<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>RaaS - RiskInsight</title>
	<atom:link href="https://www.riskinsight-wavestone.com/tag/raas/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/tag/raas/</link>
	<description>Le blog cybersécurité des consultants Wavestone</description>
	<lastBuildDate>Tue, 31 Dec 2019 11:10:09 +0000</lastBuildDate>
	<language>fr-FR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>RaaS - RiskInsight</title>
	<link>https://www.riskinsight-wavestone.com/tag/raas/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Les plans de continuité informatique des cloud à l’épreuve de l’ouragan Sandy</title>
		<link>https://www.riskinsight-wavestone.com/2012/12/les-plans-de-continuite-informatique-des-cloud-a-lepreuve-de-louragan-sandy/</link>
		
		<dc:creator><![CDATA[Yannick Neff]]></dc:creator>
		<pubDate>Fri, 28 Dec 2012 08:30:49 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Métiers - Stratégie & projets IT]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[datacenter]]></category>
		<category><![CDATA[PCI]]></category>
		<category><![CDATA[RaaS]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=2778</guid>

					<description><![CDATA[<p>Quand l’ouragan « Katrina » a frappé la Côte du Golf des États-Unis, en Août 2005, ravageant une bonne partie de l’infrastructure de télécommunications, seule une poignée de datacenters a pu tenir le choc. « Katrina » n’a pas seulement anéanti ces centres de...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/12/les-plans-de-continuite-informatique-des-cloud-a-lepreuve-de-louragan-sandy/">Les plans de continuité informatique des cloud à l’épreuve de l’ouragan Sandy</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Quand l’ouragan « Katrina » a frappé la </em><em>Côte du Golf des États-Unis, en Août 2005, ravageant une bonne partie de l’infrastructure de télécommunications, seule une poignée de datacenters a pu tenir le choc. « Katrina » n’a pas seulement anéanti ces centres de données, mais a également mis en défaut un nombre important de plans de continuité informatique (PCI).</em></p>
<p><em>Des sinistres de cette ampleur ont permis d’alerter les DSI sur leur exposition face aux risques naturels. La régularité et la violence de ces évènements climatiques ont poussé les entreprises à prendre des mesures pour faire face à de futures tempêtes de la dimension de «Sandy». Les leçons du passé ont-elles pour autant été retenues ? Ont-elles toutes réussi ce test grandeur nature ? si oui, comment y sont- elles parvenues ?</em></p>
<p><span id="more-2778"></span></p>
<h2>Les conséquences de l’ouragan « Sandy »</h2>
<p>Annoncé comme une catastrophe majeure dans l’histoire des États-Unis, l’ouragan « Sandy » a capté l’attention de la plupart des DSI des acteurs économiques de la côte Est qui ont mobilisé leurs efforts pour déclencher leurs plans de continuité informatique. Ces PCI, mis à niveau depuis les attentats du 11 Septembre 2001, sont fondés notamment sur des procédés de géo-réplication.</p>
<p>Les acteurs du web et plus largement du marché du cloud sont plus enclins à communiquer sur leur capacité de reprise et à faire des retours sur les incidents subis que les entreprises traditionnelles. Les informations disponibles proviennent donc essentiellement de ces acteurs.</p>
<p>De nombreuses pannes d&rsquo;électricité causées par la tempête, ont entraîné une indisponibilité partielle ou totale de services (Huffington Post, Gawker, Cafemon, Gizmodo, Buzzfeed, etc.) dans bon nombre de datacenters. Les hébergeurs et fournisseurs de services cloud <strong>Datagram</strong> et<strong> 75 Broad</strong> ont été indisponibles à causes d’inondations ou réserves insuffisantes de carburant pour le fonctionnement des groupes électrogènes.</p>
