Évidemment, les dernières affaires révélées par Edward Snowden ont mis au grand jour la surveillance des données sous couvert du Pratriot Act en vigueur aux Etats-Unis.
Depuis ces révélations, nous avons tous entendu au moins une fois: “Je ne mettrais pas mes données dans le Cloud, je ne veux pas que la NSA les regardent”.
Effectivement, par définition même du Cloud il est compliqué de savoir où les données sont stockées, voire même impossible. Lorsque l’on souscrit à un service dans l’informatique en nuage, nous achetons une ressource, un service ; nous ne nous soucions pas de savoir où sont exploitées les données et qui s’en occupe réellement.
Mais est-ce pour autant une raison de ne pas bénéficier de service dit “Cloud” ?
Souriez, vous êtes filmés
Mais devons-nous nous méfier uniquement de l’informatique en nuage ? Je vous rappelle qu’une loi nommée “loi sur le renseignement” vise à mettre en place des “boites noires” chez les fournisseurs d’accès, visant à surveiller le trafic global d’internet circulant en France. Bien sûr, il y a un cadre juridique pour encadrer cela, mais il faut bien comprendre qu’à l’heure actuelle, tout est surveillé et enregistré.
Prenons un autre exemple, lorsque vous faites un achat sur internet avec votre carte de crédit, une partie des données de la transaction est enregistrée par l’intermédiaire qui traite la transaction financière. L’objectif est bien sûr de pouvoir détecter les transactions frauduleuses, mais certaines de nos données sont pourtant bien stockées !
Quels risques ?
Dans le cas du Cloud, la première crainte est la divulgation d’information, personne ne souhaite que ses données soient exposées sur internet. Encore plus quand nous stockons des photos, des messages et autres données sensibles dans ce nuage.
Il faut bien comprendre que le Cloud Computing est basé sur les mêmes composants techniques qu’une informatique traditionnelle. Le prestataire doit donc s’astreindre à sécuriser ses équipements comme le ferait une société pour ses propres biens.
Mais en regardant un peu plus près, prenons 100 sociétés qui doivent gérer la sécurité de leur informatique, sommes-nous sur que ces 100 sociétés seront toujours dans le respect des meilleures pratiques avec le personnel adéquat ?
En revanche, est-ce qu’il n’est pas réaliste de se dire qu’un prestataire Cloud qui offre le même service pour 100 clients n’a pas plus de moyens pour sécuriser ses équipements ? Si l’on prend en compte les économies d’échelle liées à la mutualisation des ressources informatiques, nous pouvons certainement dire que oui !
Le point qui vient griser le tableau est que plus un prestataire est visible sur le marché, plus il sera la cible d’attaques et de convoitise ; mais plus il se protégera et aura les moyens de le faire !
Les données ?
L’autre élément à prendre en compte est l’intégrité des données. Nous pouvons citer par exemple le cas de Google qui a été victime de la foudre et a perdu une partie infime de données (http://www.bbc.com/news/technology-33989384).
Les données qui sont dans le nuage ne seront pas dispensées de sauvegarde. Elles peuvent être effectuées chez le même prestataire, mais il faudra alors s’assurer que les lieux de stockage sont bien distincts. Ou souscrire à des options de réplication de données dans différents lieux géographiques.
Même si d’autres aspects pourraient être abordés, en dernier je parlerai de la responsabilité du prestataire Cloud. C’est un élément important car, qui sera responsable si des données sont perdues ? Et si le système n’est plus fonctionnel pendant plusieurs heures ? Une lecture du contrat est primordiale avant d’accepter les conditions.
Une fois que vous utiliserez le Cloud de manière intensive, ces points deviendront cruciaux pour vous et vos clients.
Que faire quand nous souhaitons profiter des services et de la souplesse qu’offre le Cloud ?
1) Choisir son acteur.
La solution idéale est de pouvoir choisir le prestataire qui effectuera le service d’informatique en nuage. Cela nous laissera une plus grande liberté pour négocier les termes du contrat, faire jouer la concurrence…
Un autre aspect est la localisation des données, certains acteurs jouent la carte de la transparence en vous assurant un hébergement de vos données dans un lieu connu. Par exemple, certains prestataires garantissent une localité des données dans l’espace Européen et annoncent y appliquer le droit local, ce qui permet aux sociétés de profiter de ces services tout en respectant la loi (Directive 95/46/CE applicable aux traitements des données personnelles dans l’espace Européen).
