Cloud computing : l'inquiétude grandit autour de la sécurité
L’informatique dans le nuage suscite, à tout le moins, nombre de fantasmes. Et d’inquiétudes, plus ou moins justifiées selon les avis. Mais peut-être n’est-elle, en définitive, que la dernière brique d’un édifice d’insécurité motivant que l’on revoie certaines stratégies de protection des serveurs et des données.
Selon un sondage, conduit par les organisateurs du salon européen InfoSecurity, qui se déroulera à Londres, du 28 au 30 avril prochains, 75 % des entreprises – sur 470 sondées à travers l’Europe – s’apprêtent à réallouer ou accroître leurs budgets sécurité dédiés au cloud computing et au SaaS ; la sécurité et la disponibilité des applications apparaissent comme deux préoccupations clés dans le cadre de ces environnements. Déjà, en août dernier, IDC relevait que la sécurité est vécue comme une question déterminante pour 74,6 % des entreprises nord-américaines s’intéressant au Cloud Computing.
Des menaces nombreuses…
A l’occasion d’une conférence de presse organisée en amont du salon InfoSecurity 2009, Andy Dalrymple, consultant chez Global Secure Systems, a développé le sujet. Pour lui, le Cloud Computing soulève de nombreuses questions, à commencer par les plus évidentes : la confidentialité – qui dispose des accès administrateur ? Quel recours en cas de faille de sécurité ? –, l’intégrité – les données peuvent-elles être altérées ? –, et la disponibilité. Mais s’ajoutent à cela le respect des réglementations, l’application de politiques internes et la gestion du risque. Avec un nuage public, la question de la circulation des données se pose également de manière assez claire : où seront-elles traitées ? Avec en sus, pour les pays de l’Union Européenne, les contraintes légales relatives aux données personnelles. Mais Andy Dalrymple ajoute à cela d’autres considérations : le Cloud est-il auditable ? Les données peuvent-elles être tracées dans le nuage ? La gestion du risque, c’est aussi le problème de la défaillance d’un prestataire, avec un exemple d’actualité : la fermeture de Coghead suite à son rachat par SAP. Et Andy Dalrymple de formuler deux recommandations, pour déterminer un prestataire de solution SaaS ou se lancer dans un nuage : « vérifiez que vous pouvez récupérer vos données et que celles-ci seront exploitable ; vérifiez les possibilité de chiffrement de vos données. »
… mais surmontables en accompagnant les modifications du périmètre de sécurité
Le passage au Cloud Computing doit-il pour autant se faire dans la psychose ? Non, ont répondu plusieurs experts qui s’exprimaient dans le cadre du Cloud Computing Forum organisé par IDC, outre-Atlantique, la semaine dernière, évoquant notamment un niveau de sécurité bien plus élevé dans les infrastructures d’Amazon ou d’un Salesforce que dans les centres de calcul de nombre d’entreprises.
Mais pour Bill McGee, vice-président de Third Brigade, les évolutions de l’infrastructure d'un SI se font qu’ajouter un risque à celui des attaques, dans un mouvement qu'il décrit comme celui d'un « périmètre qui est en train de craquer. » Comprendre : le modèle classique de protection périmétrique, avec pare-feu, notamment, montre ses limites. Et d’illustrer son propos : « la virtualisation ajouter un niveau de complexité supplémentaire ; le serveur virtuel peut passer d’une machine physique à une autre et, dans le même temps, d’un périmètre de protection à un autre. » L’avenir, selon lui, est donc à la sécurité rapprochée, au niveau du serveur, qu’il soit physique ou virtuel, avec des dispositifs logiciels plutôt que basés sur des appliances. Le tout dans un contexte où, aux pare-feu et autres systèmes de détection et de prévention d’intrusion ou de recherche de vulnérabilités, il conviendra d'ajouter la protection des applications Web, la surveillance de l’intégrité des fichiers, l’inspection des rapports d’activité ou encore la validation des configurations. Une voie qu’a déjà commencé à emprunter un spécialiste de la virtualisation comme VMware avec ses API VMsafe.