Sécurité Cloud : vous a-t-on (vraiment) tout dit ?

,
Sécurité informatique

Le Cloud, c’est sur Internet. Et Internet n’est pas synonyme de confiance. Voici résumé en quelques mots les arguments des patrons d’entreprise les plus réticents au Cloud public. L’évolution technologique rapide a laissé de côté la pédagogie, et contribué à entretenir cet état d’esprit. Mais pas de panique, on vous propose de décortiquer le vrai du faux de ce sujet récurrent.

Il nous arrive encore en clientèle de nous voir opposer des objections au Cloud public. Pour les plus farouches – il en reste, mais de moins en moins, il s’agit même d’une fin de non-recevoir, tant qu’ils seront aux manettes de leur PME. Dans la majorité des cas, la crainte de laisser son informatique ouverte à tous les vents constitue le critère numéro un. S’il est illusoire de vouloir convaincre tout le monde, une grande partie de ces craintifs s’appuie sur des arguments infondés. Une sorte de zone grise qu’il est utile de démystifier.

Non, Cloud public ne signifie pas « ouvert au public »

Tout d’abord, mettre son informatique dans le Cloud public ne signifiera jamais la rendre accessible à tous. Lorsque vous connectez des ordinateurs sur votre réseau d’entreprise, vous ne vous demandez jamais s’ils sont accessibles depuis Internet, non ? Et pourtant ils disposent tous d’un accès à la toile… Alors pourquoi en serait-il autrement dans le Cloud ?

Vos différentes machines sont sécurisées de facto sur votre réseau par le routeur ou le firewall (la « box ») qui connectent vos bureaux à Internet. Ce B-A-BA de la protection réseau empêche par défaut toute connexion entrante depuis Internet. Mais laisse les connexions sortantes – celles effectuées depuis vos machines – se faire librement. Les machines dans le Cloud public bénéficient exactement du même mécanisme. Mais à la puissance 10, 100, ou même 1’000.

Car non seulement un serveur Cloud n’accepte pas par défaut de connexion depuis Internet, mais les services de Cloud public bénéficient d’armées d’ingénieurs et de moyens de surveillance hors-norme. Qui assurent que toute tentative d’intrusion sur vos machines sera détectée et annihilée en moins de temps qu’il ne faut pour l’écrire. Amazon Web Services assure détecter et bloquer 99% des tentatives d’attaque en moins de 1s. Qui peut en dire autant chez vous ?

Non, les fournisseurs de Cloud public n’accèdent pas à vos données

Les scandales récents de manipulation et de traitement de données personnelles – Facebook et Cambridge Analytics en l’occurrence – n’ont pas aidé à remonter l’estime du Cloud auprès des plus sceptiques. Toutefois, l’informatique Cloud des entreprises n’a rien à voir avec les applications en ligne. Tout d’abord parce vous avez donné votre consentement aux réseaux sociaux pour l’exploitation de vos données. Et surtout parce que ces applications – Facebook, Twitter, Instagram – ne vous appartiennent pas.

Dans le cas d’une application d’entreprise hébergée sur votre Cloud public, il y a une différence de taille : cette application, et les données qu’elle traite, restent sous votre contrôle. Le fournisseur de Cloud public se limite à mettre à disposition l’infrastructure pour exécuter vos programmes, et en stocker les données.

Mais, s’ils stockent vos fichiers, peuvent-ils tout autant y accéder en contrôlant les disques durs qu’ils vous louent ? Absolument pas : vous avez la possibilité, sans surcoût et pour quelques clics seulement, de les crypter avec vos clés d’encodage personnelles. Le prestataire Cloud, ou même toute entité extérieure – un voleur ou une autorité judiciaire – ne pourrait rien faire de la suite de bits qu’elle trouverait sur ces supports de stockage.

Non, votre informatique « maison » n’est pas plus sûre que le Cloud public

Va pour le cryptage qui rend vos données inexploitables par le commun des mortels, et inutilisables en dehors de votre organisation. Mais tout de même, avoir son serveur sous les yeux est rassurant, pensez-vous. Vous avez la possibilité de l’emmener ailleurs, de l’arrêter en cas de problème. Certes, mais disposer physiquement de ces machines vous expose au vol, au dégât des eaux, au feu, à la panne.

Autant de risques dont le Cloud public vous prémunit. Car leur prévention est traitée à l’échelle industrielle dans le Cloud. L’effet de volume joue son rôle à plein, et vous garantit une protection sans commune mesure avec ce que vous pourriez jamais vous offrir avec votre propre matériel, dans vos locaux.

Résultat ? Des taux de disponibilité proches de 100%. Et une fiabilité dont vous n’auriez pas même osé rêver. On parle de moins d’une chance sur 10 millions de perdre un fichier parmi 10’000. Par an.

Et oui, vous pouvez savoir où se trouvent vos données

La question n’est pas ici de connaître avec précision l’emplacement de l’équipement qui stocke vos fichiers. Vous ne pourrez de toute façon jamais y accéder physiquement, les datacenters de Cloud public étant aussi hermétiques que Fort Knox. Non, l’enjeu est plutôt de savoir sur quel territoire se trouvent vos ressources informatiques Cloud. Et par conséquent de quelle juridiction vous dépendez. Au cas où une autorité judiciaire soit saisie et que l’extraction de vos données soit ordonnée.

Depuis que le Cloud public existe, ou presque, vous avez la possibilité de choisir le pays dans lequel vos données se trouveront effectivement. Vous connaissez ainsi le niveau d’exposition en fonction des conditions réglementaires de cet état. Les fournisseurs Cloud s’engagent pour leur part à ne pas procéder à des copies en dehors du territoire de votre choix.

Et le meilleur des deux mondes est à portée de clic désormais, puisque Microsoft ouvrira deux régions d’hébergement de son Cloud Azure dès 2019. De quoi rassurer les plus frileux tout en bénéficiant des services de ce géant.

Envi de creuser le sujet de la sécurité Cloud ?

Je suis sûr que certaines de ces objections vous ont déjà traversé l’esprit. Mais avez-vous réellement pris le temps de vous pencher sur la question ? Avez-vous déjà (réellement) approfondi le sujet sans vous fier aux « on dit » ?  En un clic, vous pouvez bénéficier de notre expertise des Cloud publics, suisses et européens, pour vous guider vers la meilleure solution en accord avec vos besoins, et vos exigences en termes de sécurité et de prix. Abstraction faite des préjugés.

emmanuel dardaine expert cloud

Emmanuel Dardaine