<p>« Sandy » a ainsi rendu apparente la vulnérabilité des nombreux datacenters présents dans cette zone (New York, New Jersey, et Virginie) des États-Unis. En effet, plusieurs centres de données géo-répliqués n’étaient distants que d’une centaine de kilomètres (150 datacenters) et donc dans le rayon d’impact de Sandy.</p>
<p>Ces dysfonctionnements mettent en exergue la nécessité, même pour des PCI bien pensés comme ceux de Wall Street, d’être mis à l’épreuve dans des conditions proches de la réalité, avant d’être jugés comme fiables.</p>
<h2><strong> Des PCI à l&rsquo;épreuve des ouragans </strong></h2>
<p>Certains opérateurs de datacenter, comme <a href="http://searchcloudprovider.techtarget.com/news/2240170482/Hurricane-Sandys-wake-How-did-providers-data-center-DR-plans-do"><strong>Telx</strong></a>, ont résisté à Sandy car ils avaient appliqué précédemment des tests simulant jusqu’au bout un sinistre. Par cette initiative, Telx a pu identifier certaines insuffisances dans son PCI comme la surchauffe de ses générateurs en mode dégradé et a donc pu limiter l’impact de Sandy.</p>
<p>Un cas d’école est celui de Buzzfeed qui, malgré le crash de Datagram qui hébergeait ses serveurs primaires, a réussi à réduire considérablement le temps d’indisponibilité de ses services. Cette réussite s’explique par :</p>
<ul>
<li>la mise en cache de la plupart de ses pages chez Akamai, le gestionnaire et diffuseur de contenu</li>
<li>l’hébergement dans un second datacenter des données répliquées en temps réel.</li>
</ul>
<p>La réplication de ces données a permis le rétablissement des services de Buzzfeed chez Amazon Web services (AWS). Quelques heures ont suffi pour assurer la migration complète des données vers AWS et ainsi basculer leur service sur les infrastructures d’Amazon. Cet exploit est à relativiser car il a nécessité la configuration manuelle d’une bonne partie du socle technique de Buzzfeed et reste donc peu applicable en l’état à un SI complexe.</p>
<h2>Les leçons de « Sandy »</h2>
<p>Chaque incident majeur est une façon pour les Grands Comptes d’apprendre par le réel et d’anticiper les futures catastrophes. Au-delà d’une stratégie multi-datacenters, Sandy a  mis en exergue la nécessité d’anticiper, de tester et d’adapter le PCI.</p>
<p>Elle a aussi révélé le cloud comme une alternative envisageable pour réaliser un PCI. Alternative que les offreurs cloud commencent à mettre en avant par le biais de leurs offres packagées de <a title="Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique ?" href="http://www.solucominsight.fr/2012/06/recovery-as-a-service-raas-une-revolution-pour-le-secours-informatique/">Disaster Recovery As A Service.</a></p>
<p>Les entreprises européennes et notamment françaises, qui ont moins l’occasion de mettre à l’épreuve de la réalité leur PCI, devraient néanmoins s’inspirer des retours d’expériences plus nombreux acquis par les américains. D’autant plus que les hébergeurs de cloud ne rechignent pas à communiquer sur leur stratégie PCI gagnante afin d’en faire un argument marketing. En effet, même si moins fréquentes, l’Europe n’est pas à l’abri de catastrophes équivalentes en termes d’impact à « Sandy ».</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/12/les-plans-de-continuite-informatique-des-cloud-a-lepreuve-de-louragan-sandy/">Les plans de continuité informatique des cloud à l’épreuve de l’ouragan Sandy</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique ?</title>
		<link>https://www.riskinsight-wavestone.com/2012/06/recovery-as-a-service-raas-une-revolution-pour-le-secours-informatique/</link>
		
		<dc:creator><![CDATA[Mickael Avoledo]]></dc:creator>
		<pubDate>Mon, 25 Jun 2012 11:55:33 +0000</pubDate>
				<category><![CDATA[Cloud & Next-Gen IT Security]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Cloud security]]></category>
		<category><![CDATA[RaaS]]></category>
		<category><![CDATA[recovery]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=1960</guid>

