Dans la grande forêt d'Internet, les petits chaperons rouges ont eu le temps d'apprendre par cœur les sentiers balisés : aujourd'hui, promenades et transactions en ligne se font généralement sans encombres. Mais depuis une dizaine d'années, un nouveau personnage est apparu, aux airs de bienveillante mère-grand : le Cloud, qui se propose de stocker nos données en ligne et de faciliter l’usage de logiciels ou d’espaces de stockage. Pourtant, celui-ci ne va pas sans susciter de la méfiance... Pourquoi le grand méchant Cloud fait-il donc aussi peur ?
La peur du Cloud tient au sentiment primaire et humain de perte de contrôle lié à l'externalisation et à un potentiel piratage : pour accéder à ses informations ou applications n'importe où, n'importe quand et sur n'importe quel appareil, il faut en effet accepter de stocker ses données sur le serveur de quelqu'un d'autre, et à un endroit du monde – le plus souvent inconnu. D’après le Computing Cloud Report 2018, près de 90% des personnes interrogées craignent en effet les failles de sécurité et autres pertes de données sur les environnements Cloud. Derrière ces craintes, une réalité : une faille peut à elle-seule causer le vol et la divulgation de millions d’informations, comme dans les cas tristement célèbres de Yahoo et Twitter (pour ne citer qu’eux). La notion de confiance s’affirme donc comme primordiale. Et quatre ans après l’affaire des photos de stars volées et cinq ans après les révélations d’Edward Snowden, qui avaient résolument terni le blason de Cloud, la confiance vis-à-vis de celui-ci est reparti à la hausse. Les menaces n’ont pas disparu pour autant mais l’idée que les risques liés au Cloud peuvent être jugulés commence à faire son chemin dans les esprits.
Près de 90% des personnes craignent les failles de sécurité et autres pertes de données sur les environnements Cloud
Cloud Act vs. RGPD
Pourtant, le Cloud Act signé par Donald Trump à la fin du mois de mars dernier a fait ressortir du placard le fantôme des interceptions de données sur les plateformes numériques transatlantiques qu’Edward Snowden avait mis en lumière. Ce Cloud Act offrirait, en effet, un cadre légal aux institutions pour la saisie d'informations personnelles hébergées sur des serveurs américains, y compris dans le cas de datacenters situés en Europe. Étant donné que les principaux Cloud et SaaS Providers (Microsoft Azure, Amazon Web Services ou autre Salesforce) viennent des États-Unis, il est légitime d’avoir quelques craintes concernant la confidentialité de ses précieuses données.
Mais faut-il pour autant s'en faire ? Le Cloud Act semble prévoir un ensemble de mesures pour que les accès aux données ne soient pas réalisés sauvagement, notamment la mise en place d’accords préalables avec les pays concernés. Il est encore trop tôt pour savoir comment ces accords seront effectivement mis en place, comment les libertés individuelles pourront être garanties et comment les dispositions du Règlement Général sur la Protection des Données (RGDP) seront maintenues dans le cadre du Cloud Act. Espérons donc que les positions européennes seront bien respectées et que nos données ne seront pas exposées librement aux grandes oreilles transatlantiques, en toute impunité.
Nouvelles réglementations, nouveaux avantages
Dès janvier 2006 en France, le décret relatif à l’hébergement de données de santé à caractère personnel définissait de premières exigences pour les prestataires stockant des données médicales. Il imposait notamment la nécessité d’obtenir un agrément pour pouvoir héberger ces données. Avec les référentiels « Secure Cloud », puis « SecNumCloud », l’ANSSI s’est emparée du sujet dans l’Hexagone, avant de lancer fin 2016 un nouveau label franco-allemand pour les services Cloud de confiance : « European Secure Cloud ». Avec ces règlementations et désormais le RGPD, le grand méchant Cloud se retrouvera-t-il alors au bout d'une laisse ? Aux congrès sur la cybersécurité organisés outre-Atlantique, la question majeure du moment est bien de se donner les moyens de s'adapter à la législation européenne pour rester en conformité, et conserver ses clients. Les avantages du Cloud, bien réels, auront ainsi une chance de l'emporter sur ses inconvénients.
