Sécurité virtuelle versus dangers bien réels
Si l’e-mail a été, historiquement, le premier service envoyé dans le ‘cloud’ (pensez à Hotmail ou Gmail), une pléthore d’autres sont basés sur ce nouveau paradigme: Customer Relationship Management (Salesforce.com), sauvegarde et partage de données (Dropbox), comptabilité, etc. Tous ces outils sont consultables à travers la fenêtre d’un navigateur Internet, quel que soit le poste de travail que vous utilisez. Généralement, seuls un identifiant et un mot de passe vous sont demandés pour vous connecter.
Le ‘Cloud’ n’est pas uniquement une nouvelle avancée technologique: en rendant les données accessibles partout et tout le temps, il produit aussi une mutation profonde pour l’ensemble de la société. À terme, le ‘Cloud’ augure d’un nouveau monde où les terminaux ne seront plus que des passerelles avec ces gigantesques centres de données où seront stockées les informations sur notre métier, notre vie de famille, nos loisirs et divertissements… Classeurs et bibliothèques pourraient donc être frappés d’obsolescence programmée à l’horizon d’une décennie.
Totalement virtualisées, ces nouvelles plates-formes affichent des modèles économiques innovants qui bouleversent les anciens standards du secteur technologique. Dans le jargon professionnel, on parle ainsi de ‘IaaS’ (‘Infrastructure as a Service’), SaaS (‘Software as a Service’) et de ‘PaaS’ (‘Platform as a Service’). Plus besoin d’acheter de licence ou de gérer en interne une infrastructure technologique complexe: dans le Cloud Computing, vous payez à l’usage pour une technologie entièrement externalisée sur le Net. Plus de souci avec la maintenance du produit: celle-ci s’effectue dans de gigantesques centres de données qui permettent des économies d’échelle massives. À la clé pour l’entreprise: plus de performance, moins de coûts et plus de flexibilité grâce à cette approche ‘self service’ qui se révèle d’autant plus séduisante en période de crise.
De nouveaux défis
« Solution-miracle au premier abord, le Cloud Computing recèle pourtant sa face cachée, souligne Rémi Fourdrinier. Ces derniers mois, on a vu les attaques et failles de sécurité se multiplier au sein d’entreprises et organisations de premier plan, comme Sony ou le Fonds Monétaire International, chez qui le ‘nuage’ occupe désormais une place stratégique. » Des incidents parfois graves qui nous rappellent que, même dans les nuages, la sécurité compte, ce que démontre d’ailleurs une étude réalisée par le cabinet d’audit Ernst & Young.
Celle-ci révèle que si plus de la moitié des entreprises dans le monde augmente son budget consacré à la sécurité informatique de plus de 5% d’année en année, 63% d’entre elles ne disposent néanmoins pas de cadre général d’organisation de la sécurité, avec moins de 5% bénéficiant des compétences leur permettant d’évaluer les risques. En outre, 38% des entreprises recourant au cloud n’ont réalisé aucune analyse des menaces associées à cette pratique.
« Les entreprises ont tout intérêt à élaborer dès maintenant une stratégie de gouvernance IT et de sécurité adaptée. »
« Le cloud repose sur une utilisation massive de la virtualisation, poursuit-il. Ces technologies désormais éprouvées posent donc toutefois de nouveaux défis tant en terme de sécurisation des données que d’accès aux applications essentielles au bon fonctionnement quotidien de l’entreprise. Les serveurs, plaque tournante du Cloud Computing, peuvent être vulnérables et leur sécurisation par des solutions traditionnelles engendrent de nouveaux problèmes – phénomène dit ‘AV Storm’ pouvant bloquer les serveurs, vulnérabilités au démarrage des VMs, ralentissement de l’accès aux données et applications, etc. – et limitent les avantages financiers de la virtualisation – notamment en réduisant le ratio de consolidation des serveurs, c’est-à-dire le potentiel de machines virtuelles qu’un serveur est capable de ‘supporter’. »
Votre entreprise veut investir dans le Cloud Computing? Bravo. Mais ne sous-estimez pas la dimension sécurité, conclut-il. « Le ‘Cloud Computing’ impose les mêmes mesures de prudence que dans les systèmes traditionnels. L’externalisation des données hors des murs de l’entreprise ne dispense pas de réfléchir à un plan de sécurité global qui assure la pérennité et l’imperméabilité des informations ‘critiques’. Face au développement très important de la virtualisation, les entreprises auraient donc intérêt à élaborer dès maintenant une stratégie de gouvernance IT et de sécurité adaptée, qui garantira l’intégrité des données et des systèmes dans ce nouveau monde où l’information sera définitivement dématérialisée… mais pas à l’abri de menaces qui, elles, demeureront bien réelles. »