Cloud
Le fonctionnement opaque du cloud public freine les DSI
Par La rédaction, publié le 20 septembre 2012
Les DSI font confiance à Google ou à Amazon pour sécuriser leurs données. Mais le manque de transparence du service demeure problématique.
Ce ne sont pas les préoccupations sur la sécurité, la confidentialité et la localisation des données qui freinent l’adoption du cloud public. Philippe Lasserre, DSI de Touax, en est convaincu : le cloud public souffre avant tout d’un manque de visibilité et de contrôle sur son fonctionnement. « Ce n’est pas une question de confiance. Amazon et Google sont certainement beaucoup mieux armés que la plupart des entreprises pour sécuriser les données. Mais ces acteurs du cloud ne fournissent pas assez de moyens aux départements IT pour définir et contrôler leur propre politique de sécurité. Les départements IT doivent avoir accès à des journaux et des sauvegardes, pour la conformité réglementaire. Mais aussi pour avoir la possibilité d’effectuer les investigations adéquates, au cas où la sécurité serait compromise », affirme-t-il. Pour lui, ce qui menace surtout les données dans le nuage, ce sont les failles de l’accès à l’information. Un accès que les DSI instaureraient à l’aveugle, faute de savoir comment fonctionne le service en ligne.
Un avis que partage Safia Claire D’Ziri, la DSI de l’INA. La messagerie de son entreprise est stockée dans le cloud public de Microsoft, et ses données sont potentiellement sensibles, puisqu’elles sont parfois à caractère confidentiel. « Des éléments de sécurité sont proposés par le fournisseur, ainsi qu’un certain nombre de niveaux de service. Néanmoins, il faut garder à l’esprit que, paradoxalement, la sécurité n’est pas le point le plus critique dans ce type d’offre. Les dispositifs pour connaître la disponibilité du service ou de la donnée, très importants en cas d’incident, ne sont pas bien prévus contractuellement et manquent, encore bien souvent, de maturité », regrette-t-elle.
La solution : le cloud hybride
Sans visibilité, Fabrice de Biasio, DSI du groupe ASL Aviation, a choisi l’option du cloud hybride. Il stocke l’essentiel de ses données dans un cloud privé, chez un hébergeur de proximité, Diademys, dans les Hauts-de-Seine, qui lui réserve des machines. Et il effectue ses sauvegardes dans des clouds publics, également proposés par des hébergeurs de proximité, mais où les serveurs sont mutualisés entre tous les clients. « Le stockage en cloud public nous sert de solution d’appoint pour nos plans de reprise ou de continuité d’activité. Mais le cloud public ne donne aucune garantie de niveau de service. En étant hybride, nous pouvons superviser nous-mêmes nos sauvegardes, et nous pouvons aussi effectuer régulièrement des tests d’intrusion », explique-t-il.
L’intérêt du cloud public est d’être la solution la moins chère et la plus rapidement en service. Déployer des ressources dans un cloud public, revient à souscrire à un abonnement sur un portail web. On fait difficilement plus simple.
Un cloud privé, en revanche, n’est ni plus ni moins qu’un centre de données, taillé sur mesure pour un client, et dans lequel les ressources servent à exécuter des machines virtuelles, au gré des besoins métier du client.
Un site pour trouver des indices
Pour évaluer au mieux les fournisseurs de service cloud et comprendre les fonctionnements qu’ils n’expliquent pas à leurs clients, Philippe Lasserre conseille de visiter régulièrement le site de l’association Cloud Security Alliance (CSA). Le CSA, un organisme à but non lucratif, publie régulièrement des annonces sur l’intégrité des données, l’architecture de sécurité, les audits, la conformité réglementaire, la gouvernance, la sécurité physique comme juridique et, plus encore, sur les hébergeurs de cloud publics comme privés. On y trouve également une feuille de route de haut niveau de sécurité, pour que les opérations dans le nuage ne dysfonctionnent jamais. Hélas, au moment où nous écrivons ces lignes, la version française du site est… hors service.