Cybersécurité - Innovations digitales et numériques

"La suite de sécurité Norton de Symantec fait bien autre chose que de la protection contre les virus mais c'est le cas pour tous les autres fournisseurs de sécurité aujourd'hui. Je ne suis vraiment pas persuadé que les annonces faites par Symantec sont fracassantes, tout le monde s'accordant à dire que l'anti-virus est une composante essentielle de l'arsenal d'une solution de sécurité mais pas 100% de la solution", a fait savoir Graham Cluley, expert britannique indépendant en sécurité.

Il ne fait maintenant plus aucun doute que l’informatique traditionnelle est sur le déclin. La priorité pour les entreprises va maintenant être de redéfinir leur road map d’évolution autour de solutions de cloud computing pour pouvoir fournir à leurs employés des outils informatiques modernes et performants. Cela ne veut pas dire éradiquer les logiciels, mais adopter une démarche pragmatique pour renouer le dialogue avec des utilisateurs qui sont de plus en plus tentés par des solutions de contournement.

Le juge fédéral de New-York vient de rendre une décision importante en matière d'accès aux informations hébergées par des sociétés américaines, même en dehors du territoire. Selon le document (.pdf), les services de messagerie ou d'hébergement doivent être en mesure de fournir les données qu'ils hébergent si un mandat du gouvernement les y oblige.

« Les services Cloud permettent assurément aux entreprises d’être agiles, flexibles et efficaces, et les employés devraient être encouragé à les utiliser, » explique Rajiv Gupte, directeur général de Skyhigh Networks. « Mais de nombreux employés sont encore inconscients des risques associés à certains services Cloud et pourraient même compromettre la posture de sécurité globale de leur organisation. »

Au final, si les entreprises européennes doivent prendre conscience que la protection des données est essentielle à leur succès mais, qu’au-delà de l’aspect technique, elles doivent également prendre en compte les éléments juridiques et organisationnels essentiels à la protection des données.
C’est d’ailleurs la raison pour laquelle de nombreux experts en matière de sécurité recommandent aux entreprises européennes de faire appel aux prestataires de services européens dont les serveurs se trouvent au sein de l’UE afin de répondre aux risques juridiques.

Si les révélations d'Edward Snowden ont amené beaucoup de questions sur la table et enterré quelques certitudes sur la sécurité des réseaux et, donc, du cloud, ce sera peut-être encore au final très bénéfique pour l'industrie IT. Certaines entreprises européennes pourraient tirer leur épingle du jeu au détriment de sociétés américaines pourtant archidominantes sur le marché du cloud. Dans tous les cas, un examen encore plus minutieux des conditions d'exploitation et de réversibilité est devenu incontournable.

Légitimement, votre DSI vous alertera sur les risques liés à la sécurité. Après tout, vous souhaitez utiliser des serveurs mutualisés avec d'autres clients de l'opérateur cloud, peut-être vos concurrents. Certes, il est possible de demander à l'opérateur de vous dédier un serveur. Mais il n'en reste pas moins inquiétant de confier ses données à un prestataire externe. Bien sûr, tous vous assurent que tout est sécurisé. Assurez-vous quand même que vos données soient bien protégées derrière différents remparts informatiques successifs, les firewall. Ne loger pas toutes vos informations à la même enseigne. Plus elles sont importantes, plus elles doivent être isolées du reste du réseau. Les plus sensibles méritent sûrement d'être cryptées. Dernier point, lisez bien votre contrat et vérifiez bien que l'opérateur cloud ne prend pas possession de vos données au moment où elles arrivent sur ses serveurs. De même, renseignez-vous bien quant aux possibilité de mettre à terme au contrat  : l'opérateur gardera-t-il vos informations ?

A ce stade, vous pouvez avoir peur et vous féliciter d’avoir conservé votre vieux serveurs au second étage de vos bureaux, derrière une porte blindée. Ce serait dommage.

Ainsi que le faisait remarquer récemment un expert en Business Intelligence, il ne sert à rien de craindre les risques liés au Cloud Computing, si par ailleurs vos mots de passe sont encore inscrits sur un post-it collé sur votre moniteur, et que vous avez laissé le double des clés (y compris celui de la fameuse salle des serveurs) à la femme de ménage.

Le Cloud computing, et les solutions SaaS qui lui sont liées, apportent un tel surcroit de compétitivité et de souplesse qu’il serait hasardeux de s’en désintéresser. Les obstacles, tels que ceux cités plus haut, ne sont finalement que des piquets balisant une piste sur laquelle nous avons tout loisir de slalomer. Comment ?

L’exemple d’IBM est assez intéressant. Certes, il fait partie des leaders mondiaux du Cloud computing. Mais bon nombre de ses datacenters sont implantés sur le territoire européen et français. Donc parfaitement localisables, et même visitables. Par ailleurs, IBM s’appuie sur un réseau serré de partenaires, qui proposent ses ressources de façon beaucoup plus conviviales. C’est à dire avec la proximité, la présence commerciale et la connaissance de votre contexte géographique et métier.

De la même façon, de nombreux prestataires Cloud, français, ont choisi de construire leur propre Datacenter.

Il devient dès lors parfaitement envisageable de maitriser cette problématique juridique. D’une part en choisissant des solutions ou des hébergements dépendants à 100% de la législation française. D’autre part en étudiant point par point, et en modifiant la cas échéant, les contrats qui vous lient à vos prestataires. Contrats qui seront à coup sûr en français, et qui devraient s’avérer beaucoup plus clairs et proches de votre contexte d’utilisation.

Le cloud computing est bien plus qu’une simple technologie, il s’agit d’une véritable révolution qui touche tous les services informatiques. Certes, nous avons déjà décrit ce phénomène maintes fois sur ce blog, dont les premiers articles remontent déjà à il y a 5 ans ! Mais le niveau de maturité est tel qu’aujourd’hui, ce sont les DSI eux-mêmes qui mettent en avant ce changement de paradigme.
Comme à chaque révolution informatique, c’est la même constatation, celle que les organisations humaines sont fortement impactées par ces changements quand ils sont réels, et que les aspects humains de conduite du changement priment sur tout. Ce n’est pas une découverte pour beaucoup d’entre nous, mais ce qui est signe de changement, c’est ce renouveau du dialogue entre les DSI et les utilisateurs, qui ne peut qu’être salué comme une énorme avancée.

Seuls 9% des 2 105 services Cloud étudiés disposent de capacités de sécurité de classe entreprise, les 91% restant font peser des risques moyens ou élevés sur la sécurité des organisations. Par ailleurs, seuls 5% des services Cloud proposés en Europe sont certifiés ISO/IEC 27001, la norme internationale relative aux systèmes de management de la sécurité de l’information (SMSI). Pas plus de 12% utilisent le chiffrement de données stockées et 21% l’authentification multi-facteur.

Mais Google s’est aussi arrangé pour permettre aux entreprises intéressées de continuer à utiliser leurs applications Windows XP. Le géant de la recherche Web a passé des accords de partenariats avec les acteurs de la virtualisation VMware et Citrix en ce sens afin de transformer le Chromebook en une sorte de client léger capable d’exécuter des applications Windows… mais sans Windows. Là encore, des rabais sont offerts pendant quelques mois : 200 dollars pour le premier avec l’offre VMWare Desktop as a Service, 25% de réduction pour Citrix XenApp Platinium Edition.