LE MODE CLOUD SOUS HAUTE SURVEILLANCE
L'offre de services informatiques en mode cloud ne cesse de se répandre, et d'engendrer tout aussi rapidement, pléthore de questions sécuritaires. Les responsables SI, en choisissant une externalisation de leurs données, prennent-ils la bonne option pour assurer une continuité sur la sécurité des données?
Selon une enquête Symantec publiée à l'été 2012, 72 % des PME qui subissent une cyberattaque ne s'en remettent jamais. Il ressort de cette étude qu'un nombre croissant d'employés ont recours à des solutions de partage de fichiers en ligne à usage personnel, qui ne sont pas approuvées par la direction informatique de leur entreprise. Ces nouveaux comportements, conduisant à l'utilisation des technologies de partage de fichiers ou, a fortiori, à des solutions métiers en cloud, mettent en danger la sécurité des entreprises et les exposent à des pertes de données. Les responsables des SI devaient, jusqu'à présent, gérer deux risques. D'une part, protéger le SI contre les pannes et accidents entraînant pertes de données et arrêt de production, en organisant notamment des procédures de sauvegarde et de restauration. D'autre part, empêcher les intrusions externes qui pouvaient se traduire par le vol de données sensibles. En quoi la «révolution» du cloud vient-elle bouleverser cette donne?
ASSURER LA BANDE PASSANTE ET SE POSITIONNER SUR LE CLOUD PRIVE / PUBLIC
Il est de plus en plus tentant, pour des raisons de coûts, de confier la sauvegarde de ses données ou d'utiliser des logiciels professionnels ou métiers en mode déporté à des prestataires extérieurs. Avec une telle option, la problématique liée à la sécurité n'est pas résolue: elle est déplacée. Afin d'aborder la question de la sécurité du cloud dans sa globalité, il convient de discerner deux aspects ; la partie applicative stockée ou virtualisée chez le prestataire, et la partie transport des données, considérée comme la plus critique. « Une solution qui fonctionne en cloud dépend avant tout du tuyau ou du câble faisant transiter les données entre les postes de l'entreprise et le provider », remarque Gabriel Chaher, vice-président marketing EMEA / APAC de Quantum, spécialiste de la protection des données et du big data. Aussi, lorsque ce tuyau est coupé, quels sont les moyens de repli et de secours prévus par la DSI? A-telle anticipé cette éventuelle rupture? La bonne nouvelle réside dans le développement de la fibre optique, considérée comme plus fiable que la paire de cuivre, avec laquelle les lignes spécialisées peuvent être multipliées ou redondées.
Une fois la question de la bande passante réglée, le choix du cloud doit être abordé en se dirigeant vers une offre soit de type public, soit privé. « Dans le cas d'un cloud privé, les données étant par définition à l'intérieur de l'entreprise, la problématique de sécurité est identique à celle de son propre data center », explique Benoît Fazilleau, président de Solusquare, agence e-commerce multiservice. En revanche, dans le cadre d'un cloud public, une partie des données étant placée à l'extérieur de la société, il convient de déterminer le type de données qui sortent de l'entreprise (données financières, comptables, commerciales, etc.). « En fonction de la nature des données, une évaluation du risque lié à l'externalisation est nécessaire, en étant plus ou moins exigeant sur le niveau de sécurité vis-à-vis du prestataire », précise Hervé Doreau, responsable offre sécurité chez Symantec. Un niveau de sécurité déterminé suivant trois critères: confidentialité, intégrité, disponibilité (CID). Enfin, le responsable SI aura pour impératif de déterminer les niveaux d'authentification des utilisateurs. Soit une authentication simple (login et mot de passe), soit «forte».
A NOTER. LES CONSEQUENCES DU CLOUD SUR LES BUDGETS DES SERVICES INFORMATIQUES
L'usage du cloud modifie l'approche des budgets informatiques, en basculant d'un mode Capex (investissement) à un mode Opex (coût d'exploitation). Le cloud devient une consommation à l'usage au même titre que l'électricité. Les lignes de compte ne sont donc plus les mêmes. En conséquence, la prévision de ses coûts devient très aléatoire: en payant en fonction d'une volumétrie de consommation qui peut varier fortement sur une année, anticiper devient un exercice périlleux pour un Daf. De plus, le budget cloud n'est que rarement entre les mains des DSI, mais bien entre celles des services métiers qui vont en avoir l'usage. Or, les PME ont pour habitude de fonctionner selon un budget informatique global, qui n'est pas ventilé en fonction des différents services de l'entreprise. Enfin, l'usage du cloud avec des outils informatiques différents, modifie les habitudes des employés. Il est nécessaire de prévoir un coût de formation lié à ce changement, qui va influer sur le TCO (total cost of ownership).
A SAVOIR. CLOUD, LES RAISONS DU SUCCES INFORMATIQUE
Tout d'abord, la notion de «juste à temps», également appelée agilité, soit une réponse rapide et adaptée aux utilisateurs grâce à des délais de mise en oeuvre très courts.
L'évolutivité du cloud représente également un atout puisqu'il est possible de «monter en charge» en fonction des besoins. « Une des difficultés des DSI était de savoir dimensionner le nombre de licences lors de l'investissement en solutions professionnelles. Contrainte qui disparaît avec le cloud », souligne Yves Le Roux (CA Technologies). Aujourd'hui, l'offre de prestations en cloud couvre l'essentiel des besoins applicatifs des entreprises. Il n'est donc plus nécessaire d'assurer un développement spécifique en interne, pour obtenir l'équivalent. Par ailleurs, la maintenance étant assurée par le provider, celui-ci va devoir gérer les mises à jour en permanence, avec la mise en place des patchs liés aux problèmes de sécurité. Or, la plupart des PME n'ont pas les moyens de financer une cellule de veille pour assurer cette maintenance.
NE PLUS SUBIR LE CLOUD
Avec le phénomène cloud, les DSI «subissent» l'externalisation des données. « De nombreux services cloud ne sont pas initiés par la DSI, mais bien par les responsables de services opérationnels (financier, marketing, achats, etc.) », explique Hervé Doreau. Autrement dit, la solution adoptée en mode cloud sort du schéma informatique suivi par la DSI, ce qui peut très vite entraîner une situation incontrôlable. « Le risque est de perdre le contrôle sur les données qui sortent de l'entreprise, sachant que les employés ne vont pas forcément faire la distinction entre les informations confidentielles et celles qui ne le sont pas », souligne Jérôme Saiz, rédacteur en chef de Qualys Security Community, communauté d'experts sur la sécurité. Ainsi, l'enjeu aujourd'hui pour les responsables SI est de reprendre, dans un premier temps, la main sur l'usage du cloud, afin de maîtriser ce qui est déjà externalisé, pour garantir un minimum de sécurité. Ils doivent s'assurer que les utilisateurs exploitent le prestataire de la bonne manière, en contrôlant l'accès afin d'éviter que les données les plus sensibles ne transitent dans les nuages. « On pense souvent à la responsabilité des prestataires en matière de sécurité, mais il ne faut pas oublier que les premiers responsables sont souvent les utilisateurs eux-mêmes », poursuit Hervé Doreau.
Pour éviter que les utilisateurs ne soient tentés par l'acquisition de solutions par leur propre moyen (notamment en matière de stockage de données avec, par exemple, le succès de Dropbox), l'enjeu, pour le responsable SI, sera de fournir un type de service aussi facile d'accès, homologué par l'entreprise et de le faire connaître via une communication adaptée. La DSI devient en quelque sorte un broker: elle va servir d'intermédiaire entre les responsables des business unit et les prestataires de services.