Sécurite et cloud : RETEX de l'ITPress Tour

Il y en quelques semaines, je vous faisais partager certaines rencontres faites dans le cadre de l'IT Press Tour auprès d'acteurs du cloud à Miami et à San Francisco.
Retour sur ce que j'ai pu apprendre concernant la sécurité et le « cloud ».

Tout d'abord, avant de parler de sécurité, j'ai voulu savoir ce qu'est pour ces acteurs le « cloud », car j'ai l'impression que ce terme est un véritable fourre-tout.

Une définition intéressante et succinte provient d'Arkeia, spécialiste du back up en ligne. Pour son PDG, William Evans, le cloud c'est : « ailleurs... très loin ailleurs ». En effet, c'est l'impression que cela me donne, un ailleurs que nous ne maîtrisons pas !

Une autre définition très intéressante provient du PDG de Scality (cf.interview) où le cloud est pour lui une ressource, comme l'eau ou l'électricité le sont actuellement. Pas besoin de savoir comment cela est produit, vous avez juste à demander combien vous en voulez, vous vous branchez dessus et payer votre consommation ! Ce concept est très intéressant, et nous incite à repenser complétement la structure de notre SI.


Alors donc le cloud c'est ailleurs, vous vous y branchez sans vous souciez de ce qui s'y passe, ça rend plus efficace votre SI et vous ne payez que votre consommation. Parmi les entreprises rencontrées Zoho et Scality suivent clairement cette tendance. Intéressant, mais branchez quelque chose sur mon SI sans savoir d'où ça vient ça me dérange un petit peu, d'autant plus quand on envoie des données dans ce nuage.

Alors maintenant que vous m'avez dit ce qu'est le cloud, quid de la sécurité ?

Tout d'abord, ce qui m'a frappé, c'est quand je parle sécurité, on me répond oui notre service est hautement disponible.

C'est le première chose qui m'a choqué lors de ces rencontres, c'est la chasse à la haute-disponibilité et aux temps de réponse extrêmement bas afin de vous faire préférer un datacenter à San Francisco qu'à côté de chez vous. C'est notamment ce que vend une des sociétés rencontrées (CDNetworks), des solutions vous permettant de croire que votre datacenter est à vos pieds.
Tout cela est très bien, mais pourquoi quand je parle sécurité au sens large, on ne me parle que de disponibilité. Qu'en est-il de la confidentialité et de l'intégrité de mes données ?


Mais avant continuons un peu sur le jeu de la disponibilité. Ces rencontres intervenant après le séisme qui a frappé le Japon, la question fut simple : quel est votre plan de continuité d'activité en cas de sinistre majeur en Californie. La réponse fut majoritairement la solution S3 d'Amazon... Une autre question : est-que qu'Amazon sera capable de répondre à toutes les sollicitations en cas de sinistre majeur si tout le monde se replie dessus ? Nos interviewés ne savaient pas. Malheureusement, la récente panne d'Amazon nous donne certains indices...

Concernant la confidentialité et l'intégrité des données, certains ne comprennent pas le problème : "les seuls à pouvoir déchiffrer vos données sont les services gouvernementaux américains donc pas de problème"... certes mais sauf dans le cas d'entreprises françaises hébergeant des données sur les serveurs US, n'est-ce pas ?

Certains fournisseurs de cloud font tout de même des efforts dans le domaine de la confidentialité comme box.net ou Backblaze qui proposent des solutions de chiffrement mais cela reste grand-public où la simplicité d'usage prime sur l'efficacité et la gestion fine des paramètres de sécurité. Ces offres grand-public, au passage très utilisés par vos employés pour échanger plus facilement des données professionnelles, sont majoritaires dans les offres de cloud. En effet, les très (trop ?) nombreuses jeunes entreprises se lançant dans ce domaine sont valorisées au nombre de comptes et de clients et non au prestige du même client.

Le tableau dressé semble assez sombre. Cependant, je pense que si nous voyons le cloud comme Scality le définit, à savoir une ressource favorisant l'efficacité de votre SI, ce cloud peut nous rendre de nombreux services.
On l'a compris, ces fournisseurs travaillent dur pour améliorer la disponibilité et les temps de réponse de leurs services. Comme les vrais nuages, il y a plusieurs cloud de par les différents services rendus et les différents types de clients adressés. C'est dorénavant à vous de définir quelle sera la ressource la plus appropriée à votre contexte et aux fonctions de votre SI.

Etant donné que le cloud restera toujours ailleurs et principalement hors de nos frontières, le problème de la confidentialité des données ne sera jamais résolu. Certains fournisseurs concèdent installer des serveurs en France ou en Europe afin de respecter notre réglementation en matière de stockage des données à caractère personnel, pour le reste c'est à vous de ne pas envoyer de données sensibles dans le cloud.
Le PDG de Datacore indiquait qu'il n'utilisait pas lui-même le cloud pour ses données strictement privées, et que c'est aux entreprises d'être responsable n'utilisant pas le cloud pour traiter, archiver, partager etc. des données sensibles.

Ainsi, le problème de la sécurité et du cloud est "simple". Les fournisseurs de service cloud assurent la disponibilité de la ressource (tout comme des fournisseurs d'eau ou d'électricité) en n'oubliant pas les PCA en cas de sinistre majeur mais ce n'est pas à eux de garantir la sécurité et l'intégrité de vos données mais à vous de maîtriser vos données en amont avant de décider de les mettre dans le cloud ou d'externaliser une partie de votre SI. Cela suppose donc une véritable réorganisation de la gouvernance de la sécurité et de l'infrastructure de votre SI.

Nicolas Jacquey
Alban Ondrejeck

_