Qu'on soit une multinationale ou une PME, difficile aujourd'hui de se passer du cloud. Néanmoins, la période où l'on annonçait la mort du stockage sur site et la migration de l'intégralité des ressources des entreprises vers l'informatique en nuage semble aujourd'hui révolue. Face à la multiplication des régulations, par crainte de l'espionnage ou des lois extraterritoriales américaines, les entreprises optent pour la plupart pour une stratégie hybride, mêlant informatique en nuage et stockage sur site.

Une manière de combiner le meilleur des deux mondes qui peut toutefois rapidement virer au casse-tête pour ces sociétés, confrontées à une complexification de leur environnement. Comment s'y retrouver et maximiser sa sécurité tout en profitant des capacités des géants du cloud (appelés hyperscalers) que sont AWS, Azure et Google Cloud ? Réponse avec les points de vue de quelques experts qui ont échangé lors d'un récent débat organisé par le Club de la Presse Informatique B2B.

Le chiffrement, nerf de la guerre

En janvier, Amazon Web Services (AWS), la division cloud d'Amazon, introduisait le chiffrement par défaut pour tous les fichiers dans le cadre de son offre de stockage S3. Une manière de renforcer la sécurité de ses clients, le chiffrement optionnel menant à des erreurs de manipulation et de mauvaises configurations susceptibles d'ouvrir des failles sécuritaires. Une enquête consacrée au piratage de la banque américaine Capital One en 2019 a ainsi montré qu'une employée avait profité d'une mauvaise configuration sur le système de stockage S3 d'AWS pour s'introduire dans le système et dérober les numéros de carte bancaire de 100 millions de clients américains.

La preuve que le chiffrement constitue aujourd'hui le b.a.-ba de toute stratégie de protection des données, qu'elles soient hébergées dans le cloud ou sur site. « Le chiffrement offre la garantie que les données récupérées par un acteur malveillant ne puissent pas être extraites, utilisées ou même simplement relues », affirme Stéphane Berthaud, directeur des systèmes d'ingénierie France & Afrique du Nord-ouest chez Nutanix, éditeur de logiciels cloud américain.

La question de la gestion des clefs de chiffrement a longtemps posé problème, puisque lorsqu'on hébergeait ses données chez l'un des hyperscalers, c'était son propre système de gestion des clés de chiffrement qui était utilisé. Les mêmes acteurs étaient donc à la fois juge et partie. Pas vraiment de quoi rassurer les entreprises clientes face à ces acteurs américains soumis au CLOUD Act : pas certain, en effet, qu'ils n'eussent pas remis les clefs de chiffrement sur demande du gouvernement américain.

« Mais aujourd'hui, face à la demande du marché,  tous ces acteurs permettent d'utiliser des gestionnaires de clés externes. On a donc le meilleur des deux mondes, puisqu'on peut chiffrer ses données stockées dans le cloud public avec un système de gestion des clefs qu'on va gérer en propre », résume Stéphane Berthaud.

Une évolution des cyberattaques

Pour autant, le chiffrement ne résout pas tout. Se pose également la question de qui a le droit d'accéder aux données chiffrées, afin d'éviter qu'un individu malveillant mette la main dessus. « Pour éviter cela, il faut mettre en place de bonnes pratiques comme la gestion des identifiants, la double authentification, la logique zero trust... Des mécanismes qu'on connaît tous, mais qui font encore souvent défaut », déplore Jean-Baptiste Grandvallet, directeur technique chez Cohesity, entreprise spécialisée dans la sécurité des données cloud.

C'est d'autant plus important que les cyberattaques ont tendance à changer de nature, selon Stéphane Berthaud. « Les attaques au rançongiciel sont de moins en moins efficaces, dans la mesure où la plupart des acteurs ont mis en place des mécanismes de résilience et de récupération des données qui leur permettent de rapidement repartir en cas d'attaque. Ce qui reste aux cybercriminels, c'est donc le chantage à la publication des données. Et ça, le seul moyen de l'empêcher, c'est que les données aient été chiffrées et que les clés de chiffrement ne soient pas disponibles pour tout un chacun. »

Cloud souverain ou cloud de confiance ?

Outre les cyberattaques, une autre menace pèse sur les clients des hyperscalers : celle de l'espionnage, permis notamment par les lois extraterritoriales américaines, comme le CLOUD Act et le FISA (Foreign Intelligence Surveillance Act). Face à cette réalité, l'idée d'un cloud souverain français ou européen est brandie depuis plusieurs années. Elle se heurte malgré tout à de dures réalités, selon Philippe Charpentier, directeur technique chez NetApp, spécialiste du stockage des données.

« Si l'on regarde SecNumCloud, la certification numérique délivrée par l'Anssi pour désigner les entreprises qui répondent à un certain nombre de critères en matière de souveraineté du cloud, on voit que les acteurs qui l'ont obtenue sont exclusivement des acteurs français. » Se cantonner au cloud souverain implique donc de se priver de la puissance de frappe des hyperscalers, ce qui peut relever du suicide pour un certain nombre d'acteurs économiques.

Face à ce dilemme, un compromis pourrait passer par des solutions sur le modèle du partenariat entre Thalès et Google Cloud, qui s'est donné deux ans pour obtenir le précieux sésame SecNumCloud. « À ce propos, on voit d'ailleurs qu'on parle de moins en moins de cloud souverain et de plus en plus de cloud de confiance. Car la notion de souveraineté impliquait de se cantonner à la France et donc de se passer des hyperscalers. Celle de cloud de confiance est plus souple puisqu'elle laisse la porte ouverte aux hyperscalers, à condition qu'ils se plient à un certain nombre de contraintes », note Jean-Baptiste Grandvallet.

Faut-il (vraiment) avoir peur du CLOUD Act ?

Une autre difficulté à laquelle se heurtent les questions de souveraineté en matière d'informatique en nuage est la complexité dans la répartition et la circulation des données, selon Philippe Charpentier.  « La question de la souveraineté est extrêmement complexe : on parle de souveraineté vis-à-vis de qui, de quoi ? Quand on est une entreprise et qu'on a des filiales en Suisse, au Royaume-Uni, aux Pays-Bas ou encore en Chine, des règles différentes s'appliquent, avec des cas où seuls les salariés de ces entités ont le droit d'accéder à certaines données. Donc de toute façon, il faut cloisonner. Il y a des échanges de données qui sont possibles ou pas, en fonction de leur sensibilité.

Ce qui est très compliqué, c'est d'avoir la cartographie complète : où se trouvent ces données, qu'il s'agisse de données primaires, de données secondaires, de copies de backups ou destinées aux développeurs... Les données sont très souvent dupliquées et déplacées d'un endroit à l'autre.

Le cloud permet de facilement mettre en place des centres de données à l'étranger, mais si l'on ne se donne pas les moyens de géolocaliser ensuite ces données, il devient quasiment impossible de garantir la souveraineté, à moins d'avoir un système complètement étanche. »

Quant au Cloud Act, qui fait beaucoup parler de lui, si les industries les plus critiques, comme la santé, la finance ou la défense, sont contraintes de s'en prémunir, nombre de grandes entreprises hors de ces secteurs ont décidé de faire avec, selon l'expert. « Nombre de grandes entreprises se disent aujourd'hui "Que je me fasse espionner par la NSA ou le FSB, peu importe, de toute façon mon activité n'est pas critique." »