Le Cloud est-il sûr ?
19 April 2011
J’ai assisté jeudi dernier à une conférence sur le Cloud et notamment le SaaS, destinée aux PME de la région de Montpellier. Les intervenants se sont succédés pour tenter d’expliquer, voire de vulgariser le Cloud. En cela la conférence s’adressait à des néophytes du Cloud souhaitant savoir ce que les solutions en mode SaaS pouvait leur apporter.
Évidemment, la session de questions-réponses a mis en exergue quelques inquiétudes liées à la sécurité proposée dans le Cloud. La plus persistante d’entre elles, entendue lors de toute conférence qui traite le sujet Cloud, est liée au principe de confier ses données à un tiers. L’apogée a été atteinte lorsque le sujet a débordé sur le fameux Patriot Act américain.
Le Patriot Act : une réelle menace ?
Cette loi américaine est née suite aux attentats du 11 septembre 2001 pour permettre à la police d’effectuer les perquisitions nécessaires à une enquête sur des menaces terroristes, essentiellement, y compris en fouillant dans les banques de données situées sur le sol américain.
On peut donc comprendre aisément l’inquiétude qui plane lorsque l’on sait que le grand méchant impérialiste américain peut se servir comme bon lui semble dans les données de nos entreprises françaises. Et le Cloud ne servirait que de porte d’entrée à l’exploitation de ces données. Plusieurs bémols à cela.
Tout d’abord, la police et toutes les agences américaines ne peuvent se servir dans les données que si elles présentent un intérêt majeur pour la sécurité américaine. En gros, si vous n’êtes pas en relation avec un fournisseur qui s’avère financer indirectement le terrorisme, vous ne risquez pas grand chose. Les Etats-Unis restent un état de droit !
Il est de notoriété publique, comme s’égosille à le rappeler notre chère DST, que les firewalls américains sont labellisés “NSA compatible”, pour permettre au gendarme américain d’effectuer quelques intrusions quand bon lui semble. Donc il est parfois illusoire de penser que les données sont plus en sécurité chez soi ! D’autant que le risque d’intrusion ne vient pas forcément de là où on croit.
La menace vient surtout de l’intérieur
La plupart des enquêtes menées (je mettrai à jour cet article dès que j’aurai retrouvé mes sources) font état d’un phénomène plutôt inquiétant : 70% des problèmes de sécurité rencontrés sont issus de l’intérieur de l’entreprise. Plusieurs raisons viennent expliquer ce chiffre.
Tout d’abord, il peut s’agir de négligences. L’avènement des ordinateurs portables qu’on emmène à la maison et qu’on branche sur un réseau moins sécurisé offre une première porte d’entrée. Le même portable qui affiche un powerpoint avec des informations stratégiques à tout un wagon de TGV en est une autre. Mais ce sont surtout les réseaux sociaux et la démocratisation d’internet en général qui contribuent aujourd’hui à une fuite importante d’informations. Que ceux qui n’ont pas le même mot de passe sur leur réseau d’entreprise et sur l’un des sites web qu’ils consultent (forums, e-commerce, etc.) lèvent la main !
Une autre cause peut être la malveillance. Comme on le rappelle souvent, l’information, c’est le pouvoir ! Or un employé un peu trop chahuté par sa direction peut ressentir le besoin de faire payer le forfait par quelques informations bien distillées, ou la mise à sac de tout un système. Il existe aussi des pressions que peuvent exercer certaines sociétés de renseignement privé pour obtenir ce qu’elles sont venues chercher.
Et puis après tout, est-on certain que l’ensemble des données d’une entreprise sont si confidentielles ?
La valeur de l’information
On a pour habitude de classer les informations par leur sensibilité en trois catégories : l’information blanche, l’information grise et l’information noire.
L’information blanche regroupe toutes les informations fournies publiquement par une entreprise, à travers son site web, ses plaquettes de présentation, etc. et plus généralement tout ce qu’il est possible de trouver en saisissant le nom de l’entreprise dans un moteur de recherche. Elle représente tout de même de 70% à 80% de l’information totale. Le chiffre d’affaires, le bilan, le métier, l’offre ou l’organigramme d’une entreprise en sont des exemples.
L’information noire est l’information la plus sensible, comme un algorithme de pricing ou le secret de fabrication d’un matériau. A l’opposé de l’information blanche, la fuite d’une information noire à la concurrence peut être fatale à l’entreprise, comme cela s’est déjà vu maintes fois. Elle correspond à 5% ou 10% de la totalité de l’information d’une entreprise. Elle fait l’objet de modes d’espionnage très avancés et totalement illicites pour être obtenue.
Enfin, l’information grise est tout ce qui se situe entre les deux. Son accès est restreint, mais elle peut être obtenue par des moyens de recherche plus avancés, mais licites. Cette information peut être stratégique sans être vitale. Par exemple, le lancement de la phase de conception d’un nouveau véhicule.
Je vous renvoie directement vers les spécialistes de l’intelligence économique pour plus de précisions. Mon propos se limite à ce constat : 90% des informations d’une entreprise peut être obtenu grâce à une veille économique avancée. Il ne faut donc pas croire que protéger l’ensemble des données de l’entreprise est vital. L’effort doit être focalisé sur la protection de l’information noire.
Une question de confiance avant tout
Est-il donc judicieux de faire appel au Cloud ? Je pense que cette question est mal posée. L’utilisation du Cloud ne doit être vue que comme une opportunité économique. La vraie question est plutôt : Comment utiliser judicieusement les possibilités offertes par le Cloud ? Cette question en appelle une autre : Quelles données puis-je confier à mon partenaire Cloud ?
La réponse se situe au sein de chaque entreprise, qui doit évaluer la sensibilité des données qu’elles souhaitent confier. L’une des composantes de la réflexion est liée au caractère concurrentiel du marché que l’on adresse : Suis-je en compétition avec une entreprise américaine ? Suis-je sur qu’il n’existe pas un risque identique dans un autre pays ? Suis-je plus en danger avec des données situées en France ou dans un autre pays ?
Au delà de ces questions, il faut bien comprendre qu’une relation de confiance doit s’établir entre l’entreprise utilisatrice et le partenaire. J’ai pour habitude de dire qu’il ne faut pas croire que Google, Microsoft, Amazon ou d’autres vont du jour au lendemain se servir dans les données qu’ils hébergent comme bon leur semble. Le Cloud n’est pas pour ces sociétés une stratégie « one shot » : si elles étaient effectivement amenées à voler des données, ça ne marcherait qu’une fois et personne ne leur ferait plus confiance. Cela remettrait en cause un nouveau marché bien trop juteux pour elles.
Pour accroître ce facteur confiance, les acteurs Cloud proposent de choisir géographiquement le datacenter dans lequel les données confiées seront stockées. C’est notamment le cas pour les offres PaaS et IaaS. Au niveau du SaaS, c’est en effet plus nébuleux. Par exemple, il est extrêmement compliqué, même pour Google, de savoir où sont stockées physiquement dans le monde les données de Google Apps. Un niveau d’abstraction a en effet été mis en place pour assurer une proximité et une disponibilité maximales.
Enfin, comme le rappelait Henry-Michel Rozenblum lors de la conférence, délégué général d’EuroCloud, certaines précautions doivent être prises avant de s’engager avec un prestataire Cloud. Parmi elles, il est nécessaire de s’assurer d’une porte de sortie contractuelle qui permet de récupérer ses données sous un format standard, si la confiance établie s’est altérée. Pour les autres, je vous renvoie vers cet article québécois qui liste un certain nombre de questions complémentaires à se poser (en page 2) avant de se lancer dans l’aventure Cloud.