Cloud computing
- Xavier Delligne
Tous
Peut-on se fier au Cloud ?
Le Cloud Computing fait désormais partie du paysage informatique, comme l'Internet des Objets (IoT) et le « Big Data ». Ils constituent une évolution inéluctable de l'Internet, des métiers et de l’informatique, avec une ère nouvelle pleine de promesses et de nouvelles potentialités mais avec aussi de nouveaux risques
Qu’est-ce le Cloud Computing ?
Le Cloud public suscite l’intérêt, génère des facilités mais aussi des dangers potentiels : rendre l’ensemble des ressources accessibles de partout et en tout temps par des logiciels simples et intuitifs.
Pour comprendre, rappelons que le Cloud Computing est une approche informatique qui consiste à exploiter via Internet des ressources système et applicatives (serveurs, stockage, outils de collaboration et de communication, etc.). Le Cloud Computing permet l'accès aisé, rapide et à la demande à un « pool » partagé de ressources informatiques, configurables et mutualisées.
Tant pour l’usage privé que professionnel, le Cloud Computing s’est développé de manière fulgurante depuis plusieurs années autour d’énormes Datacenter, de millions de kilomètres de fibres optiques, de satellites et équipements de communication, de milliers d’applications informatiques, etc.
Citons comme exemples : outils de messagerie, téléphonie, réseaux sociaux, e-commerce et autres services en ligne, stockage de données, etc.
Le Cloud Computing transforme ainsi la chaîne logistique traditionnelle en « toile logistique » où les partenaires échangent des données via des passerelles numériques sur Internet, sans aucune autre forme de transfert. C'est une révolution qui bouleverse notre société.
Confier ses données sur des serveurs externes dans le Cloud et les partager avec d’autres personnes (Box, Dropbox, ...) via des mécanismes d’accès simples même si une identification est requise, utiliser des applicatifs sur serveurs externes dans le Cloud (service SaaS), exposent aux regards ‘indiscrets’ ou non autorisés.
Quelle garantie avons-nous sur les données stockées si un pirate ou une personne mal intentionnée exploite des failles de sécurité des fournisseurs de services ?
Il n’y a bien sûr aucune garantie absolue !
Il faut bien évidemment vérifier les conditions de stockage. Et pourtant, garder tout en local, ne rien partager n’est plus de ce monde.
Le risque de se tourner vers le Cloud est-il plus élevé que faire face à la sécurisation de ses données sur des serveurs de l’entreprise ?
À l’UCLouvain, le Cloud est exploité pour plusieurs usages comme le courrier électronique et la bureautique avec Microsoft365 Online, le recrutement avec Success Factors, la recherche avec usage fréquent de Dropbox et ... le GRID Computing du CISM (Calcul Intensif et Stockage de Masse) par mutualisation de ressources en cluster entre plusieurs partenaires.
Les fournisseurs garantissent en principe la protection des données dans leur contrat et la règlementation européenne, mais ...
Mystérieux quand même par ses aspects de globalisation et de mutualisation, le Cloud a des avantages évidents : potentialités énormes, plateformes prêtes à l’emploi, accessibilité des services, réduction des coûts y compris en consommation énergétique, etc.
Quels sont les risques du Cloud ?
Tout parait gigantesque, illimité et peut-être même incontrôlé dans le Cloud. Peu importe où on est dans le monde, la même information est consultable instantanément. Celui qui cherche un peu peut savoir presque tout sur tout le monde.
L'utilisateur est-il conscient des traces qu'il laisse de lui sur la toile et de ce qui en est fait ?
Les potentialités du Cloud permettent également le stockage des informations glanées durant l’activité numérique des internautes.
Explication complémentaire :
Le modèle Cloud en tant que tel ne peut pas être « attaqué ». Ce n’est pas une technologie à part entière mais une multitude de technologies, avec chacune leur niveau de sécurité.
Un service web accessible dans le Cloud comporte potentiellement plusieurs points susceptibles d'être infectés : faille sur le site web lui-même, faille 'système' sur le serveur qui l’héberge, compromission des flux réseaux, etc.
Le niveau de sécurité d'un service Cloud n'est jamais que celui de son maillon le plus faible.
Les réticences à l’adoption du Cloud sont généralement liées à une méconnaissance des risques possibles en matière de sécurité des données, au manque de transparence dû à l’éloignement (par rapport à une infrastructure locale), à la multitude des acteurs (intermédiaires) impliqués, et aux diverses législations en vigueur.
Le risque du Cloud est de s’exposer aux « regards » des moteurs de recherche (et à l’exploitation des données par le « big data ») si on y prend garde.
Comment des informations personnelles se retrouvent-elles sur le Cloud ?
Par la navigation (enregistrement de « cookies »), par l’identification et l’introduction de coordonnées lors du remplissage de formulaires, via des inscriptions ou achats sur divers sites, etc.
Attention aussi aux faux mails qui invitent parfois à réinitialiser vos comptes ...
… c’est le début des déboires.
Un nouveau paradigme de la sécurité est là : il s’agit désormais de « surveiller » les données susceptibles d’être exfiltrées du Cloud plutôt que les tenir à l’écart du Cloud.
C’est ainsi que des sociétés qui s’évertuaient auparavant à tenir des informations sensibles éloignées du Cloud scrutent désormais d’un œil attentif toute fuite de données sensibles hébergées dans des applications Cloud.
On a ainsi découvert la mise en vente de mots de passe d’administrateurs Microsoft365 globaux sur le Darknet. Ce genre d’incident risque de se multiplier à l’avenir.
Comment se protéger dans le Cloud ?
Une règle simple : On ne confie pas tout au Cloud, ni n’importe comment !
Pourtant le Cloud Computing est utilisé au quotidien sans s'en rendre vraiment compte, sans précaution et avec parfois encore un peu de naïveté.
Or, toutes les activités numériques sont bel et bien enregistrées, visibles et potentiellement exploitables.
L'utilisateur doit rester vigilant quant aux données personnelles et confidentielles de sa vie privée et de l’UCLouvain qu'il confierait au Cloud et qui pourraient être exploitées dans le « Big Data » ou frauduleusement.
Travailler dans le Cloud nécessite donc une approche, des réflexes et une vigilance nouvelle, dans les choix de solutions, il faut être extrêmement critique.
Citons quelques points de prévention :
Restez cohérent avec la politique globale de sécurité du système d'information de l’UCLouvain.
Disposez localement et en lieu sûr des données vitales nécessaires au fonctionnement du service ou de l’UCLouvain
Disposez d’un plan de continuité de service en cas de défaillance du Cloud
Chiffrez les données sensibles dans certains contextes
Lors de la passation de marché de services Cloud, pilotez et cadrez la réalisation des prestations (clauses contractuelles avec les fournisseurs, transfert de responsabilités portant sur la sécurité des données, clauses de confidentialité, d’audibilité et de réversibilité).
Que faire en cas de problème ?
Il n'y a pas de remédiation car le Cloud est un modèle disruptif. Il n'y a pas de retour en arrière possible.
Il faut savoir que certains fournisseurs établissent une classification des données permettant d’identifier les ressources qui revêtent le plus de valeur → cette manne précieuse peut ainsi être exploitée.