La sécurité du cloud
Pour faire écho à mon intervention récente chez DEMOS sur la sécurité du cloud et à la veille de la diffusion des bonnes pratiques de la part de l'ANSSI, voici quelques réflexions à ce sujet:
Il y a de nombreuses offres de cloud sur le marché maintenant, mais il y a un manque d'informations sur les risques spécifiques par rapport à une solution d'hébergement classique ou une informatique interne.
Bien entendu tous les fournisseurs de cloud revendiquent une grande sécurité, un peu comme tous les supermarchés disent qu'ils sont les moins chers… Comme il y a quelques menteurs, voici des clefs pour apprécier le niveau réel de service et de sécurité, tout en bénéficiant de prix compétitifs.
Il faut tout d'abord regarder les clauses contractuelles: Vous devez trouver une phrase du genre: "Le client reste propriétaire et souverain sur ses données". Celles-ci ne peuvent être revendues, réutilisées ou compilées à des fins marketing." Si cette phrase n'existe pas, vous avez à faire à un modèle économique qui "échange" le traitement, l'indexation et le commerce de données avec un hébergement gratuit ou quasi gratuit. Pour avoir la pleine propriété de vos données, vous devez y mettre le prix. Notez que certaines données comme les données personnelles de vos employés ou bien les données médicales, ne peuvent en aucun cas faire partie d'un hébergement quasi gratuit, non maîtrisé dans ce domaine.
Du coup, vous devez avoir une deuxième clause contractuelle très claire: la possibilité de revenir en arrière, d'annuler le contrat et de récupérer vos données par simple demande. Notez bien que d'un point de vue juridique la plupart des contrats sont "asymétriques", c'est à dire que vous achetez le service proposé "as is" (tel quel), sans possibilité de changer les termes du contrat. Il en va de même lorsque vous souscrivez un service de fourniture d'électricité, d'eau ou de colisage postal ou encore d'une assurance. Seules de très grosses entités peuvent modifier les termes du contrat, en opposant des conditions générales d'achat aux conditions générales de ventes du fournisseur. SI vous n'êtes pas une très grosse entité dotée d'un service juridique, vous devrez vous contenter de prendre le contrat tel quel. Aussi, il ne vous reste comme possibilité que de regarder ce qui vous est proposé contractuellement.
Une autre clause contractuelle que j'aimerais voir le plus possible est "la traçabilité des données et des traitements": Il est important de savoir où se trouvent physiquement vos données et dans quel pays elles sont traitées (dans le cas d'un SaaS – Software as a service, comme Salesforce ou Office 360). Cette "souveraineté" des données permettra de faire appliquer pleinement la Loi nationale, car je vous rappelle qu'une Loi ne s'applique que dans le pays souverain qui l'a promulguée. C'est un véritable casse-tête juridique, lorsque le client est en France, les données en Lituanie et le traitement au Groenland…(j'oubliais les sauvegardes au Pakistan 😉
Alors que l'intérêt du fournisseur est d'aller dans les pays où l’hébergement et la main d'oeuvre sont meilleur marché, notre intérêt est de pouvoir localiser avec certitude les données en France, ou au moins en Europe. Cette clause, forcément va rendre le cloud plus cher mais c'est à mon avis, la clause la plus intéressante pour maîtriser l'information de manière "souveraine". Là encore, il ne suffira pas au fournisseur de le déclarer, il faudra qu'il le prouve, sinon, nous risquons les mêmes déconvenues qu'avec les filières alimentaires…
Il est important également de disposer d'une clause de transfert d'un fournisseur à un autre avec un minimum de démarches et de contraintes. On a vu comment les banques freinaient ce genre de possibilités avec l'application de frais exorbitants, jusqu'à l'apparition des banques en ligne. Ne commettons pas la même erreur avec le cloud: Le vendor "lock-in" doit être cassé dès le contrat initial en prévoyant toutes les possibilités de sortie: simples et sans frais.
Si malgré tout, le (gros) fournisseur de cloud cherche à piéger des milliers de clients dans un contrat incompréhensible et "léonin", il existe maintenant la possibilité d'actions de "recours collectif", qui seraient particulièrement efficaces dans ce type de situation.
http://fr.wikipedia.org/wiki/Recours_collectif (source Wikipedia)
Bien que la plupart des critères de sécurité se trouvent dans le contrat entre le fournisseur et vous, il existe quelques paramètres à intégrer en plus, avant de vous lancer dans le cloud:
– la connexion internet doit être rapide et irréprochable. SI vous avez sans arrêt des coupures et des dysfonctionnement, résolvez-les d'abord !
–vous ne devez pas travailler dans un secteur hautement concurrentiel ou qui détient des données sensibles de sécurité nationale, directement ou indirectement. En effet, vous pouvez considérer -et merci à Edward Snowden qui nous a parfaitement éclairés sur ce point- que ces données seront lues et analysées par la NSA et d’autres services de renseignement. Mais, bon, si vous vendez des essuie-glaces ou des chocolats , c'est un peu parano alors…
–vous devez également organiser votre travail pour qu'en cas de coupure avec le cloud vous puissiez quand même travailler de manière dégradée en local; Notamment, si votre base clients est sur le cloud, demandez-vous quelles activités vous pourriez faire si celle-ci était indisponible pendant plusieurs heures: Prévoyez des modes de fonctionnement avec des smartphones ou des tablettes connectées à Internet, ou bien des fichiers en local.
Ce qui manque, à mon avis, dans l’offre du cloud c'est une "security box" au sens où la box ADSL qui équipe la plupart des TPE-PME fait transiter des données mais ne bloque pas tellement les attaques, les virus et les spams. Il faudrait que la box ADSL "traditionnelle" se dote de fonctions de sécurité, de manière à ce que la TPE-PME ait une chaîne de confiance absolue entre ses ordinateurs et les services du cloud. Cette offre, ne peut provenir que d'un opérateur télécoms qui s'allie avec un ou plusieurs fournisseurs de sécurité.
Au final, la balance économique du cloud est très favorable pour une PME ou une TPE d'aller sur le cloud. Il suffira de prendre les quelques précautions et vous voilà dans le "cloud souverain et sécurisé" .