Les données sont-elles moins bien protégées dans le cloud ? Si des appréhensions existent à juste titre, les entreprises n’ont plus le choix : cette solution s’impose. Reste à inclure cet état de fait dans sa politique de sécurité, sans gêner le business. 

Le cloud a-t-il un problème avec la sécurité ? C’est ce que pense la majorité des responsables informatiques d’après une étude, menée en juillet, par Vanson Bourne pour BT*. 76 % des décideurs IT interrogés font de la sécurité leur préoccupation numéro 1 face aux services cloud. Ils sont même la moitié à se dire « très inquiets » des implications du sujet sur leur organisation. Des chiffres en hausse par rapport à la dernière enquête similaire de 2012.

Avec la diffusion, en septembre, de photos de stars nues, attribuée à un piratage de l’iCloud d’Apple, la préoccupation devient même grand public. Dans Les Echos du 5 octobre dernier, Alain Juillet, président du club des Directeurs de sécurité des entreprises et ancien directeur du renseignement de la DGSE, déclarait : « Dans les entreprises, la tentation du cloud est réelle – C’est moins cher. Mais personne ne sait vraiment ce qui se passe en ligne. » L’étude britannique relève également un paradoxe, et ce malgré l’inquiétude des DSI : 70 % des entreprises utilisent des applications Web et de stockage dans le cloud, et 50 % préfèrent parier sur des services grand public, plutôt que sur mesure…

Pour aider les entreprises à s’y retrouver

L’Agence nationale de la sécurité des systèmes d’information (Anssi) s’intéresse aux prestataires du cloud, en se donnant pour mission de labéliser les acteurs de la sécurité. Guillaume Poupard, son directeur, résumait la situation, lors des récentes Assises de la Sécurité : « Je ne vous dirai pas qu’il ne faut pas aller dans le cloud. Mais plutôt qu’il ne faut pas y faire n’importe quoi, n’importe comment. » L’Anssi publie de nombreux guides pratiques et recommandations pour les entreprises. Sa grande sœur l’European Union Agency for Network and Information Security (Enisa), édite aussi un Guide d’évaluation des risques de sécurité dans le cloud, de même que la Cloud Security Alliance. Des conseils utiles, alors que beaucoup d’offreurs se contentent d’annoncer leur conformité au standard PCI-DSS (Payment Card Industry Data Security Standard) ou aux normes ISO 27001 et ISO 27002, relatives respectivement au système de gestion de la sécurité de l’information au niveau global et à son management. Celles-ci n’étant pas spécifiques aux problématiques du nuage, l’Organisation internationale de normalisation (ISO) a pallié ce manque en créant l’été dernier, les normes ISO/ IEC 17788, 17789 et 27018. Les deux premières fixent un glossaire et un cadre technologique pour que les acteurs s’entendent. La dernière porte sur le traitement des données personnelles dans le cloud. De son côté, Digital Place, le cluster d’entreprises du numérique de la région Midi-Pyrénées, a importé (et amélioré) les indications du Nist*, datant de 2011, pour en faire un « label cloud » français, incluant un critère de sécurité basé sur 28 caractéristiques différentes. Objectif : faire converger les entreprises vers le top en matière de « qualité du cloud ». * Nist (National Institute of standards and technology), agence du département du Commerce américain.

 

Depuis plusieurs années (et suite à l’affaire Snowden), la question de la confiance se retrouve au centre du jeu. Le Patriot Act permet aux autorités américaines de fouiller dans les données hébergées sur le territoire américain. Mais un avis, rendu récemment par le juge fédéral James C. Francis concernant Microsoft, s’est appuyé sur l’Electronic Communication Privacy Act de 1986, pour établir que les entreprises américaines sont également tenues de fournir les données demandées par mandat, même si elles les hébergent sur un sol étranger… « Les projets cloud comme le nôtre relève avant tout de la transformation numérique de l’entreprise, pas de la technique. Nos agences les réclament, car elles ont tout simplement besoin de time-to-market [délai de mise sur le marché]. Mais c’est à l’entreprise de fixer les règles et le tempo », explique Alexandre Vidiani, EMEA directeur des applications informatiques du groupe publicitaire Publicis.

Sans définition claire d’une stratégie, les services cloud alimentent le Shadow IT, c’est-à-dire les usages informatiques non-maîtrisés par l’entreprise, les métiers contournant – consciemment ou non – une DSI jugée trop lente ou pas assez business centric. Les risques de sécurité ne sont alors jamais loin : « J’ai vu un responsable de la sécurité des systèmes d’information (RSSI) découvrir, par hasard, un questionnaire critique sur la stratégie de sa société, hébergé librement par des collaborateurs sur un service gratuit, de type Survey Monkey** », dévoile Laurent Heslault, directeur des stratégies de sécurité chez Symantec, éditeur américain spécialiste de la sécurité et de la protection des données.

