Le cloud computing et la sécurité du Système d’Informations : une question de myopie ?

image Voilà que surgissent les premières critiques un peu argumentées contre le modèle du cloud computing. Jusqu’à présent on en était resté à brandir des épouvantails : “oui, mais et la sécurité pour les systèmes hors de l’entreprise?”

Cette question trouve sa réponse depuis bien longtemps dans les prestations d’infogérance, ou dans l’utilisation courante des moyens de paiement. Chacun de nous utilise sa carte bancaire sur internet, et la transaction de paiement passe dans la plupart des cas par un prestataire certifié qui n’est pas une banque, par exemple SIPS d’Atos Worldline. C’est encore plus fréquemment le cas pour les systèmes de cartes anonymes prépayées. Mais je voudrais aller plus loin dans ce billet.

image Gregness a trouvé la faille dans le modèle du Cloud Computing : puisque les infrastructures et le modèle d’économie d’échelle des géants de l’internet peuvent difficilement être mises en défaut, attaquons-nous à ce qui les relie à l’entreprise, c’est à dire à l’infrastructure d’Internet elle-même. Il nous promet des failles DNS de plus en plus fréquentes, pourquoi pas, mais j’ai surtout du mal à voir pourquoi cela n’impacterait que les services SaaS et pas les communications inter-sites actuelles des entreprises (applications du SI interne, VPN, mail…).

Mais je suis d’accord avec son constat dans ce billet plus ancien :

All of the previous 4 challenges discussed now become magnified as traditional solutions already suffering from critical challenges are now inserted in flows for partitioning VMs. Those partitions become resource-intensive toll booths that slow traffic and tie up more hardware resources, eroding the business case for virtualization (flexibility, consolidation, power savings, for example).

As we’ve discussed the five critical security requirements for the data center and the challenges facing security pros using deep packet architectures to protect critical systems (from heterogeneous server farms to Oracle databases, hypervisors and VMs), it becomes clear that network security needs a new approach.

[Bon, là où je vois ici une raison supplémentaire à l’externalisation pour raison de mutualisation et d’économie d’échelle, il envisage plutôt une utilisation par les entreprises de la technologie que sa société peut procurer.]

Nir Zuk souligne lui que le réseau interne de l’entreprise sera un facteur limitant. C’est certainement d’autant plus vrai que l’entreprise compte de nombreux salariés, sur des sites éparts et raccordés entre eux par des liaisons de faible bande passante. Les petites PME sont immunisées contre ce problème, la bande passante par utilisateur est largement suffisante. Les grands comptes par contre auront peut-être besoin d’investir dans une amélioration de l’infrastructure réseau et de peaufiner leur QoS à cause de l’augmentation significative de l’utilisation des ports 80/443.

Nir estime surtout que les réactions des DSI vis à vis de la tentation d’utilisation du SaaS par les métiers ne peuvent être que les suivantes:

they need to go through the five stages of grief :

1) Denial (our users are using these applications? Nah!);

2) Anger (our users are using these applications? WTF!);

3) Bargaining (hey, if you stop using these applications we will upgrade your computer);

4) Depression (I can’t believe our users are using these applicationsL);

5) Acceptance (fine, are users really using these applications – let’s deal with it).

Il ne semble pas imaginer qu’il soit possible que le DSI puisse positivement favoriser cette utilisation, afin de mieux servir les métiers. Il est vrai que sa société vend des filtres réseaux pour empécher les utilisateurs internes d’accéder à certains services sur Internet… du SaaS ban en somme.

