PRISM : les réseaux sociaux face au défi de la confidentialité des données
Les yeux de la NSA sont partout. Même dans de nombreux réseaux sociaux d'entreprise (RSE). Pourquoi ? Toutes les données stockées sur des clouds publics d'entreprises américaines sont concernées (qu'ils soient présents aux Etats-Unis ou pas...), au grand dam de nombreux fournisseurs dont Google, récemment sorti de ses gonds. Mais d'autres sont également sur le grill de la confiance écornée, dont notamment Microsoft ou Salesforce. Un véritable casse-tête pour les entreprises françaises qui voudraient être rassurées sur le fait que la NSA ne puisse pas mettre son nez dans leurs données.
Mais s'émanciper des fournisseurs ne proposant pas une solution de RSE interne au système d'information reste-t-il pour autant un levier suffisant pour rassurer les entreprises françaises ? Rien n'est moins sûr, bien que les éditeurs hexagonaux de RSE ont à ne pas douter une carte à jouer en assurant, et assumant, le fait d'héberger les données stockées dans leurs RSE sur le sol européen et en particulier français.
"Le scandale PRISM devient un problème qui peut entamer la confiance des utilisateurs envers l'ensemble des solutions SaaS. Le phénomène étant accentué par le fait que pour beaucoup d'utilisateurs, le cloud est encore opaque du fait que l'on ne sait pas où sont précisément stockées les données", prévient Erwan Guiziou, directeur du bureau de Strasbourg du cabinet de conseil en management et technologies numériques Voirin.
"PRISM a entamé la confiance des utilisateurs envers le SaaS" (Erwan Guiziou - Voirin)
Dès lors que l'entreprise n'a pas confiance ou ne sait pas où son fournisseur SaaS stocke les données de son réseau social, elle peut aussi s'interroger l'opportunité de revenir à la bonne vieille solution interne (on-premise). Un choix qui peut même sembler se justifier dans un contexte de sécurisation exacerbée des données.
"Si la confidentialité des données fait partie des enjeux de votre projet, alors la maîtrise de votre infrastructure, en version on-premise, semble la piste prioritaire. Les récentes affaires autour du Patriot Act et de Prism ne sont pas rassurantes pour la confidentialité vis-à-vis des éditeurs américains, en particulier avec les solutions Online", explique sur un blog Damien Veler, consultant chez Lecko. "Mais vos données ne sont pas forcément à protéger des autorités, et le développement d'une infrastructure dans vos locaux sera coûteux, pour un résultat qui n'est pas forcément plus sécurisé".
L'open source loin d'être un rempart de sécurité 100% efficace
Les entreprises ont donc bien intérêt à peser le pour et le contre entre (ré)internaliser une solution de RSE ou s'en remettre à un fournisseur SaaS. Sachant que dans le premier cas, il faudra considérer un coût sans doute plus élevé, la maintenance et les évolutions fonctionnelles à assurer, et les fuites possibles d'informations sensibles via du social engineering ou l'extraction volontaire de données.
Reste à voir si l'entreprise n'a pas dès lors plutôt intérêt à se tourner vers une offre on-premise open source pour réduire certains risques (financiers, support...). Une éventualité à considérer, mais une fois encore en connaissance cause.
"Le fait que le code source soit développé par la communauté n'est pas forcément synonyme de sécurité car rien ne garantit que les contributeurs au code ne soient pas des personnes malintentionnées voire des collaborateurs de la NSA prêts à exploiter des vulnérabilités qu'elles ont elles-mêmes conçues", alerte Erwan Guiziou.