Cloud computing et vulnérabilité des données

Face à l’augmentation constante des données publiques et privées à gérer, des entreprises technologiques sont venues apporter des solutions aux organisations publiques et privées, confrontées à plusieurs problématiques liées à cette gestion.

De longue date, des logiciels et applications performantes sont proposés aux sociétés privées et aux personnes publiques pour faciliter la gestion de leurs ressources. Ce modèle reposant sur l’acquisition d’un droit d’exploiter le logiciel dans le respect des droits de propriété intellectuelle est progressivement concurrencé aujourd’hui par l’émergence du Cloud computing.
C’est qu’en effet, le développement de la société de l’information et d’une informatique qui repose désormais beaucoup plus sur les réseaux et l’Internet, crée des besoins plus grands en termes d’interopérabilité et de sécurisation des données.
Concrètement, les attentes exprimées par les entreprises sont multiples. Elles souhaitent réduire les dépenses et l’investissement humain consacrés à l’informatique et disposer d’une plus grande accessibilité à leurs données, en permettant par exemple à des collaborateurs d’accéder depuis l’extérieur à toutes les données et applications de la société.

Les entreprises et administrations publiques quant à elles demandent principalement une meilleure sécurisation des données qu’elles exploitent ainsi qu’une accessibilité plus souple. L’ouverture et la réutilisation des données publiques ne viennent pas remettre en cause ce besoin de sécurisation et cette nécessité de stocker les données : la question de la conservation des données étant différente de celle de leur ouverture et réutilisation.
Le Cloud computing semble a priori répondre à ces multiples demandes. L’expression est anglo-saxonne, elle est habituellement traduite par celle de « informatique dans les nuages ». L’informatique et les nuages, voilà une association plutôt surprenante. Selon certains, l’utilisation du terme « cloud » (nuage) signifierait que l’ensemble des données est protégée sous un voile brumeux qui empêche les tiers d’y accéder.

Dans son principe, le Cloud computing est relativement simple puisqu’il s’apparente à une externalisation des données des entreprises ou des personnes publiques vers des centres où se trouvent des serveurs gérés par des sociétés privées. Les entreprises ne stockent plus leurs données et applications dans leurs propres serveurs et ordinateurs mais en confient la garde à un professionnel dont c’est l’expertise. En réalité ces données sont déplacées vers l’Internet, c’est ce qui fait l’originalité du Cloud computing (déport vers le nuage Internet) par rapport aux logiciels classiques et qui permet leur plus grande accessibilité en cas de demande.
Le marché offre différentes formes de Cloud computing : hébergement d’infrastructures ou « Iaas » en anglais, la fourniture de plateformes de développement  ou des logiciels en ligne (SaaS en anglais, Software as a Service). Ces différentes offres sont attractives tant sur le plan financier que sur celui de la performance.
Juridiquement, c’est le fournisseur du Cloud computing qui est responsable du stockage comme le rappelle la CNIL dans un communiqué du 25 juin 2012 relatif au Cloud computing. Cependant, le cadre juridique reste encore à clarifier et beaucoup de questions juridiques restent sans réponse à ce jour, notamment celles de la qualification du prestataire et de la loi applicable (conflit de loi dans l’espace).

En effet, l’acteur majeur dans ce domaine reste Amazon, lequel dispose de plus de 500.000 serveurs dont 50.000 sont situés à Dublin. La France a commencé à s’impliquer dans le Cloud computing au travers d’abord de petites PME informatiques spécialisées dans l’architecture de stockage, avant que le gouvernement s’y implique avec le projet Andromède en 2009. Ce projet visait à préserver la souveraineté des données des entreprises françaises en assurant leur hébergement en France. Ainsi, deux fournisseurs de Cloud computing, Cloudwatt et Numergy, ont vu le jour grâce notamment aux efforts de SFR et Orange, avec l’appui financier de l’Etat.

La France a beaucoup tardé à s’investir dans le Cloud computing selon les experts alors que les analystes tels que Gartner ou Forrester, spécialistes du conseil en technologie, ont prédit un taux de croissance d’environ 35% pour ce marché, entre 2010 et 2015, soit une croissance permettant de passer de 3.3 milliards à 15 milliards d’euros.
D’ailleurs, c’est faute de n’avoir pas trouvé d’offre adéquate de sociétés françaises, que le Conseil régional de Bretagne vient de signer un contrat de Cloud computing avec Amazon, seul à même de répondre à ses exigences en matière de stockage de données.

Les appréhensions vis-à-vis du Cloud computing

Le retard pris par la France dans ce domaine peut d’ailleurs s’expliquer par la pauvreté de l’offre actuelle en direction des entreprises et des personnes publiques. Cependant, d’autres explications existent.

Il ressort d’études menées par des cabinets indépendants que si les entreprises hésitent encore à recourir au Cloud computing c’est essentiellement pour des problèmes de confidentialité de leurs données. Constitue également un frein le fait de dépendre d’une personne extérieure à l’entreprise pour l’accès à ses propres données. Plus généralement, les entreprises appréhendent le Cloud computing parce que la relation juridique ne suscite pas encore leur confiance. Pour y remédier il conviendrait notamment d’améliorer l’aspect contractualisation dans l’opération du Cloud computing car il est bien connu que les entreprises redoutent l’insécurité juridique.

Les avertissements de l’Agence européenne en charge de la sécurité des réseaux (ENISA)

En marge de ces freins, à dimension réduite, l’Agence européenne de sécurité des réseaux et de l’information, a montré du doigt les risques globaux du Cloud computing. Dans un document de 30 pages délivré en décembre 2012, l’Agence met en garde contre le risque d’une concentration à outrance des données.

L’Agence reprend ainsi la même recommandation déjà faite dans son rapport de 2009 où elle avertissait que : « la concentration à outrance des données constitue une cible privilégiée pour un agresseur ».
Aujourd’hui, l’Agence admet que la concentration des ressources, comme le pratique Amazon, Facebook ou Google, est « une lame à double tranchant ». D’un côté, les fournisseurs de Cloud computing assurent une sécurité maximale aux données du fait des protocoles de contrôle et permettent par ailleurs de mutualiser les coûts de stockages entre un grand nombre de clients, d’un autre côté, en cas de survenance d’un fait majeur ou d’une faille dans la sécurité, les conséquences seront incommensurables du fait de la concentration des données.

L’Agence cite plusieurs exemples de risques : les catastrophes naturelles, telles les inondations auxquelles les centres où sont situés les serveurs sont exposés, les coupures de courant ou encore les cybers attaques qui peuvent provoquer un déni de service c’est-à-dire rendre indisponible les services.
Tous ces phénomènes doivent donc être pris en considération par les professionnels du Cloud computing.