Je pense pour ma part que l’utilisation du SaaS ou du Cloud Computing, au lieu de la diminuer, peut même renforcer la sécurité du SI :

  • par exemple avec l’offre Postini qui protège de manière non intrusive contre les attaques par déni de service, mail bombing, intrusions réseau, pour 12$ / utilisateur / an, alors que l’infrastructure de sécurité est de plus en plus lourde à supporter pour les entreprises (cf Gartner)
  • un utilisateur interne mal intentionné doit franchir les mêmes barrages qu’un hackeur dans le cas d’un système SaaS
  • Les systèmes de fichiers sont cryptés à la volée sur Amazon S3
  • Salesforce.com Postiny et Google Apps sont certifiés SAS70 type II (American Institute of Certified Public Accounts Statement on Auditing Standards No. 70)

image D’après cette étude menée sur la politique de sécurité en entreprise, et à cause d’une valeur ajoutée perçue inférieure, la plupart des grandes entreprises assignent une priorité moindre à la protection des données des clients et des employés qu’à celle de la propriété intellectuelle. On peut à ce propos consulter la liste des vols de données personnelles aux US tenue à jour par l’association de consommateur Privacy Rights Clearinghouse. Depuis 2005, le total est de 245 millions d’enregistrements volés.

Voilà les premières préoccupations des responsables qui ont participé à cette enquète. Sans commenter l’ordre des priorités, à part la première ligne, tous les autres besoins peuvent être remplis en même temps en utilisant le SaaS ou le cloud computing.

image

Enfin, je laisse le mot de la fin au DSI d’Essilor, patron du Cigref, et qui vient de prendre position en faveur du SaaS :

« Quand on est ni Areva, ni Thales, il ne faut pas être un paranoïaque de la sécurité », rassure le DSI d’Essilor, pour qui dans les verres de correction, chacun sait tout sur ses concurrents. Pas besoin d’aller fouiller dans les emails, il suffit de commander des rapports à des sociétés d’études. Toute innovation sur les produits est de toute façon copiée par les Indiens et les Chinois avant 18 mois. Selon le DSI, c’est sur la logistique et les prestations sur mesure qu’il est possible de garder une avance plus durable.

Voilà un vrai plaidoyer pour l’informatique au service des métier. Essilor nous montre que les craintes sur la sécurité du cloud computing sont essentiellement dues à la myopie de notre prise de conscience😉

Mise à jour du 10/10 :

Certaines personnes craignent que leurs données, si elles sont hébergées aux USA, soient systématiquement consultées par le FBI, dans le cadre du Patriot Act. Dans cette loi, le FBI ne peut intervenir que pour récupérer des données personnelles (numéro de téléphone, de compte, donc certainement pas des secrets industriels) uniquement dans les cas de suspiscion de terrorisme ou d’espionnage, ce qui n’est évidemment pas le cas de l’activité de nos entreprises. Et les excès de zèle observés qui outrepassent le droit sont sous le coup d’une plainte. De plus le Patriot Act arrive à expiration en 2009.

En résumé cette mention du Patriot Act est encore un signe de frilosité irrationnelle. Si les USA veulent vraiment récupérer des vrais secrets industriels, il y a bien plus performant et systématique que d’aller fouiller les 29 milliards d’enregistrements cryptés d’Amazon S3. Les failles des Blackberry, très utilisé par nos managers, et Echelon sont beaucoup plus efficaces.

Mots clés Technorati : ,

4 commentaires pour Le cloud computing et la sécurité du Système d’Informations : une question de myopie ?

  1. […] le deuxième sur la myopie (concept Paulien à la mode) des discours concernant les questions de sécurité du cloud computing […]

  2. […] Le nouveau président du Cigref marche immédiatement dans les pas de son prédécesseur Didier Lambert, dont nous avons parlé de la position sur le SaaS. […]

  3. […] Il y répond en faisant l’analogie avec la comparaison entre la voiture et les avions : statistiquement les avions sont beaucoup plus sûrs mais la sensation de sécurité et toujours supérieure en voiture car on a l’impression de garder la maîtrise. Il rappelle que, pour les responsables de la sécurité des systèmes d’information, il y a souvent l’illusion d’être dans un risque zéro et très maîtrisé quand leur infrastructure informatique est à leur portée, dans leurs locaux. C’est bien souvent à partir de cette hypothèse illusoire qu’ils évaluent et jugent ensuite la sécurité des solutions en mode cloud computing (voir sur ce sujet le billet de Bruno Paul sur la sécurité et le cloud computing). […]

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :