A l’heure où le marché du cloud pourrait atteindre les 200 milliards de dollars en 2016, certaines entreprises s’interrogent sur la sécurité des données sauvegardées dans le nuage. Peut-on mettre toutes les données, même les plus sensibles, dans le cloud ? Qui y a accès ? Comment leur confidentialité est-elle assurée ? Quels conseils pour « bien » utiliser le cloud ?
Grégory Haïk, président de la commission sécurité d’EuroCloud France et de la start-up Trustelem a répondu à nos questions.
EuroCloud France est une organisation professionnelle qui regroupe des acteurs européens du cloud : éditeurs de solutions, fournisseurs d’hébergements et d’infrastructures, intégrateurs, consultants, revendeurs… La branche hexagonale, EuroCloud France, organise chaque année les Trophées du Cloud qui récompensent les solutions cloud les plus marquantes. EuroCloud est également initiateur de la CloudWeek, qui se déroulera à Paris à partir du 4 juillet 2016.
Trustelem est une solution française de gestion des identités et des accès qui permet aux entreprises de supprimer les mots de passe en centralisant les accès aux différentes applications, et de garantir traçabilité et sécurité des données.
« La sécurité des données, brandie comme un prétexte pour repousser les solutions Cloud »
Les entreprises doivent-elles s’inquiéter des risques en matière de sécurité des données dans le cloud ?
L’inquiétude initiale est une forme de prise de conscience qui peut être salutaire ! Mais elle doit rapidement céder la place à la réflexion et à l’action. Tant qu’il n’y a pas de plan rationnellement construit de traitement des risques, le cloud ressemble à un brouillard et le SI interne à un trou noir…
La sécurité des données est souvent brandie comme un prétexte pour repousser les solutions cloud. Ce n’est pas une approche rationnelle du sujet. Que les données soient dans le nuage ou in-situ, les axes d’analyse en matière de sécurité sont les mêmes : moyens techniques de protection, compétence des équipes d’exploitation, organisation et responsabilités. C’est sur ces éléments que doivent être évaluées les solutions.
On entend souvent dire que le cloud serait « intrinsèquement dangereux ». Ce type d’argument peut être utilisé par certains juristes frileux devant le risque de « fuite des données », des DSI soucieuses de conserver le contrôle total sur leur système, des responsables d’exploitation qui craignent que l’externalisation ne mène à des suppressions de postes, ou encore par certains intégrateurs traditionnels qui préfèrent vendre des journées de prestation plutôt que de déployer des solutions Cloud.
Aux responsables informatiques dans les entreprises, je veux dire que la transformation digitale suppose avant toute chose une transformation radicale de la DSI, qui doit passer d’une organisation d’exécutants à une communauté de référents, avec des activités davantage tournées vers les processus métiers et fonctionnels, la sécurité, la gouvernance, le support et la sensibilisation, et moins vers la plomberie informaticienne.
Et, concernant les intégrateurs traditionnels, je ne peux que recommander aux entreprises clientes de les challenger, en élargissant les consultations aux intégrateurs cloud et en demandant à ceux à qui ils ont fait confiance jusque-là de leur proposer des alternatives.
Peut-on mettre toutes les données, même les plus sensibles, dans le cloud ?
On pourrait aussi bien poser la question : « Peut-on conserver les données, mêmes les plus sensibles, sur site ?» ! Techniquement, il existe d’excellents moyens de se protéger dans les deux cas, à la fois dans le cloud et in-situ. Encore une fois, tout est une question de moyens, de disponibilité des compétences, d’organisation et de partage des responsabilités.
Dans les deux cas, gérer des données d’une très haute sensibilité est un véritable défi, sur lequel il vaut mieux faire intervenir des spécialistes. Il faut en effet faire preuve d’une grande vigilance et déployer des efforts considérables pour construire sa propre infrastructure de très haute sécurité.
