Spécial Sécurité : le Cloud dans tous ses états
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'intéressent à la sécurité des environnements de Cloud ainsi qu'aux éléments de sécurité juridique entourant cette forme très particulière d'externalisation.
Rebattu ? Galvaudé ? A la mode ? Non. Tarte à la crème. L’avenir du Cloud Computing est aux blogueurs et éditorialistes un inépuisable sujet d’argumentation. C’était, jusqu’à très récemment, une technologie et une solution infrastructurelle quasiment idyllique : économique en diable, sécurisée de bout en bout, permettant –sans trop le clamer- les dégraissages tant espérés par les actionnaires de grands groupes, le tout garantissant une efficacité et un retour sur investissement mirifiques. Discours que l’on entend depuis des lustres… autrefois, cela s’appelait la « sous-traitance en Batch » sur du mini-6 à temps de travail saucissonné. Puis ce fut la mode de l’externalisation. Puis les Application Service Provider. Plus tard encore des « managed services ». Aujourd’hui, on virtualise, on fait de la collocation, de l’agrégation de compétences dans des data centers comptant plusieurs centaines de milliers de machines : c’est le Cloud.
Qu’est-ce qui ferait cette fois que ce Cloud-là aurait plus de succès que les petits nuages d’antan ? En premier lieu la généralisation des maillages haut débit et des opérateurs télécoms locaux qui vendent à la fois infrastructure informatique et liens de transmission. Ensuite les « gros » prestataires de services sont de véritables acteurs planétaires. Google, Microsoft, Amazon… des noms dont on sait très bien qu’ils sont capables d’aligner à la fois la solidité financière, les teraflops de calcul, les petaoctets de stockage, les Méga-systèmes d’exploitation adaptés à ces super-clusters et les exa-effectifs de maintenance, d’intervention et d’administration.
Seulement voilà, après les promesses lénifiantes des premiers jours, voici que résonnent certaines objections. Ainsi, lors de la dernière réunion Parisienne du Cercle Européen de la Sécurité, Maître Christiane Féral-Schuhl rappelait certaines règles juridiques de prudence relatives à la nature du contrat liant le donneur d’ordre et le sous-traitant, et les risques, en cas de désaccord, de voir se juger un différent dans une juridiction autre que Française. Et encore, lorsque ce genre d’action à quelque chance d’aboutir. En termes plus simple, le Cloud n’est jamais qu’un mot nouveau pour désigner une sous-traitance de service, et l’on a intérêt que ledit service soit à portée de main d’avocat, quelque part entre La Bourboule et Castelnaudary. Quand à l’économie supposée, elle n’est probablement effective que dans le cadre de petites et moyennes structures informatiques, essentiellement en raison de l’optimisation des ressources offertes et de la réorganisation plus stricte qu’impose une sous-traitance bien définie. Les grandes entreprises, pour leur part, ont depuis longtemps des services informatiques structurés et optimisés. Les économies escomptées seraient moins évidentes, les risques liés à l’expatriation des données plus importants.
Ce à quoi les grands acteurs du Cloud font remarquer que tous, sans exception, possèdent au moins une filiale dans chaque pays d’Europe, garantissant ainsi les possibilités de recours légal nécessaire. Certes, mais les données… où sont-elles ? Sous quelle juridiction ? Les promesses d’aujourd’hui ne sont pas à l’abri des interprétations de demain. Et quand bien même seraient-elle conservées localement que se pose la question de la cohésion de la « chaine de sécurité » et de la « chaine de normalisation/certification ». Security Focus publie à ce titre un court article sur le sujet, au fil duquel il est fait remarquer que certaines contraintes PCI-DSS limitent l’usage de cette nouvelle forme de sous-traitance… pour de simples raisons de définition.
« Le problème n’est pas si simple » dit en substance Christopher Hoff –Packetfilter-, au fil d’une présentation kilométrique (66 pages Powerpoint) traitant précisément de sécurité et de cloudification des services, des logiciels, des infrastructures… Hoff décortique les différents types d’externalisation, les différents moyens d’utiliser ces externalisations –partielle ou totale-, les différentes offres de service des trois principaux « vendeurs de nuage » et les différents niveaux de sécurité que l’usager-client doit lui-même assurer en fonction de l’offre. Ladite présentation, conçue pour illustrer les propos de Hoff lors de la dernière conférence SourceBoston, s’intitule « Les grenouilles qui voulaient un roi, une sur la virtualisation et le Cloud Computing ». Sa première accroche, « Virtual Security In the Cloud Is Bollocks », donne tout de suite le ton. Mais ne nous y trompons pas, il s’agit là d’un exposé très sérieux et qui parvient à faire le tour de la question. Un document de travail indispensable que devrait lire tout responsable de projet avant de s’engager dans une telle croisade.