Cloud computing : risques, menaces & vérités

Le cloud computing est un concept consistant à exploiter des solutions ou des services à l’aide de ressources physiques accessibles grâce au Net. Attention car un concept est une représentation générale et souvent abstraite de la réalité. Méfiance.

Ne vous y trompez pas, le mot clé dans la définition donnée plus haut est le mot « physique ». Il résume quasiment à lui seul tout ce qui peut être dit sur le sujet. « Buzzword » ou tendance à l’échelle internationale, le cloud computing est tout sauf une révolution.
Pour bien l’appréhender et prendre les bonnes décisions, il faut en comprendre les principes de fonctionnement et surtout se poser les bonnes questions. Qui sont les acteurs du marché ? Doit-on faire confiance à tout le monde ? Comment choisir la bonne solution ?

Qui sont les acteurs de ce marché ?

On peut grossièrement définir deux catégories de solutions ou d’éditeurs.

D’un côté, certains font « du neuf avec du vieux ». Ils profitent (ou ont profité) du buzz et surfent sur la vague. Pour cette catégorie, le cloud computing est un concept uniquement marketing. A grands renforts de communication, l’offre paraît novatrice et séduit son public. Bien entendu, cela ne remet pas en question la qualité de l’offre commercialisée. Belle présentation ne rime pas forcément avec mauvaise solution. Concrètement, derrière les concepts flous, on retrouve des serveurs et des équipements physiques qui sont exactement les mêmes que ceux utilisés dans le monde « hors cloud ». La seule différence est la mutualisation des ressources qui permet de mettre à disposition le même service à plusieurs clients, en s’appuyant sur les mêmes équipements physiques.
De l’autre côté, on retrouve les éditeurs dont le métier est directement lié au cloud. Pour le grand public, le stockage est l’un des aspects les plus mis en avant.  En ce qui concerne les services ou les solutions de sécurité proposées aux entreprises, les offres « cloud » sont multiples.

Outre Office 365 (serveur de messagerie et suite bureautique), les acteurs du marché proposent aujourd’hui des solutions de proxy, d’authentification forte, d’analyse anti-virus / anti-malware ou encore de wifi d’entreprise, toutes basées sur le cloud.
Ces solutions sont fiables et peuvent être mises en place, même dans les environnements les plus critiques. Parfois, elles sont même plus adaptées que les solutions « classiques » concurrentes. Le principal est que la solution et l’architecture associée aient été bien pensées et mises en place par des personnes compétentes sur le sujet.

Doit-on faire confiance  à tout le monde ? 

En ce qui concerne le stockage et c’est l’une des questions à la mode quand on parle de cloud, la réponse est « non », sans la moindre hésitation. Dans l’Internet d’aujourd’hui, « méfiance » reste le maître mot. Face à l’inconnu, l’utilisateur « lambda » ne doit surtout pas faire confiance et se renseigner avant de s’engager. Attention, cela ne veut pas dire qu’il faut refuser systématiquement d’utiliser tout ce qui touche au cloud.
Les escroqueries en lien avec les nouveautés ont toujours existé et elles existeront toujours. C’était vrai à l’apparition des cartes bancaires ou encore des premières adresses email pour le grand public. Qui n’a jamais reçu un email d’un héritier du pouvoir dans un pays africain promettant une grosse somme d’argent à quiconque ferait un versement via Western Union ?
La bonne nouvelle, c’est que de nombreuses offres sur le marché sont matures et peuvent être considérées comme sûres. Difficile d’en dire plus sans faire de publicité pour telle ou telle offre. Derrière le concept, on retrouve toujours des équipements et des serveurs physiques. En ce sens, les mécanismes de sécurisation des données sont sensiblement les mêmes que dans les environnements « non cloud » et ils ont fait leur preuve.
Gardons simplement en tête que, si les escroqueries existeront toujours, il y aura toujours de vols de données. C’était vrai dans les environnements physiques (on peut citer les exemples des RSA et du Ministère des Finances) et cela reste vrai dans le cloud. Sur ce dernier point, la presse a d’ailleurs révélé il y a quelques jours que les informations d’authentification vers un compte iCloud avaient été fournies par Apple à un hacker. Le problème reste donc entier, même si ce n’est pas forcément perceptible par le grand public.

Comment choisir la bonne solution ?

Choisir la bonne solution, c’est choisir une solution spécifique, celle qui correspond au type de données dont il est question. Pour choisir la bonne solution, il faut donc savoir :
* si les données en présence sont sensibles ou non,
* si elles sont plus en sécurité localement que dans le cloud.

Les entreprises hébergent (là encore grossièrement) deux types de données : celles qui sont sensibles et celles qui ne le sont pas. Prenons l’exemple d’une société qui souhaite délocaliser son stockage vers le cloud pour une raison quelle qu’elle soit.

Un vol de données sur des documentations techniques ou des études publiques par exemple est certes ennuyeux s’il y a eu un travail de recherche et de consolidation en amont. Cependant, il n’est pas critique et ne menace pas la survie de l’entreprise directement. En revanche, si les informations concernant les employés (informations personnelles, salaires, etc.) étaient subtilisées, l’impact pour l’entreprise pourrait être bien plus grave. En ce sens, adopter la bonne solution, c’est choisir par exemple d’exporter vers le cloud les données non sensibles pour conserver « localement » celles qui le sont.
Ce raisonnement est valable dans le cas où les données sont sécurisées en interne. Et ce n’est pas toujours le cas... Bien entendu, dans un grand groupe ou dans une société ou il existe une vraie culture de la sécurité informatique, la question ne se pose pas. En revanche, une PME ne dispose pas forcément des ressources nécessaires pour sécuriser ses données. En effet, pour le néophyte, les données sont certainement plus sécurisées chez un spécialiste bien que « dans le cloud », plutôt que sur un disque dur externe connecté à un ordinateur personnel.

Nombreux sont ceux qui hésitent aujourd’hui : adopter le stockage dans le cloud ou rester en environnement de confiance et se fier aux solutions historiques éprouvées en interne ? Si la tendance venait à se généraliser demain, une certaine forme de centralisation verrait forcément le jour. Ces zones de centralisation deviendront à leur tour des cibles privilégiées pour les attaques, qu’elles soient ciblées ou non. D’autant que de plus en plus de services en mode cloud proposent une authentification « fédérée », c’est à dire qui va être partagée par plusieurs services en ligne. Il suffit à un attaquant de trouver un identifiant et un mot de passe pour accéder à tous les services en ligne : CRM, partage de fichiers, mails, suite bureautique,…
Les attaquants ont changé leurs méthodes : ils disposent de plus de moyens, mais prennent aussi plus de temps pour ne pas se faire repérer. Les attaques elles sont plus ciblées et spécifiques : on s’attache avant tout à un élément précis. Preuves en sont les derniers vols de comptes sur quelques services de cloud ou autres grands portails. 
Face à cela, les solutions de sécurité évoluent à leur tour, en témoigne notamment la récente évolution proposée par Dropbox. Mais il va falloir aussi adapter les politiques de sécurité des entreprises, et faire évoluer les moyens de traçabilité et de détection d’attaques plus évoluées, les fameuses APT (Advanced Persistent Threat). Telles sont les règles du jeu dans un cercle vicieux qui n’est pas prêt de s’enrayer.