Enfin il faut regarder de près la question des sauvegardes : il y a de nombreux risques à n’avoir aucune copie extérieure de ses données les plus sensibles.
« les bons fournisseurs de solution Cloud engagent clairement leur responsabilité »
Comment les différents acteurs de l’écosystème assurent-ils la protection et la confidentialité des données ?
Les situations sont très variables selon les fournisseurs. Sur le plan technique, ceux qui prennent le sujet au sérieux vont déployer leurs solutions dans des infrastructures cloisonnées, monitorées et redondées, mettent en œuvre des moyens de sécurité des réseaux, de détection et de prévention d’intrusion, effectuent une veille de vulnérabilités et disposent de procédures de gestion d’incidents de sécurité, centralisent et surveillent l’accès de leurs équipes aux données de leurs clients, protègent les données par un chiffrement à l’état de l’art, offrent à leurs clients la possibilité d’utiliser leurs propres systèmes de fédération d’identités et de centralisation des journaux.
Sur le plan contractuel, les bons fournisseurs de solution cloud engagent clairement leur responsabilité en matière de protection et de confidentialité des données et leurs contrats sont nets et précis en matière de partage de responsabilités. Leur taux garanti de disponibilité est élevé et les sanctions en cas de défaillance sont significatives. La localisation des données est clairement précisée. La maintenance corrective et, en particulier, le maintien en condition de sécurité est comprise dans la prestation. La conformité aux réglementations en matière de protection des données personnelles est garantie.
Qui a accès à ces données ?
Dans le cas général, les équipes du fournisseur ont accès aux données des clients. Seules des architectures complexes fondées sur la cryptographie permettent d’éviter cela, et pour certains usages seulement. Il y a donc lieu de s’assurer que le fournisseur utilise en interne des mesures de contrôle d’accès adéquates. En tout état de cause, la responsabilité du fournisseur peut être engagée en cas de fuite de données qui lui serait imputable ! Il est par ailleurs possible pour un client de demander au fournisseur la liste exhaustive et maintenue à jour des personnes susceptibles d’accéder à ses données, comme certaines normes le prescrivent.
« Classifiez vos données, évaluez différentes solutions et protégez-vous ! »
Quels conseils peut-on donner aux entreprises pour « bien » utiliser le cloud ?
Je donnerais trois conseils : classifiez vos données, évaluez différentes solutions et protégez-vous !
Je voudrais insister sur l’évaluation. De nombreux éléments permettent de statuer sur la pertinence d’un fournisseur en matière de sécurité. Et il existe même un test très simple, accessible à toutes les entreprises, quelle que soit leur taille, pour réaliser une première analyse raisonnablement fiable de la solidité d’une solution cloud : poser au fournisseur une ou deux questions techniques relatives à la sécurité, et une ou deux questions sur ses conditions générales de vente. S’il élude les questions, s’il manque de réactivité ou utilise tout type de technique dilatoire, fuyez ! Si en revanche il répond rapidement, clairement, de façon rassurante et ouverte, à la fois sur les aspects techniques et juridiques, il prend sans doute le sujet au sérieux.
Lorsqu’il s’agit de données critiques, et lorsque les moyens sont disponibles, je conseille de mener une consultation plus complète, qui doit inclure des tests techniques, un questionnaire et un comparatif multicritères.
Enfin, aux grands groupes, je conseillerais de continuer à transformer la DSI car la dualité cloud/in-situ investit maintenant tous les domaines : infrastructures, monitoring, stockage et archivage, authentification, chiffrement, messagerie et collaboration, processus métiers, fonctions support. Dans tous ces domaines l’offre de solutions cloud s’enrichit de jour en jour. Aux décideurs d’en tirer le meilleur, pour le plus grand bénéfice des utilisateurs et de l’entreprise !
A lire aussi :
=> Sécurité des objets connectés : quels enjeux ?
=> Sébastien Enderlé : « Le Cloud, c’est consommer l’informatique à la demande »