Connaître son patrimoine informationnel 

L’évolution des rapports entre DSI et métiers n’occulte pas non plus des cybermenaces bien réelles. « Les services cloud sont utilisés pour héberger et partager toutes les formes de menaces. C’est devenu, aujourd’hui, un facilitateur énorme pour préparer et lancer des attaques », rappelle Jean-Ian Boutin, chercheur en sécurité chez l’éditeur d’antivirus Eset et spécialiste du marché noir de la cybercriminalité. La Cloud Security Alliance, association internationale à but non lucratif, qui veut promouvoir les pratiques les plus sûres en cloud computing, retient en priorité comme exemple de malveillance : la violation des données, les détournements de compte, ou encore le déni de service (DDoS)***.

Pour le cloud comme pour un système d’information traditionnel, tout devient question d’analyse de risque. Une entreprise doit apprendre à connaître son patrimoine informationnel, pour définir les différents niveaux de criticité de ses données et applications, afin de déterminer les investissements à consacrer à leur protection. « Que l’on soit grand ou petit, l’entreprise peut-elle se passer de telle ou telle application pendant quatre heures ? Si la réponse est non, c’est qu’il s’agit d’un point critique du système », illustre Jérôme Dilouya, président et fondateur du Français InterCloud, un opérateur d’accès aux plates-formes cloud, SaaS, PaaS et IaaS. Pour certaines sociétés, les e-mails seront critiques. Pour d’autres, ce seront les applications cœur de métier ou de paiement… A partir de là, un conseil revient : segmenter ses données entre celles « non critiques » dans le cloud public, celles « stratégiques » dans le cloud privé ; et les joyaux de la couronne, bien gardés au sein de l’entreprise.

« L’un des avantages du passage au cloud : il force les entreprises à produire une véritable réflexion sur leur politique de sécurité et sur la criticité de l’information… Ce qu’elles devraient faire depuis longtemps », estime Laurent Heslault. De plus en plus de DSI s’y résolvent. Pour les autres, « il faut faire comprendre à leurs dirigeants que l’informatique n’est pas un outil. C’est le business lui-même ! », défend Jamal Dahmane, group chief information security officer d’Essilor et administrateur du club des Experts de la sécurité de l’informatique et du numérique (Cesin). 

L’objectif des offreurs et prestataires du cloud devient alors de convaincre qu’ils savent parfaitement lier ces enjeux business et sécurité. Avec un argument phare : le cloud offre une meilleure protection que ce que beaucoup d’entreprises peuvent espérer mettre en place elles-mêmes en interne. Un représentant d’un important groupe industriel français, largement dans le cloud (hors sa R&D), le reconnaît : « Mon infrastructure en propre est loin d’être parfaite… Mais je n’oublie pas que, malheureusement, le maillon faible de la sécurité reste l’humain. » « De même, derrière le cloud, on retrouve des datacenters et des réseaux physiques, qui posent à la fois la question de la performance et de la sécurité », tient à rappeler Jérôme Dilouya. Avec son prestataire Jaguar Network, Guillaume Postaire, responsable infrastructure et architecture pour le groupe France Télévisions, parle d’un enjeu de « continuum  de la sécurité dans le cloud », qui a présidé à la conception d’un cloud privé, basé sur deux datacenters parisiens reliés en fibre noire. « Nous y hébergeons majoritairement des applications Web et mobile, dont bon nombre sont créés par des acteurs tiers, que nous ne contrôlons pas », explique-t-il. Chaque jour, France Télévisions doit composer avec cette ouverture, et des attaques pour certaines très primitives (DDoS, scans…), mais pour d’autres, beaucoup plus insidieuses comme les APT****. 

La sécurisation du cloud se joue donc autant dans l’entreprise que chez ses prestataires, comme sur le chemin qui les sépare. InterCloud, par exemple, se fait fort de « contourner Internet » grâce à leur propre réseau, pour conduire les données des portes de l’entreprise à celles de leur plate-forme cloud (et donc des datacenters), sans atténuer leur agilité, ni leur facilité d’utilisation ou leur automatisation… « Le problème est de gérer cette complexité autrement qu’avec des rustines. Pas la peine d’avoir trente solutions de sécurité, empilées les unes sur les autres, si c’est pour laisser une porte ouverte, notamment à cause du cloud », résume Jean-Michel Orozco, président de Cybersecurity chez Airbus Défense and Space.

Muscler IAM et chiffrement 

Si les menaces sur le cloud ne sont pas différentes de celles qui visent directement le système d’information de l’entreprise, « elles sont beaucoup plus distribuées. D’où une plus grande difficulté à en avoir une vision cohérente. Il faut donc disposer de technologies qui facilitent l’orchestration de la défense », insiste, pour sa part, Laurent Pétroque, responsable avant-vente chez F5 Network, spécialiste américain des réseaux et de leur sécurisation. 

Pour y parvenir, les entreprises sont, par exemple, encouragées à muscler, en interne, leur stratégie d’Identity and Access Management (IAM), soit le fait de surveiller qui accède à quoi et quand… Ce contrôle des identités a, de plus, l’avantage de pouvoir être facilement adapté aux spécificités du cloud. Le chiffrement est un autre sésame pour résoudre le problème de « l’ouverture » de l’entreprise, intrinsèque aux usages cloud. Apple comme Google viennent d’ailleurs d’annoncer le chiffrement des données de leurs utilisateurs. Mais tout a ses limites : « Celui qui possède la clé de chiffrement peut accéder aux données… L’objectif est de ramener la maîtrise des clés chez le client, qui doit être le seul détenteur du secret, afin qu’il puisse centraliser et orchestrer sa défense », plaide Nicolas Bachelier, directeur commercial de Prim’X, PME française de 25 personnes créée en 2003. Spécialiste du chiffrement, celle-ci fait valoir ses certifications EAL3 + et la Qualification standard délivrée par l’Anssi, qui la rendent apte à protéger les informations sensibles de la France, de l’Union européenne ou encore de l’Otan.  « En résumé, si la maîtrise est côté fournisseur, il n’y a pas d’autre garantie que la confiance », poursuit Nicolas Bachelier, reconnaissant que sécuriser de la sorte l’ensemble des usages cloud est impossible. « Le SaaS notamment implique une consommation spécifique de l’information. Un logiciel dédié à la  paie ne pourra pas agréger des données si celles-ci ont été chiffrées sur le SI ! » C’est là, selon lui, tout l’intérêt  de l’hybridation des cloud public et privé, qui permet aux entreprises d’arbitrer entre différents niveaux de sécurité, selon les besoins des applications et des utilisateurs.

Orchestrer la sécurité autour des usages cloud demande de gérer plus de fers sur le feu que nécessite la protection d’un SI classique. Le match n’est donc pas encore joué entre ceux qui annoncent le 100 % cloud pour demain et ceux qui estiment assurer une meilleure défense de leurs données critiques en interne. « La démocratisation du cloud aura un sérieux revers de médaille. Enormément de valeur, issues d’un grand nombre d’entreprises, va se retrouver réunie au même endroit. Cette cible sera d’autant plus tentante pour les pirates… qui seront encouragés à tout rafler d’un coup sur une plate-forme cloud, plutôt que d’attaquer les entreprises une par une », prédit Jean-François Beuze, président de Sifaris, société française de conseil, experte sur les questions de sécurité. 

* BT Cloud Security Research – octobre 2014 (www.btcloud/ btassure/securitythatmatters)

** Service en ligne permettant la création et la diffusion de sondages.

*** Liste dans The Notorious Nine : Cloud Computing Top Threats in 2013, de la Cloud Security Alliance

**** APT (Advanced Persistent Threat), attaque complexe et discrète cumulant sur le long terme dedifférents vecteurs de menaces.

ISO gère ses identités dans le cloud

Photo : ISO Les experts mandatés par les 162 membres de l’Organisation internationale de normalisation (ISO) définissent les célèbres normes, au cours de long processus itératif de création. « C’est un environnement totalement décentralisé, un peu à la manière de l’ONU », explique Stéphane Châtelet, application service manager d’ISO. L’utilisation de services cloud permet d’accéder aux mêmes applications, en atteignant les serveurs genevois de l’organisation, quel que soit l’emplacement des experts… sans souffrir de latences, comme l’Asie ou les Etats-Unis en connaissaient. L’un des principaux aspects de sécurisation a été la fédération des identités utilisateurs avec l’aide du prestataire Ping Identity. « Le but était de respecter exactement le standard SAML 2.0*, l’option la plus intéressante dans ce domaine », estime Stéphane Châtelet. Dès le départ, la DSI a été moteur du projet. Un point important, car « bien trop souvent avec le cloud, c’est le contraire… Les métiers y vont de leur côté et, ensuite, il faut écoper ». * Security Assertion Markup Language 2.0 : protocole basé sur XML qui permet l’échange sécurisé d’informations d’identités (authentification et autorisation).