Sécurité et Cloud : gérer le risque

Une étude récente conduite auprès de 300 DSI a même conclu que pour 78 % d’entre eux, la sécurité est le principal obstacle à leur migration dans le Cloud, notamment dans le Cloud public. Portée par sa flexibilité et son évolutivité, l’utilisation du Cloud en entreprises progresse cependant. Cette croissance s’accompagne t-elle pour autant d’une sécurité suffisante ?

Sécurité et Cloud : gérer le risque

Cette question rappelle l’une des problématiques rencontrées lors de nombreuses présentations traitant de la sécurité : quelle est la définition d’un niveau de sécurité « suffisant » ? Le qualifier demande un travail approfondi. Malheureusement, avec les trop nombreuses ‘check lists’ de vérification de la sécurité existante, il est tentant de suivre aveuglément ces conseils. C’est exactement ce qu’il ne faut pas faire.

Toute décision en matière de sécurité implique un certain degré de compromis. Pour être en sécurité dans le Cloud, il faut abandonner une forme de contrôle classique pour une autre. Le contrôle classique de la sécurité est basé sur l’emplacement : si vous savez où se trouve une donnée et que vous en avez la propriété effective, alors cette donnée est probablement en sécurité. Si vous ne savez pas où elle est et que sa propriété semble être du ressort de quelqu’un d’autre, alors elle n’est probablement pas en sécurité.

Dans le Cloud, le concept de sécurité basé sur l’emplacement n’existe plus

Vous ne savez plus où se trouvent exactement vos données (immeuble, salle, rack, unité, disque). Et c’est une bonne chose ! Quelqu’un d’autre s’en charge. Quelqu’un qui dispose d’un budget supérieur et de personnel dédié et plus qualifié pour protéger vos données contre les attaques, contre la concurrence et contre le fournisseur du service lui-même. Est-ce que cela signifie que pour bénéficier des promesses du cloud computing vous devez abandonner toute sécurité ?

Non. Le compromis réside dans le fait de changer votre vision du contrôle. Vous abandonnez le contrôle basé sur l’emplacement au profit d’un nouveau modèle, qui s’appuie sur des contrats de niveau de services, des normes vérifiables de sécurité, des systèmes de confidentialité et de protection de l’intégrité des données (chiffrement et signatures numériques). Vous pouvez conserver le contrôle  et la propriété  des données, même si vous n’avez plus le contrôle  ni la propriété  de l’infrastructure. D’une certaine façon, ce modèle n’est pas nouveau. Nous l’utilisons déjà pour nos connexions réseau. Nous avons en effet abandonné les connexions dédiées (locations de lignes) pour des connexions partagées (Internet), et c’est exactement le même modèle qui assure la sécurité des données en transit. Un modèle qui s’étend également au traitement et au stockage des données.

Il y a cependant un autre facteur que je me plais à rappeler : celui du tierce partie désintéressée. Les fournisseurs de services Cloud ignorent le contexte inhérent à vos données ainsi que leur valeur. Ceci peut réduire considérablement la menace en interne. Mais s’inquiètent-ils de la sécurité de vos données ? Les fournisseurs de services Cloud savent qu’il est dans leur intérêt de mettre en place des contrôles pour assurer un solide cloisonnement entre leurs tâches administratives et les données de leurs clients. En outre, ces contrôles rendent le Cloud difficile d’accès pour tous ceux espérant voler des données ou lancer des attaques.

Les fournisseurs cherchent à atteindre la cible la plus large possible, en automatisant au maximum les tâches : moins il y a d’interventions humaines, moins il y a de risques de faire des erreurs. En conclusion, « le niveau de sécurité » n’est pas la bonne question. Il faut plutôt se demander quel est « le niveau de risques ». Faire l’évaluation des risques pour prendre des décisions en matière de sécurité aboutit toujours au bon équilibre et aux compromis adéquats. Je conseille aux DSI et aux Responsables de la sécurité de s’enquérir des meilleures stratégies de gestion des risques. Les bons interlocuteurs n’hésiteront pas à vous donner toutes les informations voulues car ils savent qu’ils gagneront ainsi votre confiance. Ils ont même probablement envisagé et géré des risques auxquels vous n’aviez pas même pensé.

Le cloud computing résout de nombreux problèmes. Et il mûrit. En à peine quelques années, les offres sont devenues plus variées et plus souples, et sont proposées par des entreprises renommées et de confiance. Si la sécurité du Cloud devient suffisante pour conduire à une adoption croissante par quelques-uns, ne devient-elle pas suffisante pour le reste d’entre nous ?