GUIDES PRATIQUES
Localisation des données : quels sont les risques du cloud ?
Par La rédaction, publié le 16 septembre 2013
Faute de savoir où elles se trouvent, les entreprises craignent pour la sécurité de leurs données dans le cloud. Voici ce que vous devez savoir avant de vous engager.
Envoyer ses données dans le cloud peut avoir quelque chose d’angoissant. Il y a deux ans, l’opérateur BSO Network Solutions a ainsi dû répondre à une exigence inattendue : l’un de ses clients lui a demandé d’installer des webcams en face de ses serveurs. Histoire de surveiller à distance que personne ne touche aux machines et de vérifier que les voyants clignotaient toujours en vert, signe que tout fonctionne bien… “ La sécurité du cloud suscite des craintes. Mais elles sont plus souvent d’ordre psychologique que technique ”, estime Gilles Fabre, le directeur général de BSO Network Solutions. D’ailleurs, si les affaires de cet opérateur se portent bien, c’est aussi parce qu’il dispose d’une offre de datacenters de proximité. “ C’est irrationnel, mais certaines entreprises sont rassurées de savoir leurs données hébergées à 50 kilomètres plutôt qu’à 1 000 ”, constate Gilles Fabre.
Mais les centres de données des grands acteurs du cloud sont rarement proches des clients. Quand on utilise une application en mode Saas (Software as a Service) de Microsoft, Google ou Salesforce, ceux-ci stockent les informations dans une poignée de salles blanches éparpillées aux quatre coins du monde. Beaucoup d’autres éditeurs cloud, tels Evernote ou Dropbox, sous-traitent ce stockage à d’autres opérateurs de datacenters comme Amazon, entre autres.
Les législations nationales ne sont pas harmonisées
Là encore, difficile de savoir où et dans quelles conditions. Les conséquences de cette dispersion – et de cet éloignement – sont importantes sur le plan juridique. En effet, selon le pays où sont hébergées les données, la législation qui leur est applicable diffère. En droit français, celles à caractère personnel – en particulier dans le domaine de la santé – ne peuvent être transmises à d’autres personnes que celles à qui elles sont confiées par contrat. On pourrait penser que les prestataires hexagonaux respectent tous cette contrainte légale, mais dès lors que les contenus d’un datacenter sont dupliqués dans un centre situé sur le sol américain (pour des raisons de sécurité par exemple), c’est la législation des Etats-Unis qui s’applique alors.
“ Selon le droit européen, et a fortiori français, les données confiées à un tiers restent la propriété du client et la loi interdit au prestataire de les divulguer. Dans les pays anglosaxons, le prestataire devient le propriétaire des informations. Et il n’est soumis à aucune obligation de protection ”, explique Eric Filiol, le directeur du laboratoire de virologie et de cryptologie de l’école d’ingénieurs Esiea. Depuis la promulgation du Patriot Act, le gouvernement américain est ainsi autorisé, après décision judiciaire, à fouiller les données entreposées sur son sol, donc au cœur des datacenters de Microsoft, d’Amazon, de Salesforce et de Google !
Cette spécificité constitue un excellent argument en faveur des offres hexagonales comme celles de Numergy et Cloudwatt, lancées à grand-peine l’an dernier. Les pouvoirs publics assurent leur promotion en espérant que les éditeurs nationaux les privilégieront pour héberger leurs logiciels en mode Saas. “ Si une entreprise en exprime le besoin, nous pourrons lui assurer que ses informations ne sortent pas de France ”, confie Cédric Prévost, directeur de la sécurité de Cloudwatt. Pour le client, il est rassurant de savoir qu’il n’aura pas, en cas de pépin, à gérer de litige auprès d’une juridiction située à l’autre bout du monde.
La fiabilité est bonne malgré quelques pannes
En effet, le risque que des données, parfois stratégiques, soient compromises n’est pas nul. Des incidents de nature logicielle ou matérielle se produisent régulièrement : défaillances de Microsoft Azure en février 2012 puis en février 2013, pannes de Salesforce l’été dernier, les centres de données de la côte est des Etats-Unis douchés par l’ouragan Sandy en octobre dernier… Selon l’International Working Group on Cloud Computing Resiliency, les 13 premiers fournisseurs mondiaux ont cumulé 568 heures d’indisponibilité sur les cinq dernières années. Le fameux “ 99,99 % de disponibilité ” annoncé à tout-va par les prestataires n’est donc globalement pas respecté.
Qu’importe, rétorque Julien Chambert, le directeur gestion, supports et systèmes d’Avexia Voyages : “ Avec le cloud, nous disposons aujourd’hui d’une meilleure fiabilité que lorsque notre informatique fonctionnait en interne. ” Il n’hésite plus à héberger dans le cloud d’Amazon des applications sensibles, notamment celle qu’utilisent les professionnels pour enregistrer les réservations de billets. Pour Eric Tirlemont, du cabinet Kurt Salmon, les dysfonctionnements sont bien moins importants que les bénéfices : “ Je ne me souviens d’aucun problème majeur. En revanche, grâce au cloud, nos bureaux, (de Tokyo à San Francisco) peuvent utiliser des applications qui fonctionnent tout le temps sans que nous ayons besoin d’investir dans une équipe qui assure la maintenance 24 h/24 et 7 j/7. ”
Les directions techniques relativisent les imperfections du cloud. Peut-être parce que nombre d’entre elles en ont vu d’autres, depuis dix ans qu’elles externalisent leur informatique chez des tiers. Du côté des directions métier, en revanche, le niveau de tolérance est moindre : “ Avec la suite bureautique en ligne Office 365 de Microsoft, il y a parfois des lenteurs qui énervent, notamment lorsqu’un utilisateur envoie un courriel à son voisin de bureau et que celui-ci le reçoit jusqu’à deux à quatre heures plus tard ”, témoigne Arnaud Lefrançois, directeur du service achats du groupe industriel Exxelia. Et de déplorer l’absence sur le marché d’un tiers de confiance capable de mesurer les performances des clouds d’Amazon, de Microsoft, de Salesforce et consorts.
