Un Cloud computing ouvert aux quatre vents ? Ou de la sécurité

L’aspect ouvert et collaboratif du Cloud Computing, cette nouvelle manière de consommer l’informatique que devront adopter d’ici peu toutes les entreprises, présente-t-il plus de risques qu’un système non mutualisé sur un serveur dédié ?

Si l’on a déjà beaucoup écrit sur la maîtrise des risques de l’infogérance, les conclusions sont  quelquefois contradictoires[1], et si le buzz autour de la sécurité du Cloud intrigue, voire inquiète le grand public, il inquiète aussi le directeur des systèmes d’information (DSI) qui n’a jamais été confronté à l’externalisation. Par ailleurs, la sécurité est l’un des trois domaines de recherche faisant l’objet des appels à projet lancés par le gouvernement dans le cadre du grand emprunt, ce qui démontre que le Cloud Computing présente des enjeux non seulement commerciaux, mais aussi politiques.

Autant de raisons de se pencher sur la sécurité, thème du quatrième atelier organisé sur le Cloud Computing sous l’égide de l’Association pour le développement de l’informatique juridique (ADIJ), lors duquel était intervenu Frédéric Connes, Hervé Schauer Consultants[2].

Confidentialité, intégrité, disponibilité, tels sont les trois aspects – au-delà de la cybercriminalité – que recouvre la sécurité des données.

Les mesurer par des indicateurs, à définir au cas par cas, voici somme toute une démarche très classique. N’a-t-on pas ajouté que « lorsque l’on est capable de sécuriser du on premise[3], on sait sécuriser du Cloud » ? Mais puisqu’il s’agit de « rendre les règles de sécurité du on premise compatibles avec celles des fournisseurs et [que] le match (compatibilité) serait rare », l’opération ne serait finalement pas si aisée que cela.

Le Cloud, ce sont de multiples avantages

Beau paradoxe ! Le Cloud serait finalement plus fiable. Le Cloud démultipliant, en effet, les supports physiques d’une même machine virtuelle, il suffit de changer de machine dès qu’un problème surgit, ce qui offre de meilleures garanties pour l’intégrité et la disponibilité des données[4].

Par ailleurs, si la réplication de données est répartie potentiellement sur plusieurs lieux géographiques, le traitement se fait sur le lieu le plus  proche de l’utilisateur. Quant à l’élasticité, élément emblématique du Cloud, elle permet de s’adapter immédiatement à toute situation et donc d’augmenter instantanément la puissance d’une machine virtuelle, sans avoir besoin de l’arrêter, comme pour les hébergements informatiques classiques.

En outre, puisqu’on loue une machine virtuelle, on n’est plus appelé à se préoccuper du logiciel,  dont la charge de la responsabilité incombe au prestataire.

Des garanties très fortes sont donc facilement données sur la disponibilité[5], mais plus difficilement sur l’intégrité et la confidentialité des données. La fuite de données, en effet se constate généralement a posteriori et l’alerte ne s’applique qu’à des données ou à des faits préalablement définis. On note, en outre, que les outils de sécurisation sont rarement déployés, par ignorance des clients ou en raison de leurs coûts. C’est d’ailleurs bien souvent la nécessité de travailler dans l’urgence qui s’avère être la raison majeure des problèmes de sécurité rencontrés.

… mais aussi des risques

Le risque principal est la perte de maîtrise, celle  du matériel que l’on ne peut plus contrôler, celle des logiciels qui sont imposés et peuvent empêcher de mettre en œuvre certaines mesures de sécurité, et des masters[6] mal sécurisés, voire compromis car présentant des portes dérobées. Le client peut être aussi tenté de se fier à un faux sentiment de sécurité, donné par le marketing du prestataire.

Le client perd également le contrôle sur ses données puisque le prestataire y a potentiellement accès sur ses espaces de stockage, ou lorsque les accès du prestataire sont « compromis ». Lorsqu’il s’agit d’effacer les données (en fonctionnement normal ou enfin de contrat,) rien ne garantit qu’elles le soient  effectivement sur tous les supports existants[7].

Puisqu’il y a partage des ressources de la machine physique pour plusieurs machines virtuelles, liée entre elles par un hyperviseur, il peut y avoir une communication accidentelle entre machines virtuelles pendant un certain temps, même très bref. Si ces problèmes sont liés à l’isolation  du stockage, de la mémoire, des processeurs ou encore du réseau, dans les faits, les failles sont rares et les attaques complexes.

D’autres risques sont liés à l’interface de gestion des services, soit à la manière dont on gère ses comptes dans le Cloud. Des failles dans les outils d’authentification peuvent se traduire par la suppression de serveurs ou de services, des vols de données ou des transferts de services.

Par ailleurs, la migration dans le Cloud peut invalider ou rendre impossible une certification. Dans ce cas, en effet, le prestataire doit autoriser un audit de certification sur ses équipements, ce qui peut s’avérer pour le moins complexe.  Il est tout aussi délicat d’organiser un test d’intrusion en raison du principe de territorialité pour les huissiers et des difficultés liées à l’intégrité d’une copie d’une mise en ligne sur internet. Peut-on faire confiance à l’hyperviseur pour faire une copie ?  Que dire si pour établir un constat les autres machines virtuelles  de clients sont arrêtées et que pour établir son constat, l’huissier « prend tout » ?

