Passer au cloud de manière sûre: une affaire de contrat... pas de technique
Charles Cuvelliez et Jean-Jacques Quisquater
Composite, Quisquater, Cuvelliez,
DR
Charles Cuvelliez et Jean-Jacques Quisquater
Composite, Quisquater, Cuvelliez,
DR
Un simple mot de passe et un login n'est déjà pas la panacée pour s'authentifier sur son propre réseau : qu'on songe à la simplicité des mots de passe généralement choisis. Avec le cloud, ils se promènent désormais en dehors du périmètre de l'entreprise. S'ils entrent en possession d'un pirate, personne ne s'en rendra compte : le pirate pourra se connecter sans avoir à d'abord pénétrer le réseau interne de l'entreprise où il aurait pu être détecté.
Certains fournisseurs de clouds proposent alors des accès dits fédérés qui dupliquent sur le cloud les procédures de connexion en interne. Cela permet à l'entreprise de mieux gérer les accès et surtout de les harmoniser avec les sécurités en interne, selon l'appartenance de l'employé à tel ou tel groupe d'utilisateurs privilégiés. Mais cela n'empêchera pas forcément l'employé zélé de souscrire lui-même à un cloud commercial sophistiqué avec puissance de calcul à la clé. Rien n'est aussi simple : une carte de crédit, un login et un mot de passe et ce que vous avez mis en place en sécurité au niveau corporate sont déjoués par votre employé qui pratique ainsi du shadow IT. Ensuite il faut penser à d'autres « détails » comme ne pas oublier couper l'accès au cloud aux employés qui ont quitté l'entreprise.
La protection des données est encore plus fondamentale à partir du moment où elles sont exportées vers un tiers. On doit les chiffrer. Si le fournisseur de cloud vous propose de chiffrer lui-même le contenu que vous lui confiez, il vous faudra vérifier l'algorithme de chiffrement qu'il utilise, où il place les clés et comment il les protège, quelle est la qualité des clés utilisées, leur longueur. Et en cas de désastre chez le fournisseur, comment les clés sont-elles récupérées ? Chez un tiers de confiance ? Savoir ses données chiffrées, mais ne pas maitriser ou savoir comment elles l'ont été, l'algorithme utilisé, les scénarios catastrophes, voilà qui doit donner froid dans le dos à tout CIO. Et il faudra procéder à un audit régulièrement. Le risque de perte des données par perte de la clé, indépendamment de son contrôle, par le fait d'un tiers, est un facteur de risque supplémentaire à prendre en compte. C'est au point qu'on doit parfois faire un compromis entre le chiffrement des données et les laisser telles quelles.
Dans une bonne politique de cybersécurité, un des piliers est la détection, ce qui signifie, pour un cloud, tenir de manière automatisée un registre des accès, la surveillance de ces derniers et les investigations quand il y a eu un incident. Mais qui doit enregistrer ces données, les fournir, sous quelle forme ? Le fournisseur de cloud s'engagera-t-il ? Si le fournisseur de cloud vous fournit une application en ligne, pas simplement du stockage ou de la puissance de calcul, il est logique d'attendre de lui qu'il prenne tout cela en charge. Lui seul a la main. Si on ne prend chez ce fournisseur que de la puissance de calcul, c'est comme louer à distance un ordinateur. C'est alors au client, à vous, de prendre sa sécurité en charge. Vous pouvez assurer vous-même votre protection (pare-feu, détection d'intrusion...), mais inutile de songer à faire de l'isolation de segments de réseaux pour protéger des applications critiques.
Chaque accès au cloud peut être autant l'action d'individus que de programmes spécialisés, ce qui complique la tâche d'en tenir un registre. Le fournisseur de cloud a sa propre infrastructure de sécurité pour se protéger. On veut la croire à jour et efficace, mais il est rare de pouvoir aller au-delà d'avoir la foi en son fournisseur... Il ne vous en dévoilera pas les détails. Quand on décide de transférer au cloud ses assets IT, l'idéal serait de pouvoir continuer à détecter les problèmes, de continuer à utiliser toutes les procédures mises en place quand l'IT était internalisée, mais ce sera plus difficile : le fournisseur de cloud ne vous dira pas grand-chose et ne partagera certainement pas avec vous toutes ses statistiques d'incidents, comment il les a adressés, etc....
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Et puis, il y a les contraires opérationnels : les horaires des fournisseurs de clouds ne sont pas forcément les mêmes que ceux de ses clients. Imaginez un fournisseur de cloud aux USA : s'il procède à mise à jour et des maintenances la nuit, il risque de provoquer des arrêts pendant les heures de bureau en Europe. Cela lui impose de dupliquer ses équipements pour éviter ces fâcheuses coïncidences. Car un fournisseur de cloud a les mêmes soucis que toute société qui a un département IT : patching, mise à jour, matériel qui flanche et pression constante pour réduire les coûts. Sa politique et ses priorités pour les adresser sera la sienne pas la vôtre. Le client doit aussi songer au cas où le fournisseur de cloud s'évanouit dans la nature, disparaît ou tombe en faillite. Faut-il alors prendre le même service chez un deuxième fournisseur de cloud au risque de doubler les coûts.
La résolution des problèmes techniques chez votre fournisseur de cloud est d'un autre ordre grandeur. Bien sûr, il a des moyens à la hauteur de ses ambitions et sera bien mieux équipés que chacun de ses clients...sauf que les problèmes qu'il affronte sont d'une autre amplitude : ce sont des problèmes à résoudre pour des dizaines ou des centaines de clients en une fois.
Enfin, ce n'est pas parce que toute votre IT a été mise chez un tiers qu'il faut vous croire dispensé de vos obligations réglementaires de prouver que votre infrastructure est sûre. Tout ce qui s'appliquait avant à votre propre IT, tests de pénétration, certifications, audits, doit désormais être reconduit chez votre fournisseur de cloud. Est-il préparé en ce sens ?
En fait, passer à un cloud revient à migrer le traitement de problèmes de nature technique vers des problèmes de logistique : comment s'assurer que son fournisseur fournisse bien ce dont vous avez absolument besoin pour continuer votre business, ici un niveau de sécurité déterminé. La nature contractuelle prend le dessus sur la nature technique. C'est là que le danger apparaît : on ne maitrise plus le fond, mais la forme. Mieux vaut le savoir à l'approche de la rentrée avec sûrement un projet de passer au cloud dans les cartons.
Charles Cuvelliez et Jean-Jacques Quisquater
OPINION. « Bien vieillir : l’investissement face à un défi systémique »
OPINION. « L’intelligence artificielle redessine les trajectoires de la diversité »
OPINION. « Aérien : la souveraineté commence par la connectivité »
OPINION. « Pilote augmenté et cockpit du futur : vers une conscience situationnelle optimisée à l’ère des avions connectées et des drones »
