5 problématiques Cloud en 2013 – 1 : La Sécurité

Depuis quelques années déjà, j’observe avec attention l’inexorable avancée du phénomène Cloud computing. Son expansion, qui touche le grand public comme les entreprises, de la TPE aux grands comptes, ne peut plus être contestée.

5-problematiques-Cloud_securiteL’une de mes attributions étant de faire une veille médiatique constante sur ce sujet, 2 choses attirent mon attention : la persistance d’interrogations sur le devenir du Cloud computing, et la concentration de vraies réflexions, et de communications, autour de 5 grandes problématiques.

Je ne souhaite pas entrer dans un questionnement sur l’avenir du Cloud : à mon sens, il doit être considéré comme acquis. L’antériorité du phénomène est suffisamment longue, les prévisions suffisamment unanimes, et la valeur des experts qui le dissèquent suffisamment indiscutable.

Balayons donc d’entrée un bon tiers des articles qui font encore mine de s’interroger et d’évaluer globalement l’avenir du Cloud. Ils émanent selon moi de médias (et de journalistes) non spécialisés, qui découvrent le phénomène sur le tard, et qui y trouvent matière à article. Constat 1 : « le Cloud est ». Constat 2 : « le Cloud sera », encore plus puissant et présent, dans les années qui viennent.

Mais, au delà de cette question qui n’en est plus une, subsistent très clairement certaines problématiques, parfaitement légitimes elles. J’en identifie pour ma part 5, qui fédèrent la plupart des interrogations actuelles autour du Cloud :

  • sécurité
  • souveraineté
  • législation
  • impact sur l’organisation
  • Big Data

Je n’ai pas la prétention d’être un expert suffisamment pointu (et clairvoyant), pour répondre avec acuité à toutes les questions (qui le pourrait ?). Mais je peux, en tant qu’observateur averti, faire un point sur l’état des réflexions actuelles de chacune de ces problématiques. Et donner des pistes de réponses, en renvoyant au passage vers les articles, études et experts qui pourraient éclairer l’utilisateur ou l’entreprise. C’est l’objet de cette série d’articles.

1 – Sécurité

Au moment où j’écris ces lignes, l’actualité mondiale, bien au delà de la sphère informatique, est sous le coup d’un choc médiatique qui pourrait avoir des conséquences sur l’industrie du Cloud. Un dissident de la NSA, Edward Snowden, vient de révéler au grand jour de supposées pratiques douteuses du gouvernement américain. Ce dernier aurait espionné ces dernières années les communications mondiales, et aurait obtenu l’accès à certains serveurs de grands prestataires, qui tous démentent leur implication.
De quoi effrayer les utilisateurs, ou futurs utilisateurs, du Cloud.

Qui plus est, cette affaire dont on ne connait pas encore les tenants et aboutissants, s’inscrit dans un contexte ou la sécurité est l’une des interrogations majeures (si l’on en croit les articles publiés, nombreux). Qu’en est-il réellement ?

Il convient d’abord de bien cerner les problèmes : la sécurité liée à une technologie est une chose. La volonté d’espionnage en est une autre. Si l’on démontre un jour qu’il y a bien eu espionnage, les données visées semblent avant tout personnelles. C’est le grand public, l’utilisateur lambda, le citoyen, qui est avant tout impacté. Et il s’agit plutôt d’un problème de confidentialité.
Mais cela ne remet pas en cause la sécurité d’une entreprise, pour qui le terme même de sécurité recouvre aussi d’autres réalités : pérennité des données, plan de redémarrage (PRA), etc.

Les DSI confiants dans la sécurité du Cloud

Un article récent le rappelait opportunément (1) : les DSI font globalement confiance au Cloud en matière de sécurité. Mais ils sont beaucoup plus sceptiques sur les usages qu’en font les employés de leurs entreprises. Ainsi, « …50 % des DSI contactés estiment que le Cloud augmente globalement la sécurité des données« . Mais ils sont attentifs : « …46 % expliquent aux utilisateurs finaux comment accéder en toute sécurité aux données stockées sur le Cloud« .

Qui plus est, preuve que les usages sont en cause bien plus que la technologie, « …42 % des entreprises ne sont pas totalement convaincues de respecter les réglementations en vigueur en ce qui concerne les informations et les actifs sensibles résidant sur le Cloud« .

Beaucoup d’experts s’accordent en effet sur l’idée que le Cloud est d’abord une révolution en terme d’usage, au sein de l’entreprise. En tant que telle, cette révolution doit s’accompagner d’une éducation des forces vives de l’entreprise, et d’un rappel des règles de bonne conduite.

Mais que l’on ne se méprenne pas : il y tout autant de chance (voire plus !) de perdre des données « confidentielles » en égarant une clé USB ou un portable. Et, certains hackers le rappellent couramment, il n’est nul besoin de Cloud ou des moyens de la NSA pour s’introduire dans les systèmes d’une entreprise : certains réseaux WIFI sont encore très peu ou mal sécurisés.

