Cloud computing vu par l'utilisateur

Les professionnels de l'IT en parlent depuis longtemps (annonces fournisseurs, conférence RSA 2009...).Je lisais en mai dernier l'annonce d'un groupe industriel du domaine de la conception/fabrication de composants pour l'industrie automobile en la matière : "les 30 000 salariés connectés à Internet du Groupe ont désormais accès à une nouvelle plateforme de travail collaboratif et de communication".Un an après, le cloud computing est encore un sujet de l'actualité de l'univers informatique.
L'adoption du modèle cloud computing par les entreprises est cependant structurante pour l'utilisateur final.cloud1.jpgChoisissons de mettre un moment de côté les problématiques (et elles sont nombreuses) liées à la sécurité dans le nuage (disponibilité, responsabilité dans le traitement des informations par un tiers...) pour nous intéresser aux modifications de l'écosystème de l'utilisateur final. En effet, côté entreprise, la migration vers un service où les données sont hébergées dans le nuage entraîne tous les utilisateurs à devenir des nomades de fait. Les fonctions identifiées comme sédentaires dans l'entreprise devrons donc être mises à jour. Un certain nombre de points de vigilance sont donc à considérer :

Le contrôle d'accès / authentification :
Le départ des informations de l'entreprise dans le nuage, met potentiellement ces informations en visibilité de toute personne connectée à Internet. Une stratégie de gestion des identités/authentification doit être mise en place aussi bien au niveau de l'entreprise que du fournisseur côté cloud afin de parer aux tentatives d'usurpation d'identité. Le recours à l'authentification forte devient incontournable pour protéger les informations sensibles de l'entreprise.
La mise en oeuvre interne d'un processus de Single Sign On (SSO) pour les applications d'entreprise peut permettre de simplifier les interfaces avec le fournisseur.
D'après le cloudsecurityalliance les entreprises utilisatrices doivent être informées que le contrôle d'accès au niveau des applications n'est pas encore mature aujourd'hui.
 
Gestion des habilitations :
Une fois les informations de l'entreprise mises en ligne, le salarié venant de quitter la société pourra continuer à les manipuler depuis n'importe quel poste/connexion Internet non maîtrisé par l'entreprise. La gestion des habilitations incluant le fournisseur du nuage joue donc un rôle plus important que dans le modèle traditionnel. Or, les audits mettant en avant les failles voire même l'inexistence des processus de révocation des habilitations sont nombreux.
 
Traçabilité des opérations :
Encore une fois, la donnée peut être accédée depuis un environnement non maîtrisé par l'entreprise. Il est donc important de pouvoir conserver un historique des accès aux données ainsi que des opérations effectuées sur ces données.
C GPS.gif 
Chiffrement des données :
Si l'on fait le parallèle avec le modèle traditionnel, l'administrateur système/réseaux doit-il pouvoir prendre connaissance de l'ensemble des documents présents sur une ressource réseau partagée? Les clients entreprise ont besoin de savoir que les données qu'ils stockent dans le nuage ne peuvent pas être modifiées par erreur, négligence ou malveillance. Les fournisseurs eux-mêmes peuvent vouloir être en mesure de démontrer à leurs clients que les données du nuage sont bien celles que le client leur a confié.
Qui dit chiffrement, dit système de gestion de clé adapté à l'entreprise cliente (recouvrement de clé, partage de clé entre plusieurs services de l'entreprise...). Ce système peut également avoir des effets bénéfiques pour le fournisseur afin de pouvoir assurer une séparation automatique des données clientes les unes par rapport aux autres, même dans le cas où tous les clients partagent un espace de stockage commun. De plus, ce schéma concourt à la ségrégation des tâches entre l'exploitation des données d'une part et l'utilisation des données d'autre part.
 
Renforcement de la sécurité du poste de travail :
La mise en oeuvre d'un chiffrement où seul l'utilisateur final est en mesure de disposer d'une version en clair du document, conduit à la perte des fonctionnalités d'analyse de contenu (antivirales...) proposées par le réseau et/ou le fournisseur du nuage. Ces fonctionnalités doivent donc être déportées sur le poste de travail de l'utilisateur. L'entreprise utilisatrice se voit donc amenée plus que jamais à déployer des suites complètes de protection du poste de travail sur l'ensemble de son parc. Le poste de travail devenant un élément de liaison important entre Internet et le Système d'Information de l'entreprise, les fonctionnalités de reporting et de pilotage à distance jouent un rôle capital dans le choix de la solution de protection à déployer.
 
La perception que l'utilisateur a des univers virtualisés a également été abordée dans [XXX ref article 3 virtualisation XXX]. Nous venons ici de mieux illustrer que les contraintes de sécurité induites par le modèle du cloud computing sont nombreuses et que leur poids doit aussi être porté par les utilisateurs. Si l'IT est prête à se lancer dans l'aventure, vos utilisateurs le sont-ils?


Christophe Roland

Edit de l'équipe Orange Business : Christophe a quitté le groupe Orange depuis ses derniers articles