Et ces avantages sont nombreux ! Cela commence par le gain d'argent représenté par la possibilité de louer des serveurs ou des logiciels à l'extérieur des locaux des entreprises plutôt que de les acheter ; ou encore le gain représenté par le fait que les mises à jour des systèmes informatiques ne soient plus la responsabilité de l'entreprise, mais des exploitants des serveurs auxquels elle a recours. Plus besoin de mettre son site en maintenance pour effectuer ses mises à jour ou de s'en remettre à de coûteux procédés de redondance. Plus besoin de s'occuper du maintien en condition opérationnelle, de veiller aux vulnérabilités de sécurité : au fournisseur de s'en occuper dans la majeure partie des cas, tandis que le site reste opérationnel 24/24h.
Immenses avantages aussi du côté de la scalabilité : avec la même facilité qu'un utilisateur de Netflix peut choisir d'upgrader ou de downgrader son abonnement d'un mois sur l'autre, il est possible d'effectuer des montées en puissance sans avoir à se poser les laborieuses questions de migration qui impliquaient l'installation de nouveaux serveurs hardwares. La scalabilité gagne également en finesse, les modèles Cloud permettant de suivre la consommation à la demande. À l'inverse, on évite également de payer des ressources inutiles dans le cas d'une diminution des services requis : en un clic, la puissance ou l’usage requis est modifié. Avec son offre Pay As You Go, Stormshield offre par exemple la possibilité d’adapter la consommation de services de sécurité en fonction du volume d’actifs à protéger ou de la puissance de traitement de ses appliances firewall virtuelles.
Un outil collaboratif précieux
Mais c'est surtout en tant qu'outil collaboratif que le Cloud s'impose comme un avantage incontournable des entreprises. Disponibles en situation sédentaire ou de mobilité, ouverts à l’écosystème des entreprises et accessibles depuis n’importe quel terminal, les données et applications hébergées dans le Cloud participent aux échanges, à l’agilité et la performance des organisations qui les utilisent.
Pour sécuriser leurs applications et informations disponibles ainsi partout dans le monde, les responsables de sécurité mettent aujourd'hui en place des niveaux de protection équivalents à ceux de leur périmètre traditionnel, en particulier au moyen de firewall virtuels placés dans l'infrastructure Cloud. Le chiffrement des données stockées en ligne permet également d’assurer une bonne protection de ces dernières. Certes, il peut limiter certaines fonctions de collaboration, mais il prévient tout accès illégitime aux données en cas de compromission du Cloud Provider. Et aussi répondre à la problématique de l’interception des données non désirée par le Cloud Provider (notamment dans le cadre du Cloud Act). Certaines situations peuvent imposer de telles précautions – imaginons par exemple des données liées à une fusion/acquisition de deux entreprises, dont la divulgation accidentelle pourrait favoriser un délit d'initiés et des poursuites judiciaires : si la nécessité de bénéficier d'un accès ubiquitaire à l'information s'impose toujours, mieux vaut alors chiffrer les informations dans le Cloud. Là encore, des solutions existent, telles que Stormshield Data Security for Cloud and Mobility, qui permet aux usagers de chiffrer les données stockées dans des applications externalisées, tout en conservant leurs propres clés de déchiffrement, et de s'affranchir totalement de celles du Cloud Provider. La NSA pourra repasser...
Quelques soient les dispositifs et technologies utilisées, les risques de piratage existeront toujours. Il serait cependant absurde d'éviter à tout prix le Cloud au nom d'une illusoire entreprise fantasmée en sanctuaire, de même que l'on commettrait une erreur en s'imaginant que le méchant loup n'existe pas, et que la forêt d'Internet est un lieu dénué de menaces. À l'heure d'aujourd'hui, une bonne sécurité informatique passe par une connaissance et une analyse des risques liés aux systèmes et applications employés, par la mise en place de mécanismes de protection adaptées, que l’on soit dans le périmètre de l’entreprise ou dans le Cloud. Et à bien peser le pour et le contre d'une éventuelle migration vers le Cloud, on aurait plutôt tendance à laisser le pour l'emporter – moyennant le déploiement des solutions de sécurité adéquates.
