Cloud computing : risques, menaces & vérités
Le cloud computing est un concept consistant à exploiter des solutions ou des services à l’aide de ressources physiques accessibles grâce au Net. Attention car un concept est une représentation générale et souvent abstraite de la réalité. Méfiance.
Ne vous y trompez pas, le mot clé dans la définition donnée plus haut est le mot « physique ». Il résume quasiment à lui seul tout ce qui peut être dit sur le sujet. « Buzzword » ou tendance à l’échelle internationale, le cloud computing est tout sauf une révolution.
Pour bien l’appréhender et prendre les bonnes décisions, il faut en comprendre les principes de fonctionnement et surtout se poser les bonnes questions. Qui sont les acteurs du marché ? Doit-on faire confiance à tout le monde ? Comment choisir la bonne solution ?
Qui sont les acteurs de ce marché ?
On peut grossièrement définir deux catégories de solutions ou d’éditeurs.
D’un côté, certains font « du neuf avec du vieux ». Ils
profitent (ou ont profité) du buzz et surfent sur la vague. Pour cette
catégorie, le cloud computing est un concept uniquement marketing. A grands
renforts de communication, l’offre paraît novatrice et séduit son public. Bien
entendu, cela ne remet pas en question la qualité de l’offre commercialisée.
Belle présentation ne rime pas forcément avec mauvaise solution. Concrètement,
derrière les concepts flous, on retrouve des serveurs et des équipements
physiques qui sont exactement les mêmes que ceux utilisés dans le monde
« hors cloud ». La seule différence est la mutualisation des
ressources qui permet de mettre à disposition le même service à plusieurs
clients, en s’appuyant sur les mêmes équipements physiques.
De l’autre côté, on retrouve les éditeurs dont le métier est
directement lié au cloud. Pour le grand public, le stockage est l’un des
aspects les plus mis en avant. En
ce qui concerne les services ou les solutions de sécurité proposées aux
entreprises, les offres « cloud » sont multiples.
Outre Office 365 (serveur de messagerie et suite bureautique),
les acteurs du marché proposent aujourd’hui des solutions de proxy,
d’authentification forte, d’analyse anti-virus / anti-malware ou encore de wifi
d’entreprise, toutes basées sur le cloud.
Ces solutions sont fiables et peuvent être mises en place, même
dans les environnements les plus critiques. Parfois, elles sont même plus
adaptées que les solutions « classiques » concurrentes. Le principal
est que la solution et l’architecture associée aient été bien pensées et mises
en place par des personnes compétentes sur le sujet.
Doit-on faire confiance à tout le monde ?
En ce qui concerne le stockage et c’est l’une des questions à la
mode quand on parle de cloud, la réponse est « non », sans la moindre
hésitation. Dans l’Internet d’aujourd’hui, « méfiance » reste le
maître mot. Face à l’inconnu, l’utilisateur « lambda » ne doit
surtout pas faire confiance et se renseigner avant de s’engager. Attention,
cela ne veut pas dire qu’il faut refuser systématiquement d’utiliser tout ce
qui touche au cloud.
Les escroqueries en lien avec les nouveautés ont toujours existé
et elles existeront toujours. C’était vrai à l’apparition des cartes bancaires
ou encore des premières adresses email pour le grand public. Qui n’a jamais
reçu un email d’un héritier du pouvoir dans un pays africain promettant une
grosse somme d’argent à quiconque ferait un versement via Western Union ?
La bonne nouvelle, c’est que de nombreuses offres sur le marché
sont matures et peuvent être considérées comme sûres. Difficile d’en dire plus
sans faire de publicité pour telle ou telle offre. Derrière le concept, on retrouve
toujours des équipements et des serveurs physiques. En ce sens, les mécanismes
de sécurisation des données sont sensiblement les mêmes que dans les
environnements « non cloud » et ils ont fait leur preuve.
Gardons simplement en tête que, si les escroqueries existeront toujours, il y aura toujours
de vols de données. C’était vrai dans les environnements physiques (on peut
citer les exemples des RSA et du Ministère des Finances) et cela reste vrai
dans le cloud. Sur ce dernier point, la presse a d’ailleurs révélé il y a
quelques jours que les informations d’authentification vers un compte iCloud
avaient été fournies par Apple à un hacker. Le problème reste donc entier, même
si ce n’est pas forcément perceptible par le grand public.
Comment choisir la bonne solution ?
Choisir la bonne solution, c’est choisir une solution spécifique,
celle qui correspond au type de données dont il est question. Pour choisir la
bonne solution, il faut donc savoir :
* si les données en présence sont
sensibles ou non,
* si elles sont plus en sécurité
localement que dans le cloud.
Les entreprises hébergent (là encore grossièrement) deux types de données : celles qui sont sensibles et celles qui ne le sont pas. Prenons l’exemple d’une société qui souhaite délocaliser son stockage vers le cloud pour une raison quelle qu’elle soit.
Un vol de données sur des documentations techniques ou des études
publiques par exemple est certes ennuyeux s’il y a eu un travail de recherche
et de consolidation en amont. Cependant, il n’est pas critique et ne menace pas
la survie de l’entreprise directement. En revanche, si les informations
concernant les employés (informations personnelles, salaires, etc.) étaient
subtilisées, l’impact pour l’entreprise pourrait être bien plus grave. En ce
sens, adopter la bonne solution, c’est choisir par exemple d’exporter vers le
cloud les données non sensibles pour conserver « localement » celles
qui le sont.
Ce raisonnement est valable dans le cas où les données sont
sécurisées en interne. Et ce n’est pas toujours le cas... Bien entendu, dans un
grand groupe ou dans une société ou il existe une vraie culture de la sécurité
informatique, la question ne se pose pas. En revanche, une PME ne dispose pas
forcément des ressources nécessaires pour sécuriser ses données. En effet, pour
le néophyte, les données sont certainement plus sécurisées chez un spécialiste
bien que « dans le cloud », plutôt que sur un disque dur externe
connecté à un ordinateur personnel.
Nombreux sont ceux qui hésitent aujourd’hui : adopter le
stockage dans le cloud ou rester en environnement de confiance et se fier aux
solutions historiques éprouvées en interne ? Si la tendance venait à se
généraliser demain, une certaine forme de centralisation verrait forcément le
jour. Ces zones de centralisation deviendront à leur tour des cibles
privilégiées pour les attaques, qu’elles soient ciblées ou non. D’autant que de
plus en plus de services en mode cloud proposent une authentification
« fédérée », c’est à dire qui va être partagée par plusieurs services
en ligne. Il suffit à un attaquant de trouver un identifiant et un mot de passe
pour accéder à tous les services en ligne : CRM, partage de fichiers, mails,
suite bureautique,…
Les attaquants ont changé leurs méthodes : ils disposent de
plus de moyens, mais prennent aussi plus de temps pour ne pas se faire repérer.
Les attaques elles sont plus ciblées et spécifiques : on s’attache avant
tout à un élément précis. Preuves en sont les derniers vols de comptes sur
quelques services de cloud ou autres grands portails.
Face à cela, les solutions de sécurité évoluent à leur tour, en
témoigne notamment la récente évolution proposée par Dropbox. Mais il va
falloir aussi adapter les politiques de sécurité des entreprises, et faire
évoluer les moyens de traçabilité et de détection d’attaques plus évoluées, les
fameuses APT (Advanced Persistent Threat). Telles sont les règles du jeu dans
un cercle vicieux qui n’est pas prêt de s’enrayer.