Le but de cette conférence était de réfléchir sur les conséquences en terme de sécurité ou juridique du Cloud Computing. La salle bien remplie démontre que ce sujet est d’actualité et que la sécurité du cloud reste un chantier en cours.
Mr Saulière (Microsoft) a fait un panorama de la sécurité du Cloud Computing bien étayé par les différents travaux. Il a évoqué les facteurs d’adoption du Cloud en France en indiquant que le Cloud privé est la solution envisagée par une majorité (67%) des entreprises. Celles-ci souhaitent garder le contrôle de leur SI. La même étude montre que le frein principal reste la confidentialité et l’intégrité des données. Il a présenté les risques du Cloud analysés par le CSA (http://www.cloudsecurityalliance.org/) et l’ENISA.
Ces deux études démontrent que le Cloud computing, amplifient des problèmes qui existent déjà dans les SI traditionnels. Le risque numéro un cité par le CSA est l’usage des capacités du Cloud Computing Public par des hackers ou des organisations mafieuses comme ressources de traitement efficace, bon marché et potentiellement anonyme si le processus de vérification d’identité n’est pas fiable. J’ai d’ailleurs demandé leur avis sur ce risque aux intervenants lors de la séance de question / réponse, et il n’y a malheureusement pas de réponse. L’ENISA a édité un rapport sur les risques du Cloud Computing en 2009, notamment le risque d’enfermement dans une solution Cloud qui peut rendre difficile un changement de solution et les risques engendrés par les ordonnances légales (coté client – comment y répondre quand son SI est dans le nuage ? – et fournisseur – comment se protéger d’une divulgation des données de l’entreprise à un état étranger ?).
Mr Duproz (TelecityGroup) a donné son avis de fournisseur de service Cloud Computing, confirmant que les métiers de l’hébergement est en train de muter. Les facteurs qui sont à l’origine sont les technologies de virtualisation, couplées avec une augmentation de la capacité des serveurs et une augmentation des capacités réseau. Cette mutation apporte une impression de simplicité aux clients, mais elle cache une réalité complexe. Les offres de service Cloud masquent les ressources de traitement physique et pour garantir le niveau de service, les fournisseurs doivent anticiper les besoins de leurs clients. Les centres de données sont devenus des acteurs clés du Cloud Computing et comme ils sont répartis dans le monde entier, les services rendus peuvent l’être au plus près des utilisateurs. La sécurité de ces centres reste un point critique, du point de vue physique (énergie, climatisation, protection anti-incendie, contrôle accès aux locaux) que du point de vue connectivité avec les clients (administrateurs) et les utilisateurs des applications. En conclusion, Mr Duproz a fait référence à une étude Deloitte en rappelant la sensibilité potentielle des données saisies dans un service Cloud et l’importance d’obtenir des garanties sur la suppression effective des données lorsque le service n’est plus utilisé.
Maitre Poidevin a exprimé son point de vue de juriste sur le Cloud Computing. Elle a en introduction rappelé que les contrats doivent être négociés et surtout certaines clauses sensibles liées aux devoirs et responsabilités des contractants. Les contrats de Cloud Computing sont des contrats de sous-traitance au sens juridique. Les problèmes juridiques ne sont pas fondamentalement différents de l’IT traditionnelle, mais les recherches de preuves peuvent être plus complexes du fait de l’éclatement des informations. Les données stockées dans le Cloud peuvent avoir un caractère personnel et il ne faut pas oublier que c’est le client du service Cloud qui reste le responsable des traitements, et donc du suivi des contraintes réglementaires. Il n’est pas possible de transférer cette responsabilité au fournisseur du service. La sécurisation des données et surtout leur localisation sont des points clés d’attention lors de la souscription au service. Une partie du savoir-faire de l’entreprise peut être stockée dans le Cloud et si c’est le cas, il vaut mieux définir à l’avance dans le contrat le niveau d’indemnisation suite à un défaut du fournisseur, car il est en général très compliqué d’évaluer la valeur d’une perte de données. La protection de la propriété intellectuelle passe par le chiffrement des données. La responsabilité du fournisseur doit être engagée sans clause limitative abusive, et il ne faut pas oublier d’analyser les clauses restrictives d’indemnisation des assurances du fournisseur.
A l’issu des présentations, quelques questions ont pu être posées :
- Comment prouver l’intégrité des données ou des traitements après un incident chez un fournisseur de service Cloud Computing ?
La réponse juridique est que le sous-traitant est soumis à l’instruction du responsable des données ou des traitements. C’est donc au client du service Cloud d’opérer les vérifications préalables à la reprise du service. - Qui est responsable si suite à une intrusion sur un serveur hôte d’un fournisseur de service Cloud, une intrusion est également opérée sur le serveur virtuel d’un client ?
Le client est considéré comme une victime secondaire, et le fournisseur comme une victime. L’enquête passera par une réquisition nationale, européenne ou internationale selon la localisation du fournisseur et des serveurs. - Quel est l’impact écologique des datacenters (+ en + gros, + en + de capacité de traitement) ? et faut-il s’attendre à des réactions des écologistes (sic) ?
La concentration des traitements de données dans des centres dédiés et mutualisés permet au contraire de réduire les besoins énergétiques de l’informatique. Les améliorations sont constantes et l’informatique permet de réduire l’empreinte carbone des entreprises. Concernant les réactions d?écologistes, les data centres ne sont pas spécialement visibles, au sens où il n?y a pas de pancartes les annonçant. - Est-ce que la réflexion sécurité sur le Cloud Computing est urgente car la mutation de l’IT est engagée et irréversible ?
Il n’y a pas eu de réponse à cette question qui a fait débat. Moi je pense que les critères sécurité “standards” doivent être réévaluer, et vous, vous en pensez quoi?
(10 votes)
Loading ...