Bien au contraire, confier des données à des prestataires Cloud de qualités, c’est souvent apporter un surcroit de sécurité à tous niveaux, du fait même du saut qualitatif. Une PME pourra ainsi, avec le Cloud, accéder à un niveau de service auquel elle ne pouvait pas prétendre précédemment. Ce qui fait dire récemment au Monde Informatique (2), rapportant les résultats d’une étude KPMG, que « … la conformité réglementaire et la sécurité n’inquiètent que peu. La sécurité n’est plus vue comme un frein au déploiement du Cloud« .

La question du BYOD

Puisqu’il s’agit ici de donner un reflet exact des problématiques Cloud vues par la presse, la question du BYOD s’impose. Elle est en effet liée à l’évolution du Cloud, et à la sécurité. Un article récent fait d’ailleurs référence au « BYOCloud » (3). Son auteur, Cedric Dervaux, rappelle lui-aussi que les risques pour l’entreprise n’ont pas fondamentalement changé. Il s’agit d’abord, je cite, de :  » … s’assurer que celles-ci (les données) sont correctement isolées, puis (la DSI) doit aussi imposer les règles suivantes : quel utilisateur accède à quoi et comment ? La clé est de garder le contrôle. » Toujours selon Cedric Dervaux, les solutions «  sont en réalité nombreuses et si elles reposent sur des outils techniques, elles sont avant tout structurelles et organisationnelles. Et de ce fait, le Cloud peut aussi être une solution. » Il préconise notamment « … l’intégration au sein de l’entreprise de catalogues de services IT accessibles par profils utilisateurs. »
Rappelons encore sur ce point que, par soucis de sécurité, IBM avait interdit en 2012 à ses 400.000 employés l’utilisation de 2 applications « grand public » (Dropbox et Siri).

Le Monde informatique rapporte une étude très récente (4) selon laquelle « … 84% des managers IT estiment que l’intégration (du BYOD) dans la marche de l’entreprise est un avantage concurrentiel… ».

Au final, toujours selon cette même étude, « … managers et employés sont d’accord (76%) que les entreprises devraient mieux utiliser les capacités du Byod« .

Les conseils des experts

Plutôt que de s’apitoyer sur de supposés risques liés au Cloud, écoutons les conseils des experts sur les moyens d’améliorer la sécurité par le Cloud. D’abord, Christophe Auffray, pour Zdnet, rappelle que tous les Cloud ne se valent pas en matière de sécurité (5). La base de toute démarche vers le Cloud est donc de bien choisir SON Cloud. Il appui ses réflexions sur un guide (6) délivré conjointement par le CIGREF, IFACI et AFAI: « Cloud computing et protection des données – Guide pratique à l’attention des directions générales et opérationnelles« .

Quelques conseils évidents, encore faut-il les rappeler :

  • « Pas de données stratégiques dans un Cloud public »
  • Inspecter et négocier les clauses des contrats avec attention
  • Comparer les offres concurrentes en matière de sécurité, quitte à les tester

Le guide du Cigref conseille par ailleurs de « …mettre en place un environnement de contrôle adapté pour assurer la protection des données dans le respect du cadre contractuel défini avec le fournisseur« .

Autres conseil, rappelé notamment par le JDN : « …Le cryptage des données est, en particulier, l’un des moyens de se protéger contre la diffusion non souhaitée de votre information« .

Conclusion

Il est impossible d’être exhaustif sur ce sujet complexe. Mais l’on peut juste noter que si la sécurité du Cloud est un sujet bien présent dans les média actuellement, il s’agit à bien y regarder, souvent, de la sécurité des Systèmes Informatiques en général. Intrusion, confidentialité, indisponibilité, ne sont pas des problématiques spécifiques au Cloud. Au contraire, le Cloud peut aussi offrir un surcroit de sécurité, pour peu qu’on l’utilise logiquement.
Les 4 principes de base, qui dépassent largement le cadre du Cloud, pourraient donc être :

  • Choisir SON Cloud
  • Bien choisir le prestataire
  • Inspecter et négocier le contrat
  • Former et impliquer les utilisateurs

Prochainement, nous aborderons de même 2 thématiques Cloud intimement liées à la sécurité : « Souveraineté du Cloud », et « Législation et réglementation »

Laurent Hercé, SaaS Guru / Marketor

à lire pour aller plus loin sur ce sujet :

(1) « Le Cloud est maintenant sécurisé, mais pas son utilisateur final » (Global Security)

(2) « Transformer son entreprise grâce au Cloud » (Le Monde Informatique)

(3) « BYOCloud : comment sécuriser les données mobiles dans le Cloud ? » (Global Security)

(4) « Les aleas techniques du BYOD » (Le Monde Informatique)

(5) « Protection des données : tous les Cloud ne se valent pas » (ZDnet)

(6) « Cloud computing et protection des données – Guide pratique à l’attention des directions générales et opérationnelles » (CIGREF, IFACI, AFAI)

Les commentaires sont ferme.