blogpost

Le cloud est-il sécurisé ?

Plus le temps passe, plus j'arrive à me mettre dans la peau de non-informaticiens, ce qui est un exploit pour des informaticiens comme moi.

Récemment j'ai commencé à comprendre le rapport que la plupart des gens ont avec le "cloud". Voici mes trouvailles.

1) N'ayez pas honte de dire que vous ne savez pas ce qu'est le cloud

Qu'on soit un professionnel de l'IT aguéri ou un utilisateur classique d'un téléphone portable, le terme "cloud" fait désormais partie de notre vocabulaire quotidien. Pourtant, pratiquement personne n'est capable de vous le définir. C'est ce qui arrive quand des expressions utilisées par les spécialistes deviennent des buzz word du grand public. On a du mal à oublier Frédéric Lefebvre transpirer pour définir le web 2.0 alors qu'il employait le terme à tout bout de champs.

Les geeks comme moi avons eu du mal à accepter l'utilisation du mot "cloud" un peu à toutes les sauces. A l'origine ce terme est un raccourci de "cloud computing", ensemble d'outils très poussés pour distribuer des calculs complexes sur plusieurs machines.

Aujourd'hui lorsqu'on parle de "cloud", on parle d'un ensemble d'outils qui permet de traiter ou stocker des données ailleurs que sur vos appareils. C'est vraiment cette notion de "ailleurs" qui définit le cloud. Quelque chose "dans les airs" a toujours désigné quelque chose qui est au-dessus de l'Homme, quelque chose qu'on n'a pas à comprendre, qui n'est pas d'ici, de notre monde. Pourtant, en réalité, ces outils ne sont évidemment pas dans les airs, mais dans des data-centers. Les data-centers sont des bâtiments qui contiennent énormément d'ordinateurs (appelés dans ce contexte "serveurs"), et qui sont parfois de véritables bunkers impressionnants à voir.

datacenter building


2) Si c'est ailleurs, c'est chez qui ?

C'est la question la plus légitime qu'on peut se poser. Qui sont ces personnes qui hébergent vos données et les traitent? Quelles précautions prennent-ils pour protéger vos données?

La confusion pour le grand public vient souvent du fait que l'interaction commerciale et technique sont inversées entre les acteurs. Explication :

Lorsque vous utilisez une application web, il y a deux acteurs principaux qui interviennent :

  • L'éditeur : l'entreprise qui a développé le logiciel,
  • L'hébergeur : l'entreprise qui héberge le logiciel dans les data-centers.

Vous êtes client de l'entreprise "éditeur", qui est cliente de l'entreprise "hébergeur". Tandis que sur le plan technique, vous intéragissez avec l'entreprise "hébergeur", qui délivre à votre navigateur ce que l'entreprise "éditeur" leur a envoyé.

Sur le plan de la sécurité, c'est donc ce que font les deux entreprises qui est important.

En général, les entreprises qui hébergent ont une excellente expertise de la sécurité informatique. Donc si les applications que vous utilisez sont hébergées chez un hébergeur connu tel que OVH ou Amazon, vous n'avez aucun souci à vous faire de ce coté là. Outre la protection contre les cyber attaques, ces entreprises prennent des mesures contre les coupures de courant (pour empêcher la détérioration des appareils), les incendies et les autres risques naturels. En bref, un hébergeur reconnu vous assure une sécurité forte contre les attaques et une accessibilité permanente quels que soient les aléas environnementaux.

En revanche, pour ce qui est des éditeurs, vous êtes en mesure de vous poser des questions. En effet les éditeurs peuvent, volontairement ou non, exposer les données de leurs applications vous concernant à de tierces personnes.

Pour ce qui est "volontaire", il est primordial de lire attentivement les conditions générales de vente et de leur poser les questions sur leur adéquation à la loi informatique et libertés. Certaines entreprises affichent clairement leur volonté de partager vos données avec leurs partenaires. Pour le moment, il s'agit principalement des services aux Etats-Unis qui s'adressent au grand public. Les éditeurs de logiciel pour entreprise ne risquent pas l'exposition de vos données car leur business model ne le nécessite pas.

Pour ce qui est de l'exposition à l'insécurité "involontaire", c'est plus délicat. Voici quelques questions que vous pouvez poser à l'éditeur de logiciels SaaS :

  • où sont hébergés vos applications? quels types de machines utilisez vous? quelle est votre politique de mise à jour de sécurité?
  • quels outils de monitoring utilisez-vous contre les cyber-attaques?
  • comment les serveurs que vous utilisez communiquent entre eux? quelles précautions de sécurité prenez-vous pour cette communication ? (par exemple connexion entre le serveur applicatif et le serveur de base de données)
  • comment vos salariés se connectent aux serveurs? quelles précautions de sécurité prenez-vous pour ces connexions?
  • quelle est votre politique de mot de passe?
  • effectuez-vous des backups? si oui, à quelle fréquence? et à quelle échéance?

Ces questions sont volontairement vagues, car les précautions pour la sécurité ne sont pas limitées à des choses spécificiques. Ainsi, si vous n'êtes pas vraiment un technophile, il est préférable de faire poser ces questions par une personne avertie.

Les éditeurs et les hébergeurs prennent en général ces points très au sérieux car une atteinte à leur système peut mettre en péril toute leur existence. Ainsi les précautions qu'ils prennent sont beaucoup plus élevées que les protections que peuvent mettre en place des entreprises qui ne sont pas spécialisées dans l'informatique.

3) Mes données sont-elles en sécurité ?

Pour résumer, on peut dire que vos données sont en meilleure sécurité que si vous les hébergiez chez vous, à condition de vérifier le sérieux des éditeurs de logiciels dont vous êtes client.