Faut-il avoir confiance en la sécurité du Cloud ?
D’années en années, le Cloud continue de se développer et de s’imposer dans les entreprises. Mais la sécurité des données stockées dans le nuage génère encore des doutes, malgré les efforts répétés des fournisseurs de service.
Points liés à la sécurité du Cloud public
Avant de confier ses données à un fournisseur du Cloud quelles sont les questions à se poser pour s’assurer de leur sécurité ?
Lieu de stockage des données
Grâce au Patriot Act, le gouvernement américain peut avoir accès à des données sur les serveurs installés dans des datacenters aux USA, et ce, quel que soit la nationalité du fournisseur. Il est donc conseillé pour une entreprise de s’orienter vers un acteur reconnu, car l’entreprise qui confie ses données et ses applications à un opérateur tiers doit être certaine que ce service sera hébergé et opéré en France ou en Europe (leurs données informatiques sont hébergées dans les datacenters du fournisseur) et qu’il dépendra, de ce fait, des législations françaises et européennes sur la sécurité des données. Selon le droit français, et a fortiori européen, les données confiées à un tiers restent ainsi la propriété du client et la loi interdit au prestataire de les divulguer.
Disponibilité des services
Pour garantir un taux de disponibilité de services élevé (proche de 100%), les fournisseurs doivent s’engager et proposer des méthodologies et des solutions comme la redondance des infrastructures, les réponses données par le fournisseur à toutes les défaillances matérielles, la maîtrise de la bande passante, l’intégrité des données avec un cloisonnement ou une séparation des espaces clients sans oublier les services d’exploitation proposés (plan de reprise d’activité, déduplication des données, administration et l’agilité des ressources).
Détection des virus et des attaques en temps réel
Comme toutes les infrastructures IT, le Cloud Computing est vulnérable et peut être soumis à des attaques classiques externes (virus, logiciels espions, intrusions, déni de service, etc) ou aux nouvelles menaces notamment celles que l’on qualifie de « persistantes » menées par des groupes organisés. Le fournisseur doit donc disposer de tous les outils de sécurité informatiques nécessaires (des firewalls aux systèmes de détection d’intrusion logicielle en passant par des solutions d’automatisation et de surveillance du réseau) pour garantir la sécurisation des données.
Réversibilité et intégrité des données
Avec la réversibilité des données, la question est de savoir si les entreprises peuvent facilement et simplement récupérer leurs données stockées chez leur fournisseur en cas de rupture de contrat. Pour faciliter cette « transférabilité » les données doivent être lisibles et donc exploitables en cas de changement de fournisseur.
Pourtant, le Cloud public n’est pas plus risqué
Malgré toutes ces menaces, il faut avoir conscience que le Cloud public n’est pas plus dangereux qu’un centre de données cadenassé dans le sous-sol d’une entreprise, ou qu’un Cloud privé non accessible depuis Internet.
C’est bien ce que pense Xavier Charpentier, Directeur Business Development et Alliances chez Azeo : « aujourd’hui, on peut aller sereinement et en sécurité sur le cloud ». Il détaille son point de vue dans son interview en vidéo sur la revue de l’IT de Dell.
Pour conclure voyons encore ces quelques exemples :
Piratage
En juillet 2013, OVH a aussi été la victime d’un piratage de sa base utilisateurs qui a permis le vol 700 000 identifiants. Sauf qu’il ne s’agissait pas du tout ici de Cloud public. Juste de l’hébergement de serveurs physiques ou virtuels sur un réseau privé. En fait, pour agir, les pirates n’ont pas besoin que leur cible soit sur Internet. La clé de leurs braquages est le mot de passe d’un utilisateur légitime, souvent obtenu par le biais d’un site de phishing ou via un cheval de Troie. Avec ce mot de passe, les pirates attaquent un système où qu’il se trouve, qu’il soit sur un réseau privé ou non.
Pannes
Les pannes, surtout, sont plus fréquentes dans les propres datacenters des entreprises. C’est ainsi que Julien Chambert, le directeur Gestion, Supports et Systèmes d’Avexia Voyages, n’hésite plus à faire héberger dans le Cloud public d’Amazon des applications sensibles, notamment celle qui sert aux professionnels à enregistrer les réservations de billets. « Avec ce Cloud, nous avons aujourd’hui de meilleurs taux de disponibilité de nos données et de nos applications que lorsque notre informatique fonctionnait en interne, de manière artisanale, » témoigne-t-il.
Quant aux fournisseurs, il n’y aucune raison qu’ils soient plus à l’abri des erreurs humaines que les géants Google ou Amazon. En mai 2011, l’arrachage de fibres optiques par une pelleteuse lors de travaux sur la chaussée à Vélizy-Villacoublay, en région parisienne, a rendu indisponibles pendant plusieurs jours les applications et les données stockées dans les Cloud privés de l’hébergeur Prosodie. Celui-ci s’était bien targué auprès de ses clients d’utiliser une double connexion fibre pour assurer la continuité du service si l’une d’elle était coupée. Mais il ne s’était pas rendu compte que les deux fibres passaient par le même fourreau.
Espionnage
En matière d’espionnage, c’est pareil. Le représentant d’un éditeur de logiciels de sécurité, qui tient aussi à témoigner de manière anonyme pour ne pas froisser ses clients, relate que dans 100% des entreprises ou des prestataires, il y a toujours un informaticien qui cède à la tentation d’aller lire les données des utilisateurs (e-mails, documents) grâce à son mot de passe administrateur. En clair, moins votre prestataire a de clients, plus vous avez de risques que cela tombe sur vous.