Cloud computing et vulnérabilité des données
Face à l’augmentation constante des données publiques et privées à gérer, des entreprises technologiques sont venues apporter des solutions aux organisations publiques et privées, confrontées à plusieurs problématiques liées à cette gestion.
De longue date, des logiciels et applications performantes sont proposés aux sociétés privées et aux personnes publiques pour faciliter la gestion de leurs ressources. Ce modèle reposant sur l’acquisition d’un droit d’exploiter le logiciel dans le respect des droits de propriété intellectuelle est progressivement concurrencé aujourd’hui par l’émergence du Cloud computing.
C’est qu’en effet, le
développement de la société de l’information et d’une informatique qui repose
désormais beaucoup plus sur les réseaux et l’Internet, crée des besoins plus
grands en termes d’interopérabilité et de sécurisation des données.
Concrètement, les attentes
exprimées par les entreprises sont multiples. Elles souhaitent réduire les
dépenses et l’investissement humain consacrés à l’informatique et disposer
d’une plus grande accessibilité à leurs données, en permettant par exemple à
des collaborateurs d’accéder depuis l’extérieur à toutes les données et
applications de la société.
Les entreprises et administrations
publiques quant à elles demandent principalement une meilleure sécurisation des
données qu’elles exploitent ainsi qu’une accessibilité plus souple. L’ouverture
et la réutilisation des données publiques ne viennent pas remettre en cause ce
besoin de sécurisation et cette nécessité de stocker les données : la
question de la conservation des données étant différente de celle de leur
ouverture et réutilisation.
Le Cloud computing semble a
priori répondre à ces multiples demandes. L’expression est anglo-saxonne, elle
est habituellement traduite par celle de « informatique dans les
nuages ». L’informatique et les nuages, voilà une association plutôt
surprenante. Selon certains, l’utilisation du terme « cloud » (nuage)
signifierait que l’ensemble des données est protégée sous un voile brumeux qui
empêche les tiers d’y accéder.
Dans son principe, le Cloud
computing est relativement simple puisqu’il s’apparente à une externalisation
des données des entreprises ou des personnes publiques vers des centres où se
trouvent des serveurs gérés par des sociétés privées. Les entreprises ne
stockent plus leurs données et applications dans leurs propres serveurs et
ordinateurs mais en confient la garde à un professionnel dont c’est l’expertise.
En réalité ces données sont déplacées vers l’Internet, c’est ce qui fait
l’originalité du Cloud computing (déport
vers le nuage Internet) par rapport aux logiciels classiques et qui permet
leur plus grande accessibilité en cas de demande.
Le marché offre différentes
formes de Cloud computing : hébergement d’infrastructures ou
« Iaas » en anglais, la fourniture de plateformes de
développement ou des logiciels en ligne
(SaaS en anglais, Software as a Service).
Ces différentes offres sont attractives tant sur le plan financier que sur
celui de la performance.
Juridiquement, c’est le
fournisseur du Cloud computing qui est responsable du stockage comme le
rappelle la CNIL dans un communiqué du 25 juin 2012 relatif au Cloud computing.
Cependant, le cadre juridique reste encore à clarifier et beaucoup de questions
juridiques restent sans réponse à ce jour, notamment celles de la qualification
du prestataire et de la loi applicable (conflit
de loi dans l’espace).
En effet, l’acteur majeur dans ce domaine reste Amazon, lequel dispose de plus de 500.000 serveurs dont 50.000 sont situés à Dublin. La France a commencé à s’impliquer dans le Cloud computing au travers d’abord de petites PME informatiques spécialisées dans l’architecture de stockage, avant que le gouvernement s’y implique avec le projet Andromède en 2009. Ce projet visait à préserver la souveraineté des données des entreprises françaises en assurant leur hébergement en France. Ainsi, deux fournisseurs de Cloud computing, Cloudwatt et Numergy, ont vu le jour grâce notamment aux efforts de SFR et Orange, avec l’appui financier de l’Etat.
La France a beaucoup tardé à
s’investir dans le Cloud computing selon les experts alors que les analystes
tels que Gartner ou Forrester, spécialistes du conseil en technologie, ont prédit
un taux de croissance d’environ 35% pour ce marché, entre 2010 et 2015, soit
une croissance permettant de passer de 3.3 milliards à 15 milliards d’euros.
D’ailleurs, c’est faute de n’avoir
pas trouvé d’offre adéquate de sociétés françaises, que le Conseil régional de
Bretagne vient de signer un contrat de Cloud computing avec Amazon, seul à même
de répondre à ses exigences en matière de stockage de données.
Les appréhensions vis-à-vis du Cloud computing
Le retard pris par la France dans ce domaine peut d’ailleurs s’expliquer par la pauvreté de l’offre actuelle en direction des entreprises et des personnes publiques. Cependant, d’autres explications existent.
Il ressort d’études menées par des cabinets indépendants que si les entreprises hésitent encore à recourir au Cloud computing c’est essentiellement pour des problèmes de confidentialité de leurs données. Constitue également un frein le fait de dépendre d’une personne extérieure à l’entreprise pour l’accès à ses propres données. Plus généralement, les entreprises appréhendent le Cloud computing parce que la relation juridique ne suscite pas encore leur confiance. Pour y remédier il conviendrait notamment d’améliorer l’aspect contractualisation dans l’opération du Cloud computing car il est bien connu que les entreprises redoutent l’insécurité juridique.
Les avertissements de l’Agence européenne en charge de la sécurité des réseaux (ENISA)
En marge de ces freins, à dimension réduite, l’Agence européenne de sécurité des réseaux et de l’information, a montré du doigt les risques globaux du Cloud computing. Dans un document de 30 pages délivré en décembre 2012, l’Agence met en garde contre le risque d’une concentration à outrance des données.
L’Agence reprend ainsi la même
recommandation déjà faite dans son rapport de 2009 où elle
avertissait que : « la
concentration à outrance des données constitue une cible privilégiée pour un
agresseur ».
Aujourd’hui, l’Agence admet que
la concentration des ressources, comme le pratique Amazon, Facebook ou Google,
est « une lame à double tranchant ».
D’un côté, les fournisseurs de Cloud computing assurent une sécurité maximale
aux données du fait des protocoles de contrôle et permettent par ailleurs de
mutualiser les coûts de stockages entre un grand nombre de clients, d’un autre
côté, en cas de survenance d’un fait majeur ou d’une faille dans la sécurité,
les conséquences seront incommensurables du fait de la concentration des
données.
L’Agence cite plusieurs exemples
de risques : les catastrophes naturelles, telles les inondations
auxquelles les centres où sont situés les serveurs sont exposés, les coupures
de courant ou encore les cybers attaques qui peuvent provoquer un déni de
service c’est-à-dire rendre indisponible les services.
Tous ces phénomènes
doivent donc être pris en considération par les professionnels du Cloud
computing.