					<description><![CDATA[<p>Non contents d’avoir déjà décliné une bonne partie des lettres de l’alphabet à la sauce « As A Service », les fournisseurs de service en ont trouvé un nouveau : le « Recovery-as-a-Service » ou RaaS [1]. Arrivées vers la fin 2009 aux États-Unis par...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/06/recovery-as-a-service-raas-une-revolution-pour-le-secours-informatique/">Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Non contents d’avoir déjà décliné une bonne partie des lettres de l’alphabet à la sauce « <em>As A Service</em> », les fournisseurs de service en ont trouvé un nouveau : le « <em>Recovery-as-a-Service</em> » ou <em>RaaS</em> [1]. Arrivées vers la fin 2009 aux États-Unis par le biais de startups, les offres <em>RaaS</em> y sont désormais proposées par les principaux acteurs de la continuité informatique, Sungard Availability Services et IBM BC&amp;RS en tête. Alors le <em>RaaS</em>, révolution ou pas ?</p>
<h2>Le <em>RaaS </em>: fer de lance des « <em>Cloud Recovery Services</em> »</h2>
<p>Comme pour beaucoup de ce qui tourne autour du cloud, il est parfois difficile de donner une définition précise de ce dont on parle, tant une même appellation peut cacher des offres différentes. Nous utiliserons la définition suivante : <em>« Cloud Recovery Service =&gt; </em><em>secours d’un système d’information sur une infrastructure virtualisée, hébergée par un tiers, disponible à la demande et facturée à l’utilisation. »</em></p>
<p>L’éventail des possibilités est très large :</p>
<ul>
<li> d’une sauvegarde externalisée des données critiques en mode cloud (« <em>Backup-as-a-Service</em> ») …</li>
<li> …en passant par la construction par le client lui-même de son secours sur la base d’une prestation de type « <em>IaaS</em> » [2] …</li>
<li>  …jusqu’à une offre complètement managée intégrant le suivi du SI nominal et des mécanismes de bascule planifiés. C’est ce type de prestations que l’on retrouve sous l’appellation « <em>Recovery-as-a-Service</em> ».</li>
</ul>
<h2> Quel est l’intérêt de passer au <em>RaaS</em> ?</h2>
<p>L’utilisation du <em>RaaS</em> résulte avant tout d’un choix économique. Sur le papier du moins, le secours paraît adapté au modèle de facturation du cloud (pas de sinistre &gt; allocation limitée de ressources &gt; coût d’utilisation réduit), alors qu’un secours traditionnel implique de stocker, héberger et faire évoluer des infrastructures, des serveurs et des applications sur un site de secours.</p>
<p>Mais à y regarder de plus près, les économies ne sont pas toujours au rendez-vous et varient grandement en fonction des applications. Si certaines d’entre elles, peu consommatrices de données, sont les candidates idéales pour le <em>RaaS</em> (des études indépendantes font état d’environ 80% d’économies [3] pour leur secours par rapport à l’approche traditionnelle), le ROI pour les applications plus lourdes et/ou pour lesquels les exigences de continuité sont plus fortes s’avère discutable. En effet, plus les RTO et RPO seront exigeants, plus le niveau de service devra être élevé (allocation renforcée de ressources, mécanismes de réplication des données site-à-site, liens sécurisés, supervision 24/7, etc.) entraînant une envolée des coûts à la clef.</p>
<p>Le <em>RaaS</em> s’assimile, à ce stade de sa maturité, au mieux à du « <em>warm recovery</em> ». En effet, il est aujourd’hui illusoire de penser que les solutions proposées permettront de la haute-disponibilité : délais d’activation, délais relatifs aux opérations de bascule notamment au niveau du réseau, délais de restauration en cas de corruption des données, etc.</p>
<p>En outre, le RaaS repose essentiellement sur des mécanismes de virtualisation de serveurs (le plus souvent restreints aux architectures Intel x86, à l’exception de quelques fournisseurs), que ne supportent pas tous les progiciels du marché, a fortiori les applications propriétaires des clients.</p>
