comment sécuriser son passage dans le Cloud ?

Le cloud est sur l'agenda de tous les DSI avec des prévisions de conversions de SI hébergés dans des data centers classiques vers le cloud d'ici à 3 ans. Si aujourd'hui 45 % des entreprises ont un data center classique géré par des prestataires, elles ne seront plus que 27% dans 3 ans au bénéfice d'une solution cloud publique et pour le cloud privé, on passe de 12% à 31% en 3 ans...

C'est ce qui ressort de l'étude PwC "the future of IT outsourcing and cloud computing" réalisée fin 2011 sur 489 entreprises dans le monde, utilisateurs et fournisseurs du cloud. Une étude Forester confirme cette tendance par une estimation du taux de croissance de 25% en la matière pour les 6 années qui viennent.

Alors comment sécuriser son passage dans le Cloud ?

quelles menaces ?

Cette étude PwC montre néanmoins que 62 % des utilisateurs perçoivent la sécurité des données comme un élément majeur de risque dans le cloud.

  • le cloud par nature très ouvert sur les réseaux, sur Internet attise le risque d'attaques
  • le partage des ressources fait poindre le risque de faille dans les couches de virtualisation
  • le cloud est administré et ouvre la porte à une prise de contrôle par un administrateur malveillant
  • la localisation : où sont mes données ? la nature même du cloud permet que les données bougent de data center en data center pour des raisons de redondance ou d'équilibrage de charge

réserves et polémiques

Les différentes autorités internationales affichent des positions très réservées quant à la sécurité des données dans le cloud public. La CNIL quant à elle, a lancé fin 2011 une grande consultation dont on attend la publication des éléments.

A cela s'ajoute la polémique sur le Patriot ACT (politique US) qui confère le droit aux agences de sécurité et services spéciaux (FBI,CIA..) le droit d'exiger des administrateurs système les clés d'accès aux données. Le patron de Microsoft UK déclarait ne pas pouvoir assurer que les données européennes stockées dans les data centers cloud européens ne quitteraient pas l'Europe ; de même Google a affirmé que le gouvernement américain pourrait accèder à toutes les données en raison du Patriot Act.

Il faut savoir que l'état francais se pose les mêmes questions, à savoir s'il peut aller saisir des données stockées à l'étranger !

D'où cette question primordiale : sur qui pèse l'obligation de sécurité des données, fournisseurs, utilisateurs... ?

sur quoi repose la sécurité des données ?

Le chiffrement des données est souvent mis en avant pour asseoir la notion de sécurité : mais ce n'est pas si simple. Le chiffrement des données n'est pas un coffre fort sans clé... La question se pose notamment pour les données en cours de traitement qui supposent que la clé de déchiffrement soit dans le cloud, ou bien chez un prestataire de confiance
Il semble qu'il n'y ait pas de maturité des différents modèles proposés...

Les fournisseurs et prestataires de cloud parlent beaucoup de normes, de certifications. Si ces certifications sont un gage de qualité, il faut cependant étudier pour soi le spectre réel de ces normes et demander une description très précise des processus.

Le cloud est un service normalisé, standardisé, ce qui permet la réduction des coûts et suppose donc un contrat d'adhésion difficile à adapter ! Néanmoins, il faut essayer d'annexer le contrat notamment sur des SLA (convention de services) qui soient engagentes, sur des dispositions de fin du contrat (restitution des données, la non-conservation de copies, la clause de non concurrence), sur la faculté d'audit de la sécurité, sur des clauses de sortie en cas de défaillance, sur la securité sur la localisation des données ... A noter que les hébergeurs commencent à s'engager sur le fait que les données resteront sur un serveur cloud en Europe par exemple.

le cloud privé : une réponse ?

Le cloud privé est un cloud dédié : de ce fait, le partage de ressources disparait et avec lui le risque des attaques de rebond, de publication sur internet, de localisation des données... Il permet de négocier plus facilement des contrats plus adaptés.

Mais c'est l'entreprise qui crée son infrastructure permettant d'absorber tout les types d'usages, de pallier les manques de capacité : le cloud privé, même s'il est automatisé, normalisé, standardisé et permet donc une optimisation des ressources, laisse un large avantage au cloud public en terme d'impact sur l'investissement.

Le cloud privé semblerait mieux convenir de ce point de vue à un grand groupe avec de multiples Business Units, permettant de reconstituer les conditions d'un cloud public.

alors comment sécuriser son passage dans le Cloud ?

Je vous renvoie expressément sur l'article de Jean-François Audenard  "5 documents de référence sur la sécurité du cloud computing".

Est-ce qu'il faut tout simplement faire preuve de bon sens qui pousse à ne pas mettre les données les plus confidentielles dans le cloud ?

Pascal Adam

Crédit photo : © mipan - Fotolia.com

Pascal Adam

Au sein de l'équipe communication digitale externe d'Orange Business, je suis en charge de l'animation éditoriale du blog cloud computing et des newsletters thématiques envoyées à nos clients et prospects. Intéressé par tous les usages en mobilité, je partage aussi les expériences, les réflexions ou les perspectives recueillies lors de conférences ou salons sur le blog usage d'entreprises.