ServiceNow est un service Cloud de type PaaS (Platform as a Service) qui permet de créer des applications de gestion d'environnement informatique, de traiter des demandes de support ou toute autre application impliquant des personnes et un workflow associé.
J'ai assisté à l’événement "NowForum", organisé par ServiceNow, mercredi 8 octobre à Paris. Voici quelques-unes de mes réflexions sur le contenu de 3 conférences, plus un petit retour sur l’activité de certaines sociétés présentes en tant que sponsors de cette journée.
la sécurité oui, mais surtout la disponibilité réelle
Comme a pu l'expliquer Dan McGee (Chief Operating Officer), ServiceNow intègre la sécurité sur l'ensemble des quatre grandes phases du cycle de vie de leur service : développement, déploiement, maintien en condition opérationnelle et enfin audits de sécurité. Rien de très nouveau, mais la démarche a du sens, car la sécurité doit être abordée de façon globale et continue.
Une grande partie de la présentation de Dan McGee portait sur la disponibilité réelle du service. La disponibilité de service de ServiceNow atteint 99,995% pour une durée de plages de maintenance programmée de 6h par trimestre. Soit une disponibilité effective de 99,72%. En comparaison, d'autres fournisseurs affichent une disponibilité effective de 99,98% mais prévoient des plages de maintenance programmée de 68h par trimestre (soit une disponibilité effective de 96,866%).
Une entreprise utilisatrice doit donc prendre en compte la disponibilité de façon globale, y compris les plages de maintenance programmée. Savoir lire entre les lignes est donc de bon aloi.
des fonctions de chiffrement des données
Pour les données les plus sensibles, ServiceNow propose en standard des fonctions de chiffrement. Avec cette fonctionnalité, les données ne sont visibles que pour des utilisateurs ayant les droits nécessaires. Cependant, peu de précisions ont été données en séance, puisque la sécurité n’était pas le cœur de leur sujet.
En creusant un peu sur le Wiki de ServiceNow, on découvre qu'il est effectivement possible de chiffrer certains champs via des algorithmes de type AES ou 3DES. C’est un premier niveau de sécurité, mais comme les clefs de chiffrements sont stockées côté serveur (voir la FAQ sur le chiffrement), cela reste assez « basique », mais néanmoins intéressant.
Les choses deviennent plus intéressantes avec les témoignages de CipherCloud et PerspecSys, deux sociétés présentes sur l’espace partenaire de ServiceNow. Elles proposent des solutions complémentaires qui permettent de chiffrer les données indépendamment de ServiceNow (le chiffrement et les clefs restant sous le contrôle exclusif du client car la mise en œuvre est assurée par une gateway située en interne du réseau du client).
Avec une telle gateway située entre les utilisateurs et le service ServiceNow, les données sont automatiquement chiffrées à la volée avant d'être envoyées vers ServiceNow (qui va donc manipuler des données dites « opaques »). Le déchiffrement étant effectué à la volée par la gateway lorsqu'un utilisateur accède aux pages web de ServiceNow.
Reste à vérifier le niveau de sécurité effectif de ces solutions car, comme c’est souvent le cas, le diable se cache dans les détails : gestion des clefs, des aléas, des algorithmes de chiffrement supportés, du maintien des fonctions de recherche ou de tri, performance, coût, …
utiliser un tel service, c'est devenir dépendant
J’ai assisté à deux présentations « témoignage client » faites par deux institutions bancaires. Ce qui m'a interpelé, c'est la dépendance acceptée par de tels acteurs vis-à-vis de services Cloud comme ServiceNow. En effet, ces deux institutions bancaires se sont appuyées sur la plateforme de ServiceNow pour faire fonctionner leurs centres d'appels, ainsi que les opérations de leurs systèmes informatiques (environnements bureautiques, centres de données, interventions dans leur datacenters).
Dépendance ? Pourquoi donc me direz-vous ? Tout simplement parce qu’une fois le passage effectué vers des solutions de PaaS, ces sociétés ne seront plus en mesure de quitter ServiceNow aussi facilement qu'elles pourraient le souhaiter (ou alors de façon difficile et coûteuse). Cette dépendance vient du fait que ce qui est développé sur la plateforme ServiceNow ne peut s’exécuter que sur cette dernière. Rien à voir (dans une certaine mesure) avec un code PHP que l’on peut toujours transférer d’un hébergeur/plateforme à un autre.
On voit bien que les services PaaS (et encore plus ceux de type « SaaS » - Software as a Service) vont générer une dépendance accrue vis-à-vis du fournisseur de service Cloud. C'est moins vrai pour un service Cloud de type IaaS (car la portabilité des VM est assurée via des formats standards comme par exemple OVF – Open Virtual Machine Format).
Les applications SaaS peuvent donc être des « drogues dures » pour une Direction Informatique et il conviendra de prendre en compte les éventuels coûts de sortie (de « désintoxication ? ») pour migrer d’un service à un autre lorsque cela est nécessaire.
les risques sont-ils bien pris en compte ?
Il ressort de ces deux témoignages que ServiceNow offre une très grande agilité pour la mise en place de nouveaux workflow et d’applications. Il permet de simplifier de façon drastique son système d'information en le rationalisant.
Il faut cependant rester lucide et ne pas faire l'erreur de penser que les données envoyées vers ServiceNow sont à l’abri de toutes les menaces. Certaines catégories d’informations particulièrement sensibles ou réglementées (données à caractère personnel, informations techniques détaillées, …) doivent être sécurisées de façon appropriée.
Au-delà du risque lié à la dépendance entre le client et son fournisseur de service, l'utilisation de services Cloud Américains comme ServiceNow (mais aussi un SalesForce, Office 365, ...) pourrait représenter une menace pour la souveraineté des pays. Imaginez un "chantage à la déconnexion" du système d'information d'une grande partie des banques Françaises ou Européennes... Bien sûr, aucun fournisseur de service n’ira de lui-même jusqu’à cette extrémité (car il scierait la branche sur laquelle il est assis), mais cette dépendance est un risque bien présent venant s’ajouter à d’autres dans le contexte de globalisation de l’économie numérique.
disponibilité et confidentialité mais aussi intégrité !
Si on peut relativiser la confidentialité des données (avoir accès à l'inventaire complet des systèmes internes, adresses IP et numéro de versions restant une vraie mine d'or pour un attaquant pour préparer une attaque ciblée), il ne faut pas sous-estimer les risques sur l'intégrité des données. En effet, une corruption d’informations malintentionnée sur la dépendance des systèmes entre eux pourrait être particulièrement difficile à identifier alors qu’elle pourrait provoquer d’importantes perturbations, voire interrompre le bon fonctionnement des systèmes.
Je ressors de cette journée avec le sentiment que ServiceNow semble être une solution particulièrement intéressante pour les entreprises, mais les messages autour des risques associés étaient assez sous-représentés lors des interventions. On comprend aisément que les risques soient sous-représentés, car il s’agissait d’un évènement organisé par ServiceNow pour booster leur business… Ils n’allaient donc pas crier au loup et faire fuir leurs clients et prospects. ;-)
Une entreprise ayant fait le choix de la transition vers des services Cloud doit intégrer la composante sécurité dans sa stratégie. Mon conseil serait d’intégrer en amont dans les équipes projets les compétences sécurité nécessaires afin de guider et d’accompagner cette transition. Ceci dans le respect de la politique de sécurité et en cohérence avec les enjeux business de l’organisation.
Jean-François (Jeff) Audenard
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens