Spécial sécurité : Le blues du Cloud, ou l’externalisation vue par les gourous (suite)
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères continuent de s'amuser du goût nouveau pour l'externalisation en mode cloud computing. Une voie qui n'est pas sans poser nombre de questions en matière de sécurité des données. Des questions auxquelles plusieurs gurus de la sécurité informatique apportent leur éclairage.
Suite de l'épisode précédent...
A toutes ces questions existentielles, les professionnels répondent soit par un attentisme prudent, soit par des conseils techniques que l’on sait limités. L’on apprend beaucoup à ce sujet en écoutant l’interview de Philippe Courtot par nos confrères du Help Net Security News. Le patron de Qualys explique comment minimiser les risques avec des solutions techniques… et parfois beaucoup de conditionnels, beaucoup de prudence. Il reste encore à ce que les différents partenaires de l’aventure Cloud, clients comme fournisseurs, s’entendent et définissent de nouvelles règles, et surtout que les mentalités évoluent, explique-t-il. Depuis toujours, les administrateurs ont considéré que la sécurité procédait d’une vision centralisatrice de l’infrastructure, seul moyen pour garantir une maîtrise des données et des processus. Et il leur est très difficile d’admettre que cette vision centralisatrice disparaît avec le cloud computing, même si le prestataire extérieur garantit un niveau de protection des informations de loin supérieur à celui en vigueur dans l’entreprise. Précisons que Qualys est une entreprise américaine, un pays vaste, un pays surtout d’où proviennent et où sont implantés les géants du cloud computing. Pour une entreprise US, bon nombre de questions que peuvent se poser les RSSI et CSO Européens sont sans objet de l’autre côté de l’Atlantique. Et notamment en terme d’extraterritorialité des données, de recours juridique, d’étendue de la juridiction policière…
Et c’est ce que l’on remarque tout au long des « success stories » que nous relate la presse américaine. Dave Keams, de Network World, en fait une sorte de recette de cuisine aussi appétissante que logique. Chiffrement, SSO, VPN, SLA… tout est histoire d’ingrédients et de bon dosage. Mais là encore, on ne parle pas de flux de données transfrontières, d’éventuels hiatus juridiques. Les experts américains demeurent à l’intérieur de l’Empire, et s’évitent ainsi bien des tracas. Plus morcelée, encore entravée par ses frontières politiques, l’Europe et ses RSSI ne peut en faire autant.
Pour Bruce Schneier, tout se résume à une question de confiance. A la rigueur, l’on est déjà obligé de « faire confiance » aux fabricants de matériels, d’équipements réseau, de logiciels, aux opérateurs télécoms… le Cloud n’est jamais qu’une extension du domaine de la confiance, qui ne se limite pas aux simples problèmes de sécurité, mais également de fiabilité, de disponibilité et de continuité du business. Cela fait beaucoup de choses d’un coup. Les sous-traitants d’externalisation qui disparaissent, çà existe… surtout en période de crise. L’Outsourcing est dans le sens de l’histoire, explique Schneier, mais ce chemin n’est pas garanti sans risque, et personne ne souhaite faire un jour partie des victimes d’un « dommage collatéral », d’un accident de parcours de l’évolution. Une vision Darwinienne intéressante qui transpose au monde informatique ce qu’est l’évolution de la vie : l’inné n’existe pas, ou n’est jamais que la traduction d’un acquis plus ancien, lui-même filtré et conservé par le temps et la disparition progressive des branches statiques. Mais toute évolution n’est pas une garantie de succès. Elle se cherche. Et c’est durant cette phase de recherche que se succèdent les essais infructueux, les essuyages de plâtres.
Encore une opinion américaine nuancée et prudente, celle d’Art Coviello, patron de RSA. Certes, en tirant le signal d’alarme de l’insécurité du Cloud, RSA/EMC prêche pour sa propre chapelle et espère vendre un peu plus de solutions de sécurité, de chiffrement, de contrôle d’accès. Mais ignorons un instant les motivations pour mieux examiner les arguments. « Enabling the “Hyper-Extended” Enterprise in the Face of Unprecedented Risk » titre une étude d’une bonne vingtaine de pages sur le sujet. « unprecedented risk », on ne peut trouver de terme si anxiogène. L’on retrouve dans cet ouvrage les conseils de prudence et de mesure du Cert IST Français. « Si nous y allons, il faut que ce soit sans précipitation » insiste le rapport. Et d’ajouter en substance « Il est souhaitable que les Ciso fassent passer ce message de modération, cette nécessaire prudence auprès de la Direction, afin que ne soit prise aucune décision hâtive qui pourrait s’avérer rapidement catastrophique ». Une seconde enquête, également commandité par RSA, révélait que sur 100 responsables Sécurité travaillant dans des entreprises dont le C.A. dépassait le milliard de dollars, près de la moitié avaient entamé un processus d’externalisation de type « cloud » (ou étaient sur le point d’en entamer un dans les 12 mois à venir), et que les deux tiers d’entre elles n’avaient défini aucune stratégie de sécurité adaptée à cette nouvelle forme de travail.
Achevons cette tournée météorologique et nuageuse avec un article –en Français- écrit par Bruno Kerouanton sur… non, pas sur son blog, mais sur le site du « club des vigilants ». « L’information n’est plus sous contrôle, Danger ! » écrit-il. Derrière le Cloud, il y a le risque d’une prise en otage des données –outils et procédures propriétaires obligent-, voir d’un véritable marchandage au plus offrant des informations qui n’auraient pas fait spécifiquement l’objet d’une clause contractuelle de protection particulière. L’on peut également ajouter à tout ceci un autre risque de dépendance, celui de l’accoutumance à l’externalisation, celui de la perte de compétence dans le domaine de la gestion des données. Or, cette compétence, même si elle coûte cher à entretenir en interne, constitue parfois la seule véritable richesse de l’entreprise. Même dans le « brick and mortar », cette richesse est de plus en plus constituée de corps de métier relevant du secteur tertiaire. La valeur d’une politique d’approvisionnement, d’un fichier client, des &eacut e;changes entre fournisseurs, la qualité du « supply chain management » sont aussi importants que le produit manufacturé qui sort en fin de chaine. Et c’est cette richesse de gestion qui est le plus souvent « cloudifiée ». Le passé de l’externalisation de la production des produits manufacturés est constellé d’exemples de sous-traitants qui, du jour au lendemain, se retournent et deviennent concurrents de leurs anciens donneurs d’ordres. Cette dépossession pourrait également survenir le domaine de la gestion et du traitement de données, pour les mêmes raisons, avec les mêmes conséquences.