au Cloud Computing (elles l’assimilent à de l’externalisation) et les fournisseurs de Cloud Computing n’ont semble-t-il pas fait grand chose pour faciliter cette reconnaissance.

C’était en définitive peut-être là le message de cette neuvième édition de la RSA Conference, lisible en creux : le plus intéressant n’était pas ce qui était là, mais plutôt ce qui n’y était pas.