A première vue, le « Cloud computing », en rendant l'informatique simple et peu coûteuse, n'a que des avantages. Mais attention aux mirages, expliquent Bruno Hamon et Christophe D'ARCY, spécialistes du management de la sécurité de l'information *. Il convient de prendre quelques précautions afin d'éviter de mettre en péril le patrimoine informationnel de l'entreprise lors du transfert « dans les nuages ». Quelques conseils pour garder...les pieds sur Terre !
Le « Cloud Computing » -ou « Informatique en Nuage » -propose de disposer de ressources informatiques -espace de stockage, plate-forme d'intégration, solution logicielle complète -« à la demande » : l'offre, disponible partout et à tout moment, est alors entièrement adaptée et calibrée en fonction des besoins utilisateurs. Pour les directions informatiques soumises à des demandes toujours plus fortes de réduction des coûts et, a contrario, à une flexibilité extrême due entre autres à l'hyper-mobilité, le Cloud Computing semble la réponse idéale. Nombre d'entreprises se lancent donc vers cet Eldorado où l'informatique n'est plus une contrainte et où tout semble fonctionner parfaitement à un coût optimisé.
Protéger son patrimoine informationnel
Pourtant, prudence. On ne peut « consommer » des ressources et des services informatiques comme on consomme de l'eau ou de l'électricité! Le système d'information d'une entreprise renferme en effet une partie importante de sa valeur : son patrimoine informationnel. La plus grande vigilance reste donc de mise lorsqu'on décide d'en transférer une partie dans le « Nuage ». La baisse des coûts d'exploitation et la rapidité de mise en service sont souvent les pires ennemis de la sécurité informatique et c'est pourquoi cette dernière devient la préoccupation principale des directeurs informatiques lors du passage au Cloud. Les technologies traditionnelles (détection d'intrusion, chiffrage, gestion des identités et des droits d'accès) doivent donc y être implantées avec encore plus de rigueur.
Attention, nuage « mondial » !
Mais il faut aussi être particulièrement attentif à bien d'autres préoccupations. Ainsi, selon la nature des données transférées dans le Cloud, il conviendra de vérifier les exigences contractuelles et juridiques associées à ces données et tout particulièrement sur leur lieu de stockage. En effet, l'infrastructure de l'opérateur sera le plus souvent implantée dans plusieurs pays et les législations à l'égard de la protection des données peuvent y être bien différentes de celles pratiquées en France et en Europe. Aux Etats-Unis, par exemple, les opérateurs (Facebook, Google, Amazon) sont tenus de laisser accès aux autorités pour des raisons de sécurité intérieure.
Si la disponibilité des services est présentée comme maximale par l'opérateur, il s'agira également d'en étudier les éléments contractuels. Il faudra bien insister sur le taux de disponibilité quotidien, la résilience des installations, la continuité des opérations en cas de défaillance et les éventuelles pénalités en cas de manquement aux engagements. Les référentiels de sécurité devront être respectés. Mais chaque client ne pouvant effectuer ses propres vérifications, l'opérateur devra être capable de présenter des rapports d'audit réguliers, effectués par des cabinets reconnus et indépendants.
Prendre garde aux « hackers »
La sécurité des données est évidemment un élément primordial de ce mode de fonctionnement. En tant que concentration de multitudes d'organisations, l'opérateur Cloud devient un « SPOH » (Single Point of Hacking), cible privilégiée des pirates pour un déni de service majeur, ou un vol d'informations. Comment s'assurer qu'un client vulnérable ne devient pas une porte d'entrée vers les autres clients de l'opérateur ? Qu'est-ce qui garantit que les employés de l'opérateur n'ont pas accès aux données des clients ? De la même manière, qu'est-ce qui garantit que les données seront restituées puis effacées dans leur intégralité en fin de contrat ? Autant de questions correspondant à autant de risques à mesurer avant toute opération de transfert dans le Cloud. Le risque étant démultiplié en cas d'empilement des opérateurs, il s'agira donc de vérifier si l'opérateur ne sous-traite pas lui-même à d'autres opérateurs du Nuage.
Des vulnérabilités pendant le transfert
Une fois la décision prise, les phases de transition génèrent inévitablement des vulnérabilités. L'initialisation du service nécessitera le transfert d'un volume important de données, opération pendant laquelle elles peuvent transiter par des circuits non sécurisés (transfert électronique, ou bien transfert physique de médias de sauvegardes). Pour limiter le risque, il s'agira d'abord de bien comprendre la finalité du passage au Cloud pour une organisation :
•Transformation de l'infrastructure informatique
•Services informatiques pour soutenir des projets isolés, à portée et budget limités
•Applications auxquelles les utilisateurs accèdent en tant que services
•Transformation de l'entreprise ayant un fort impact organisationnel et budgétaire
La sécurité des données et la réglementation restent l'ultime responsabilité de l'entreprise. Le passage au Cloud nécessite donc, en amont, une analyse très fine de l'ensemble des informations. Il conviendra d'établir une classification préalable de ces données par sensibilité, risque de fuite, contraintes contractuelles et juridiques afin de déterminer la possibilité de les transférer ou de les gérer dans le Cloud. Ce travail n'est ni plus ni moins que la première étape d'un projet de Prévention de la Fuite d'Information, ou DLP (Data Leak Prevention).
* Bruno Hamon et Christophe D'ARCY sont tous deux fondateurs et Directeurs associés du cabinet MIRCA (management de l'information). Bruno Hamon anime le nouveau groupe de travail sur la Prévention de l'Information à l'AFNOR.
Aucun commentaire:
Enregistrer un commentaire