Certes, les géants ont leurs faiblesses. Mais contrairement à ce qu’ils avancent, les prestataires de proximité ne sont pas forcément de meilleure qualité. “ Il faut se méfier de ce que les SSII vendent comme étant du cloud et qui n’est que de l’externalisation à bas prix, sans garantie de sécurité ”, lance Emmanuel Houzel, consultant chez Kurt Salmon. Cet expert rappelle le cas du prestataire britannique 2e2, mis en faillite il y a quelque mois et dont les clients ont dû payer un supplément pour récupérer leurs données, malgré les engagements contractuels. Chez les petits acteurs, le consultant en sécurité Hervé Schauer dénonce les cascades de sous-traitants, parfois inattendus, qui diluent les responsabilités.
Les utilisateurs ne sont pas assez formés
La cybersécurité est l’autre grand sujet d’inquiétude. Plus les datacenters dédiés au cloud, comme ceux d’Amazon, grossiront, plus ils deviendront des cibles de choix pour des pirates voulant paralyser des pans entiers de l’économie. L’été dernier, le populaire service de stockage et de partage de copies de fichiers locaux en ligne Dropbox a été victime d’une attaque qui rendait possible une intrusion frauduleuse dans les comptes de ses utilisateurs. Le fournisseur américain a réagi en renforçant les mesures d’authentification de ses clients, qui doivent désormais saisir un code envoyé par courriel ou SMS. Mais le mal était fait.
Eric Filiol ne cache pas son inquiétude. “ S’il ne faut pas diaboliser le cloud, de nombreux acteurs ont toutefois investi ce marché lucratif (Gartner l’évalue à 131 milliards de dollars en 2013, avec une progression de 18 % – NDLR) sans mettre en place une sécurité suffisante ”, résume ce chercheur. Les audits ne manquent pas de relever des vulnérabilités : “ Absence de cloisonnement entre les données de différents clients, systèmes de sécurité désactivés pendant les mises à jour, chiffrement inexistant… ”, énumère Loup Gronier, directeur de l’innovation du cabinet Lexsi, spécialisé dans le conseil en sécurité de l’information.
Le danger ? Que des utilisateurs inexpérimentés stockent des informations dans le cloud sans respecter les règles basiques de sécurité. “ Les directions métier, séduites par la facilité et la souplesse du cloud, n’attendent plus de blanc-seing de leur DSI. Elles souscrivent aujourd’hui à des applications en ligne au mépris de la politique de sécurité de l’entreprise ”, constate Frédéric Connes, consultant chez HSC. D’après l’éditeur Symantec, 70 % des sociétés françaises ont déjà été confrontées au déploiement sauvage d’applications cloud, non autorisées par les services compétents.
Le volet sécurité du cloud, qui revêt des aspects techniques et juridiques, réclame donc une vigilance redoublée de la part des entreprises, tout autant que des efforts de la part des fournisseurs. Mais la guerre des prix actuelle sur le marché du cloud inquiète les experts. “ Quand les prestataires font des économies pour baisser leurs coûts, la sécurité et la qualité sont rarement prioritaires ”, conclut Loup Gronier. Les entreprises, en période de restriction budgétaire, sont-elles encore prêtes à payer pour se protéger d’un risque qu’elles sous-estiment souvent ?
Comment sécuriser son contrat cloud
Identifiez le cadre légal. Où seront stockées (et traitées) les données ? La législation varie d’un pays à l’autre. Exigez de votre fournisseur que les législations applicables soient spécifiées dans le contrat.
Vérifiez la qualité du prestataire. La série de normes internationales ISO 27000 certifie que le fournisseur a mis en place des mesures de sécurité. Néanmoins, déterminez le périmètre de ces certifications : se réfèrent-elles à tous les sous-traitants et pour tous les services ? Assurez-vous que les responsabilités internes ont été bien définies, qu’une charte de sécurité a été édictée, et que les incidents fassent l’objet d’une communication.
Les deux points faibles du cloud
Dans l’informatique en nuage, les risques sont de deux natures. D’abord, les données peuvent se perdre ou devenir momentanément inaccessibles. A priori, rien ne dit qu’un centre asiatique est moins fiable que son équivalent occidental, néanmoins les infrastructures chinoises n’ont jamais fourni à l’Europe la garantie d’une protection suffisante contre les pannes de courant. Pour l’heure, les incidents techniques les plus fréquents ont eu lieu en Amérique du Nord. Mais la majorité des acteurs du cloud utilisant des centres de données américains, les pannes qui se déroulent ailleurs sont moins visibles. L’autre danger concerne la confidentialité des informations. Le droit européen considère qu’un hébergeur ne peut pas dévoiler à un tiers les données que ses clients lui confient. Aux Etats-Unis, la loi antiterroriste du Patriot Act donne le droit au gouvernement américain de fouiller dans tous les fichiers hébergés sur son sol. La Russie, l’Inde et la Chine, quant à elles, n’ont pris aucune disposition pour garantir la confidentialité des données qu’elles hébergent.
“ Le contrôle de la confidentialité des données doit encore être amélioré ”
Le scientifique et conférencier Joël de Rosnay, spécialiste de l’évolution des technologies, est enthousiaste face aux bénéfices du cloud. Mais il ne sous-estime pas les risques d’une dissémination anarchique des données à travers le monde.