<p>Ainsi, le fait de vouloir tirer pleinement parti de la compétitivité économique du RaaS tout en répondant aux besoins Métiers réduit son utilisation à une certaine catégorie d’applications. Ce faisant, il cantonne le RaaS en tant que solution complémentaire à un secours traditionnel, ce qui peut paradoxalement devenir une source de complexité, du fait de la cohabitation de deux SI de secours. Néanmoins, deux cas d’usage du RaaS émergent pour les organisations concernées :</p>
<ul>
<li> La couverture des applications virtualisées ou éligibles à la virtualisation à coût optimisé</li>
<li> L’extension du secours à des périmètres qui n’auraient pas pu être intégrés au Plan de Continuité Informatique de l’organisation, pour une meilleure couverture au meilleur coût.</li>
</ul>
<p>&nbsp;</p>
<h2>A qui s’adressent les offres <em>RaaS</em> ?</h2>
<p>Étant donné son modèle économique et sa structure technique, le <em>RaaS</em> semble plus adapté aux moyennes structures (qui n’ont pas souvent la surface financière pour mettre en œuvre et gérer en propre un site de secours) et notamment à celles qui ont opéré la virtualisation de leur SI. Les études prospectives [4] le montrent : ce sont elles qui tireront la croissance de ce marché dans les prochaines années.</p>
<p>Les grandes organisations déjà dotées de Plans de Continuité Informatique seront probablement moins intéressées mais pourront néanmoins trouver dans le <em>RaaS</em> des réponses ciblées à certains de leurs besoins.</p>
<h2>Le <em>RaaS</em> : une offre mature ?</h2>
<p>Comme pour nombre de <em>cloud services</em>, le <em>RaaS</em> n’a pas encore atteint sa pleine maturité : en témoigne le foisonnement des offres et des prestataires notamment aux États-Unis et au Royaume-Uni. Au-delà des acteurs historiques de la continuité informatique se positionnent des <em>pure-players</em> des <em>cloud recovery services</em> et de plus en plus des hébergeurs informatiques, convertis au <em>cloud</em>.</p>
<p>Le marché se structure, les offres évoluent en recherchant notamment de la complémentarité avec les <em>cloud services</em> : des initiatives d’interopérabilité entre services <em>IaaS</em> et <em>RaaS</em> se font jour pour assurer du secours « cloud-to-cloud » par exemple.</p>
<p>A ce stade et en terme de couverture de risques, le <em>RaaS</em> doit faire ses preuves. Concrètement les infrastructures dévolues au <em>RaaS</em> reposent sur encore peu de datacenters. Le client qui souhaitera se prémunir de sinistres affectant des zones géographiques particulières (ou étendues) devra se rapprocher du fournisseur de service <em>RaaS</em> qui l’intéresse pour vérifier que son ou ses sites ne sont pas exposés aux mêmes risques.</p>
<p>En France, le marché reste jeune et sans retour d’expérience significatif de déploiement. Les grands offreurs français s’appuient, aujourd’hui, sur les infrastructures anglo-saxonnes ou nord-américaines de leur maison-mère (ce qui potentiellement impacte la qualité de service, le niveau de sécurité, les engagements contractuels, etc.). Reste donc aux acteurs, anciens comme nouveaux, à démontrer toute la pertinence de leurs offres, en particulier sur la gamme des services managés, probablement les plus recherchés par les DSI.</p>
<p>&nbsp;</p>
<p><em>[1] On rencontre également l’acronyme DRaaS (Disaster Recovery-as-a-Service)</em></p>
<p><em>[2] IaaS : Infrastructure-as-a-Service</em></p>
<p><em>[3] « </em><a href="http://static.usenix.org/event/hotcloud10/tech/full_papers/Wood.pdf"><em>Disaster Recovery as a Cloud Service : Economic Benefits &amp; Deployment Challenges</em></a><em> »</em></p>
<p><em>[4] « Gartner Says 30 Percent of Midsize Companies Will Use Recovery-as-a-Service by 2014 »</em></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/06/recovery-as-a-service-raas-une-revolution-pour-le-secours-informatique/">Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