Il faut évoquer enfin la  réversibilité (thème de la prochaine réunion), soit l’impossibilité de changer facilement de fournisseur ou de revenir à un hébergement interne en raison de l’absence de normes sur l’interopérabilité et la migration, ce qui peut créer une dépendance forte.

Quelles conséquences pour les  contrats ?

Des exigences en matière de sécurité doivent figurer dans les contrats. Mais s’il s’agit d’assurances, on ne règle, dans ce cas, que la conséquence des problèmes rencontrés.

Si le client peut introduire une exigence de transparence sur les tiers, lui incombe-t-il client de s’assurer de la fiabilité du service proposé par le prestataire ? Oui, semble-t-il, car dans le  Cloud Computing, du moins tel qu’il est envisagé dans les ateliers de l’ADIJ, il s’agit de contrats BtoB, où l’on peut exiger de connaître les composantes d’un service que l’on achète, ne serait-ce  dans ce cas que pour répondre à une obligation de sécurité des données personnelles pour lesquelles des assurances fortes doivent être données.

Par ailleurs,  si des  prestataires peuvent se faire certifier (ex : SAS70), cela n’est pas toujours jugé suffisant et des preuves sur la manière d’assurer la sécurité des données sont également exigées par le client.

Le poids de l’élément humain

Le client est persuadé qu’il court un risque. Mais il est plus exigeant pour autrui que pour lui-même. Le Cloud computing sera perçu comme un avantage lorsque le client sera persuadé que le prestataire (comme ce sera dans les faits souvent le cas) sait mieux gérer les données que lui-même et qu’il lui accordera ainsi la même confiance qu’à ceux qui lui fournissent de l’eau ou de l’électricité.

Il convient de se focaliser uniquement sur ce qui est important ou risqué alors que pour répondre au sentiment d’une perte de contrôle, on tend à avoir plus d‘exigence pour sécuriser le Cloud Computing que le on premise.  Sans doute, mais on note aussi que les prestataires arrivent à une limite des performances exigées en matière de sécurisation dans un domaine, l’informatique, où les nouveautés sont légions.  Dans les faits, la plupart des  accidents déjà notés sont dus majoritairement à une négligence humaine et non à une volonté délibérée de cybercriminels.

Quoi de neuf avec le Cloud ?

S’il y a nouveauté, c’est uniquement dans l’ampleur des faits, et comme sur ce point, « l’imagination sera dépassée »,  l’inquiétude réapparaît. Se pose ainsi la question des usages et des outils autorisés par le  Cloud.  Le Cloud étant ouvert, se tromper de pièce jointe dans un courrier électronique  augmente la gravité des failles de sécurité. Sur un autre registre, si l’autorisation accordée (à des fins juridiques) pour une intrusion touche un seul client, avec le Cloud, l’autorisation du prestataire, peut-être aussi celles de tous les clients potentiellement concernés serait également requise.

Nouveau aussi s’avère être le bouleversement de la chaîne contractuelle traditionnelle puisqu’il y a une cascade  plus longue de droits et de contrats et ce, que l’on opère dans le secteur public ou le secteur privé.

Le poids du dialogue

Les risques existent donc bien. Il serait même possible, comme on vient de le constater, d’en établir un catalogue. Il serait trop tôt, en revanche, pour les quantifier.

Mais les risques seraient liés bien plus à la multiplicité des intervenants qu’à l’apparition de failles nouvelles, à des négligences bien plus qu’à des intrusions volontaires.

Que doit-on imposer pour élever le niveau de  sécurité des prestataires ?  L’élément humain réapparaît à nouveau car il convient surtout aujourd’hui de donner des explications à tous les acteurs du Cloud, pour leur donner la possibilité d’inférer sur ce débat.

Pourquoi ne pas conclure, cette fois-ci, en soulignant que le Cloud computing est un domaine où les juristes jouent un rôle majeur, très en amont, et en collaboration étroite avec les techniciens ?

Illustr. Nuages de vent. Solea 20. CC 2.0 by-nc-sa. Flickr


[1] Si la publication intitulée Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) « tend à faire peur », le Guide ContractuelSaas « Software as service » publié par Syntec Informatique est beaucoup plus rassurant.

[2] Présenta tion ppt à consulter sur le site Hervé Schauer Consultants, présentation ciblée sur la sécurité organisationnelle et non sur les aspects purement techniques. Le compte rendu reprend également certains propos tenus par le public.

[3] On premise : sur site.

[4] Soit de meilleures garanties si l’on fait abstraction des questions liées aux données personnelles qui demandent une attention et un traitement particuliers.

[5] C’est ce qui permet  par exemple, à OVH de proposer une garantie totale depuis quelques semaines et de payer des pénalités dès les premières secondes de retard.

[6] Master : copie principale qui sert à tous les clients.

[7] Il semble très difficile d’utiliser des outils d’effacement réel, qui supposent plusieurs passages.

2 comments

  1. […] This post was mentioned on Twitter by palimpsesto editora, Lourdes Fuentes. Lourdes Fuentes said: Enfin qqn qui parle des pbs de sécurité du cloud computing http://bit.ly/fQ99U1 (Paralipomènes) […]

  2. […] => Un Cloud computing ouvert aux quatre vents ? Ou de la sécurité. 30/01/2011. «L’aspect ouvert et collaboratif du Cloud Computing, cette nouvelle manière de consommer l’informatique que devront adopter d’ici peu toutes les entreprises, présente-t-il plus de risques qu’un système non mutualisé sur un serveur dédié ? (…).» Source : paralipomenes.net/wordpress/archives/3768 […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *