Selon les experts sur Internet, le cloud est soit un lieu complètement inadapté pour les données d’entreprise ; soit le seul emplacement qui soit réellement sécurisé. Certaines entreprises se sont empressées d’y migrer l’essentiel de leurs logiciels, tandis que d’autres affirmaient haut et fort que les poules auraient des dents avant qu’elles ne placent le moindre élément de leur système au-delà de leur pare-feu. Depuis le lancement de notre plate-forme hébergée dans le cloud, on m’a demandé à de nombreuses reprises comment nous pouvions désormais promouvoir l’utilisation du cloud, après avoir passé plus de 20 ans à fournir un accès complet et sécurisé aux données stockées derrière des pare-feu. Bien entendu, comme pour la plupart des thèmes ayant divisé l’opinion sur Internet, le sujet est quelque peu complexe.
Avant d’aller plus loin, il est important de clarifier que cet article s’intéresse principalement aux problématiques du cloud en termes de SaaS. Dans ce contexte, les applications installées, déployées et gérées par un fournisseur de services sont utilisées pour stocker et traiter des données appartenant à ses clients. Dans d’autres contextes, le cloud peut faire référence au PaaS, à l’IaaS, ou à de nombreux autres modèles de technologies de l’information utilisées et gérées par une organisation, et fournies de façon flexible et dynamique aux clients dans une autre organisation. Plusieurs des points évoqués ici s’appliquent à ces autres scénarios, mais pour l’instant, intéressons-nous au SaaS.
Pour pouvoir établir la sécurité du cloud, il faut comprendre ce que ce terme signifie. Souvent, il fait référence à un nombre d’éléments distincts : la confidentialité, l’intégrité, l’authenticité, la protection de la vie privée, la résilience, la disponibilité, ou un mélange complexe de plusieurs ou de l’ensemble de ces éléments. Si ce terme fait l’objet d’autant d’interprétations différentes, c’est tout d’abord en raison de sa définition dans le dictionnaire : le fait d’être libre de tout danger ou menace. Sa signification pour vous dépendra bien évidemment de ce que vous qualifiez de dangers et de menaces, ainsi que de la sévérité de ces menaces lorsque vos données et systèmes sont soit en local, soit dans le cloud. Ceci explique également pourquoi on constate une telle diversité d’opinions quant à la sécurité du cloud : tout dépend des types de menaces auxquelles on est exposé.
Comme pour la plupart des entreprises en général, nos clients varient énormément, non seulement en termes de tailles ou de secteur d’activité, mais aussi en ce qui concerne leur niveau de connaissances sur la sécurité. Nous avons des clients de taille moyenne dont la quasi-totalité du personnel est experte en matière de sécurité ; et d’autres de tailles similaires sans la moindre équipe informatique dédiée. Nous voyons également des petites entreprises dans le secteur des services financiers, et dont l’intégralité du personnel équivaut à un dixième des équipes informatiques de certaines de nos banques les plus importantes. Enfin, nous comptons des clients au sein de l’administration américaine, et d’autres qui voient ce même gouvernement comme un ennemi potentiel en matière de cybersécurité. Pour certains, rien n’est plus important que l’intégrité de leurs données, tandis que d’autres préfèreraient perdre l’accès à leurs données que de les voir exposées aux agissements d’un individu externe à l’organisation. Chacun possède une interprétation différente de la « sécurité », et chacun utilise une formule différente afin de mesurer les coûts et les bénéfices du cloud.
Il est fort probable qu’un fournisseur de services cloud renommé dispose à la fois de davantage de compétences et de plus de ressources dédiées à la sécurité informatique que ne pourraient se permettre ses clients. C’est le cas pour de nombreuses d’entreprises utilisant les nouvelles technologies sans qu’il s’agisse pour autant de leur cœur d’activité, et notamment la plupart des PME (alors que les grands établissements financiers échapperont généralement à cette règle). Et c’est justement cela qui constitue le principal argument des supporters du cloud. Cependant, si les réglementations applicables stipulent que vous devez être capable d’identifier tout individu ayant accès à vos données et de prouver que chacun a fait l’objet d’une vérification préalable et adaptée de ses antécédents, il vous faudra alors vous assurez que votre fournisseur de cloud soit capable de vous procurer ces informations de façon contrôlable. Dans ce cas, les solutions sont plus souvent légales que techniques.
Cela dit, votre fournisseur de cloud pourrait choisir de ne pas vous protéger de certaines menaces. D’autres pourraient exploiter vos données de façons contraires à votre politique, ou porter une atteinte inacceptable à la vie privée de vos employés. Bien que cela soit fréquent chez les fournisseurs « gratuits », ces pratiques sont souvent prévues également dans le cadre d’offres dites premium. Et en admettant que votre activité entre potentiellement en concurrence avec celle de votre fournisseur de cloud (scénario plausible pour une startup), ou que vous vous retrouviez en litige avec lui ou sa société mère (plausible pour beaucoup d’entreprises du secteur des nouvelles technologies), une attaque en provenance de votre fournisseur représenterait alors une menace crédible. Dans ce cas, vous préférerez sûrement que vos secrets commerciaux ou correspondances internes restent à l’abri de ce regard indiscret. En revanche, vous pourriez sereinement ignorer ce problème si vos données étaient toutes chiffrées en dehors du cloud à l’aide de clés inaccessibles pour votre fournisseur.
Il est également important de noter que sur un plan technique, il y a peu de différences entre une attaque menée par un employé d’une société d’hébergement dans le cloud, et le fait que cette société se retrouve amenée ou contrainte à autoriser l’accès à un tiers. Les assignations (obligations de divulgation) et les attaques menées en interne fonctionnent de la même façon. Ces éléments entreront en considération lors du choix de services cloud si votre organisation opère à l’international ou est engagée dans des activités liées à la politique ou sensibles sur ce point de vue. On sait désormais depuis quelques années que beaucoup de gouvernements dans le monde entier sollicitent des informations directement auprès des fournisseurs de cloud, et certains types de clients doivent garder cela à l’esprit. Notons également, que l’on soit concerné ou non par des attaques en provenance de gouvernements, que le fait qu’un fournisseur soit tenu de pouvoir accéder à ces requêtes est source de vulnérabilités. Cela nécessite premièrement de laisser des portes dérobées menant au système afin d’autoriser les accès dits « légaux ». En outre, certaines lois telles que l’American Foreign Intelligence Surveillance Act stipulent que cet accès doit être tenu secret du client : il est donc impossible pour le fournisseur de lui transmettre des journaux (logs) de vérification pouvant être considérés comme véritablement fiables.
L’interruption ou le déni de service est un autre type de menace devant être pris en compte, et là encore, il existe des arguments en faveur et à l’encontre du cloud. La plupart des fournisseurs ont mis en place des connexions multiples et à large bande passante vers Internet, ainsi que des systèmes suffisamment mûrs pour faire face aux attaques par déni de service. Ainsi, les services proposés dans le cloud restent souvent disponibles, même en cas d’attaques DDoS de grande ampleur. Ceci dit, si l’essentiel de vos utilisateurs travaillent dans vos locaux, placer vos systèmes critiques en dehors vous rend vulnérable en cas d’une attaque menée sur votre propre connexion Internet, ce qui n’est pas le cas si vous hébergez vos systèmes en interne. Dans un monde sans cesse plus mobile, et où de plus en plus d’employés travaillent éloignés de leurs bureaux, un tel cas de figure se révèle moins problématique, mais cette préoccupation subsiste pour beaucoup d’entreprises.
Le cloud peut être le sauveur des plus petites entreprises ou de celles s’intéressant peu aux questions techniques, car elles n’ont pas les moyens de mettre en place des systèmes de contrôle et de supervision de la sécurité, du stockage, des accès et des réseaux pour leurs données. Grâce à lui, elles peuvent renforcer la protection au niveau des données et services fournis à leurs employés. Quant aux grandes entreprises ou aux organisations plus réglementées, elles adopteront une posture au cas par cas vis-à-vis du cloud : parfois utile à certains moments ; inutile voire inefficace dans d’autres. Les clients organismes gouvernementaux ont un ensemble d’équations encore plus complexe à résoudre, mais tout cela peut souvent être simplifié en utilisant des fournisseurs de services cloud locaux protégés par des cadres juridiques élaborés avec soin.
Nous savons que chaque client est unique, qu’il devra faire ses propres choix en matière de cloud, et que ces décisions peuvent évoluer avec le temps. C’est pour cela que nous fournissons les outils permettant à chaque organisation de déployer nos produits comme elle le souhaite. Nos logiciels peuvent être utilisés en interne, dans le cloud ou au sein d’un déploiement hybride ; ils peuvent également interagir avec les services d’entreprise en local ou dans le cloud, et supporter les migrations entre les deux. En effet, c’est la diversité du cloud qui fait sa force.
____________
Nicko van Someren est CTO de Good Technology