Comment la NASA a raté sa transition vers le Cloud…

CloudDSI

L’audit de l’inspecteur général de l’agence spatiale américaine a relevé que de nombreuses initiatives de cloud computing ont créé des risques sévères de sécurité pour la NASA… et met en cause la DSI.

Paul K. Martin est l’inspecteur général en charge des audits de la NASA (National Aeronautics and Space Administration), l’agence spatiale américaine. Et son dernier rapport, consacré à la progression de l’adoption par la NASA des technologies de cloud-computing, est loin d’être tendre pour le CIO (DSI) de la célèbre administration.

Portrait IT de la NASA

L’agence dispose de plus de 550 systèmes d’information, pour contrôler les engins spatiaux, collecter et traiter les données, sécuriser les infrastructures et collaborer à travers le monde. Des centaines de milliers de scientifiques, collaborateurs, partenaires ou simples visiteurs s’y connectent au quotidien. Et le budget IT annuel s’élève à 1,5 milliard de dollars.

Dans un rapport daté de décembre 2010, le bureau du CIO fédéral (U.S. Federal Chief Information Officer) incitait les administrations américaines à adopter les technologies de cloud computing afin d’améliorer la fourniture des services IT et de réduire les coûts du portefeuille des environnements IT. Une stratégie nommé « Cloud First » par l’OMB (Office of Management and Budget), et qui pour inciter les agences américaines à migrer vers le cloud, leur imposait de porter un service IT dans le nuage dès décembre 2011 et deux services supplémentaires dès juin 2012.

Un programme fédéral pour le cloud

Comme d’habitude dans le modèle américain, cette nouvelle stratégie s’est accompagnée d’un programme fédéral, le FedRAMP (Federal Risk Authorization Management Program), destiné à aider les agences à basculer dans le nuage en s’assurant que les fournisseurs de cloud affichent une sécurité adaptée, en éliminant les risques de déduplication, et en apportant un ROI (retour sur investissement) rapide.

Le projet spécifie que les agences peuvent adopter leur propre cloud privé dans leurs datacenters, ou faire appel à des services de cloud public sur des opérateurs comme Amazon ou Microsoft. Le « big CIO » remarquait cependant que le choix du cloud public apporte une forte perspective de réduction des coûts par l’absence de datacenter interne !

Comme c’est souvent le cas, la NASA fait figure de pionnier en la matière, avec le projet Nebula initié en 2009… qui a indirectement participé au développement d’OpenStack, l’environnement open source de gestion d’une infrastructure de cloud. Sauf que ce projet a été abandonné en juin 2012, après 5 mois de benchmarks qui ont démontré que Nebula est moins fiable et plus coûteux que les clouds publics.

Nebula, hébergé au Ames (Ames Research Center), est physiquement caractérisé par un SI dans un container de taille standard. Avec ses 15 000 cœurs de processeurs et ses 15 Po de données, Nebula a supporté 73 projets de la NASA.

Quel est le constat à ce jour ?

Paul K. Martin constate qu’en 5 occasions les services acquis dans le cloud par la NASA ont échoué dans leur capacité à adresser les besoins de l’agence et créé des risques de sécurité. Que plusieurs migrations des systèmes et données ont été réalisées sans connaissance ni autorisation de l’OCIO (Office of the Chief Information Officer), la DSI des DSI de la NASA. Au final, une migration vers un cloud public sur deux aurait été effectuée sans autorisation, sans plan de sécurité, ni même de test et de contrôle des sécurités en place chez les opérateurs.

L’audit a également révélé que 100 sites web de la NASA, internes et externes, n’ont fait l’objet d’aucun test d’intégrité de la sécurité, et qu’aucun contrôle de sécurité n’a été mis en place.

Il ne fait pas bon être DSI… parfois !

L’inspecteur met directement en cause le CIO de la NASA au travers de l’OCIO, de son manque d’autorité, de sa lenteur dans la contractualisation des risques associés au cloud, et de l’absence d’implémentation de mesures visant à s’assurer que les fournisseurs du cloud répondent aux exigences de sécurité de l’agence. Un bagage bien lourd à porter pour un DSI…

Que représente le cloud dans les activités de la NASA

Deux ans après le lancement de la migration imposée par l’OMB, selon le rapport d’audit, les services de la NASA qui ont basculés dans le nuage ne représentent que moins de 1 % du budget IT, soit environ 10 millions de dollars.

L’affaire semble donc mal engagée, la modernisation des SI prévoit que plus 40 % d’entre eux doivent migrer vers le nuage. Que dans les 5 ans à venir, 75 % des nouveaux projets IT doivent être dans le cloud, et qu’à terme ils soient 100 %.

Mais dans l’état, Paul K. Martin conclut : « Nous avons constaté que les faiblesses en matière de gouvernance IT et les pratiques de gestion des risques de la NASA ont empêché l’Agence de réaliser pleinement les avantages du cloud computing et potentiellement placé les systèmes et les données stockées dans le cloud dans une situation de risque. »

Pour accélérer la migration, tout en assurant la gouvernance et limitant les risques, la NASA va devoir revoir ses pratiques…

A suivre dans notre article « Comment la NASA va rattraper sa transition vers le Cloud ».


Voir aussi

Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes


Lire la biographie de l´auteur  Masquer la biographie de l´auteur