Parfois, nous n’avons pas le choix et nous devons subir le prestataire, c’est le cas pour les particuliers avec les smartphones et le service Cloud associé au téléphone ; c’est aussi vrai pour les sociétés quand elles choisissent le mode service d’un logiciel (SaaS pour les intimes) proposé par un éditeur qui est en situation de monopole.
Dans le dernier cas, il convient de bien étudier le contrat et mettre en place quelques bonnes pratiques de sécurité, comme chiffrer les données sensibles par exemple. Et sous certaines conditions, il est peut-être possible de répartir ses données entre plusieurs hébergeurs.
2) Faire confiance aux certifications ?
Certaines sociétés de Cloud font le choix de passer par des organismes certifiant la gestion de la sécurité. C’est le cas de la norme ISO 27001 qui est la norme la plus célèbre de cette famille, et qui, selon l’organisation internationale de normalisation, expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI).
Plus récemment, la norme ISO 27018 (juillet 2015) est venue compléter la panoplie de l’ISO. Cette dernière porte sur les bonnes pratiques pour la protection des informations personnelles identifiables dans le Cloud.
Les certifications ISO ne peuvent garantir à elles seules un système parfaitement sécurisé. Mais elles permettent de s’assurer que certaines procédures de respect de la sécurité et de la vie privée sont bien en place chez le prestataire ; le personnel est également qualifié, car ils auront la possibilité d’être certifiés sur certaines des normes ISO liées au management de la sécurité de l’information.
http://www.iso.org/iso/fr/home/standards/management-standards/iso27001.htm
3) Réversibilité
Un autre point qui passe souvent inaperçu (tout du moins au début du projet) est la réversibilité. Avant de vous engager dans votre service de Cloud, avez-vous pris en compte le retour arrière ou un changement de prestataire ?
Les causes pourraient être nombreuses, une augmentation de la tarification, une baisse dans la qualité de service, la volonté de changer de prestataire…
Comment procéder dans ce cas de figure ?
Dès le début du projet, prévoir une clause spécifique à ce sujet, avec un délai de prévenance pour être capable de traiter la réversibilité.
Pour les particuliers, il existe souvent des mécanismes de portage entre les différentes plateformes afin de faciliter la transition, voir même le support des technologies des concurrents.
4) Pour vivre heureux, vivons cachés ?
Une des solutions est de chiffrer toutes les données quand cela est possible, qu’il s’agisse des données qui sont stockées dans le nuage, mais aussi les données qui transitent entre le Cloud et nous.
Ce point parait anodin, mais à défaut de pouvoir garantir une sécurité parfaite, autant ne pas faciliter la tâche aux malvenus qui voudraient accéder à vos données.
Une des règles de base de la sécurité est de limiter la surface d’attaque au maximum. Derrière cette phrase se cache un concept très simple, désactiver tout ce qui est inutile ; que cela soit à la maison au dans le milieu professionnel.
L’image est un peu celle d’un château fort, quand celui-ci dispose de murailles bien hautes et d’un seul pont-levis, l’attaque est bien plus compliquée que si celui-ci avait des fenêtres un peu partout !
5) complexifier ses mots de passe
Le principe est de ne pas faciliter la tâche en respectant quelques règles de base :
- Changer le mot de passe régulièrement
- Respecter des règles de complexité, comme le mélange de caractères, la longueur…
- Éviter les mots de passe trop simples ou figurant dans un dictionnaire…
Connaissez-vous l’authentification multi-facteur ? Il s’agit d’une authentification en 2 temps. En premier, vous allez vous connecter de façon classique avec votre mot de passe, puis vous allez avoir une deuxième étape. Celle-ci peut être, par exemple, la réception d’un code envoyé sur votre portable. Une fois ce code renseigné, vous pourrez vous connecter.
Sans cette deuxième étape, impossible de se connecter avec votre compte et votre mot de passe.
Maintenant, saviez-vous que cette technologie est disponible chez des hébergeurs comme Microsoft ou encore Google, pour ne citer qu’eux ? Vous ne l’avez pas encore activée ?
Le mot de la fin
Dans cet article, j’ai souhaité soulever quelques questions et préjugés quant au Cloud. J’ai volontairement fait des raccourcis afin de simplifier les concepts.
C’est un fantastique outil qui permet au plus grand de bénéficier d’un service et d’une flexibilité qui n’existait pas jusqu’à présent. Mais comme tout outil informatique, celui-ci doit être correctement utilisé d’autant plus lorsqu’il offre la puissance du Cloud Computing.
Et pour conclure, n’oublions pas qu’une chaîne est aussi solide que son maillon le plus faible !
Pour aller plus loin : https://downloads.cloudsecurityalliance.org/initiatives/guidance/csaguide.v3.0.pdf