Cloud
Non, il n’y a pas de problème de sécurité avec le cloud !
Par La rédaction, publié le 28 février 2012
Pour Guillaume Ploui, responsable de l’offre cloud chez Octo Technology, il faut cesser d’évoquer de façon incessante le problème de sécurité du cloud car il est inexistant.
Attention ! Quand je parle de sécurité, je l’entends ici sous ses aspects technique et organisationnel. Je reviendrai plus loin sur la partie juridique. Intéressons-nous tout d’abord à l’analyse de risques. Lorsque l’on évalue la sécurité au sens informatique, on mène généralement une analyse à travers les prismes de l’authentification, de la confidentialité, de l’intégrité, de la disponibilité et de la traçabilité. En ce qui concerne les trois premières propriétés, les principaux acteurs du cloud suivent l’état de l’art grâce à des écosystèmes sophistiqués (le chiffrement SSL de bout en bout, la mise à disposition de réseaux privés virtuels IPSec, ou la délégation d’authentification à des tiers, par exemple) et, surtout, grâce à des infrastructures industrielles de grande envergure. Ces plates-formes offrent des garanties sur l’intégrité des données supérieures à celles de la majorité des entreprises, via des protocoles de réplication de données multisites.
En termes de gouvernance de la sécurité, ces acteurs disposent de certifications telles qu’ISO 27001, SSAE 16 Type II, ISAE 3402 Type II, et subissent des audits réguliers. De plus, la fiabilité de leurs plates-formes est critique pour eux sur le plan commercial, ce qui les pousse à l’excellence. Reste à l’entreprise utilisatrice à s’assurer de la qualité de son lien à internet afin de garantir une qualité de service à l’utilisateur final. Une croyance très humaine consiste à considérer que l’on maximise la sécurité en cachant ses biens du regard des autres : c’est le syndrome classique des liasses de billets de banque cachées sous le matelas.
Je pense que le cloud est en partie victime de cette croyance. Ainsi, de nombreux informaticiens estiment qu’ils assurent mieux la sécurité de leurs informations par eux-mêmes, alors qu’une analyse de risque indépendante peut tout à fait démontrer le contraire. Des études révèlent ainsi qu’une grande partie des fuites de données est due à des employés maladroits ou mécontents. Ces mêmes informaticiens inventent parfois des algorithmes cryptographiques souvent moins efficaces que les standards.
Si le cloud ne pose donc pas réellement de problèmes de sécurité majeur, l’informatique dans les nuages, en revanche, soulève des questions juridiques. Les contrats des acteurs du cloud se heurtent à une problématique de droit international, notamment lorsqu’un opérateur américain propose un contrat de droit anglais à une société française, dont les données seront hébergées en Irlande ; nous nous retrouvons ici face à un vide juridique. Par ailleurs, le spectre du Patriot Act pèse sur tous les opérateurs de cloud issus des Etats-Unis. Enfin, les acteurs du cloud ont tendance à présenter des contrats largement en leur faveur. Une pratique qui doit mûrir pour mieux répondre aux exigences des entreprises. Et il est à espérer que la législation internationale évoluera également pour faciliter le recours à ces plates-formes. Je recommande donc de ne pas s’appesantir sur les problèmes de sécurité technique du cloud, mais plutôt de travailler en profondeur sur la partie juridique.