Soyons directs et francs : la sécurité du cloud computing est une grande farce, un jeu de dupes, un miroir aux alouettes, un grand paradoxe. Oui, j'exagère un peu mais cela résume bien le fond de ma pensée. Passons en revue les acteurs de cette vaste supercherie. Je vous rassure, la fin est assez prévisible car elle se termine par le grand classique "maintenant, fini de jouer, tous au travail".
les diseurs de bonne aventure
D'un côté, il y a les analystes (Forrester, IDC, Gartner, Ovum, CurrentAnalysis, ...) et les fournisseurs de solutions de sécurité (Symantec, McAfee, TrendMicro, Sophos, ....) qui n'ont cessé de rappeler à renfort d'études et d'analyses que la sécurité est l'un des grands freins à l'adoption à l'informatique dans le cloud ; que celui-ci est ou sera l'objet de toutes les convoitises et détournements de toutes sortes.
Evidemment, les fournisseurs ne sont motivés que par une chose : vous vendre des solutions censées répondre aux craintes présentées par les analystes, le tout pour permettre aux entreprises et aux fournisseurs de services de cloud computing de faire ce qu'il faut pour se rassurer.
des entreprises peu motivées
De l'autre, il y a la réalité telle qu'il est possible de voir sur le terrain : la très grande majorité des entreprises utilisent des services en mode "cloud" sans vraiment se poser de questions. C'est surtout vrai pour les petites et moyennes entreprises : elles n'ont ni les compétences ni les ressources pour se poser ce genre de questions.
L'exception étant peut-être au niveau de certains grands comptes : certains d'entre-eux prennent la peine de poser quelques questions quant à la sécurité des services cloud proposés. Après, ils sont rares, voire très rares, ceux qui continuent une fois l'addition devant les yeux... car oui, la sécurité a un coût. Ce coût peut être indirect comme c'est le cas des études réalisées en amont (il faut bien se poser des questions sur le niveau de sécurité attendu et étudier les réponses de ses fournisseurs potentiels) que direct quand le fournisseur affiche les prix de ses services de sécurité qu'ils soient "by design" ou en mode "optionnels".
des fournisseurs de services tirant vers le bas
Au milieu, juste entre les entreprises et les sonneurs d'alerte, on retrouve les fournisseurs de services de cloud computing. Une grande majorité d'entre-eux font le strict nécessaire (et encore) pour sécuriser leurs services. Souvent les choses se résument à une déclaration d'intentions dans une page "sécurité" de leur site web avec un contrat tellement long que personne ne prends le temps de réellement le lire.
Faut-il leur jeter la pierre à ces fournisseurs ? Dans certains cas oui, clairement, car à ne pas faire ce qui doit être fait en terme de sécurité ils mettent en péril les données de leurs clients. D'un autre côté, ce sont ces mêmes clients qui en cherchant le meilleur service au prix le plus bas qui tirent mécaniquement les prix vers le bas : nous sommes ici typiquement dans les appels d'offre dit en "moins disance" où le prix est l'un des facteurs discriminant essentiel.
Ne pas généraliser mes propos : certains fournisseurs font ce qu'il faut pour sécuriser leurs services. Il n'y a donc pas que des moutons noirs dans le troupeau.
au milieu de la scène des acteurs qui s'agitent
Entre les analystes, les éditeurs de solutions de sécurité, les clients et les fournisseurs de service de cloud computing, il y a des organisations comme l'ENISA, la Cloud Security Alliance ou les organes gouvernementaux qui s'activent et qui tentent de ramener tout le monde sur des bases communes, histoire de faire des choses cohérentes d'un point de vue sécurité.
Car le grand "hic" c'est que tous ont raison (au moins sur les grandes lignes) : le cloud computing c'est la promesse de services économiquement intéressants, souples et sécurisés. Il reste que c'est un sujet en pleine gestation et qu'encore bien des choses restent à définir et à mettre en oeuvre.
est-ce que tout est perdu ?
Non, clairement les choses bougent, les travaux de la Cloud Security Alliance vont dans le sens de plus de maitrise et de transparence quant au niveau de sécurité des services proposés par les fournisseurs à leurs clients. Les groupes de recherche PLA (Privacy Level Agreement) ou celui sur OCF (Open Certification Framework) vont dans le bon sens.
Après, c'est comme tout : si ces outils ne sont pas utilisés ils ne servent à rien.
un peu de "télé-réalité" pour la fin
Je terminerai sur un exemple "real life" : je n'ai pas encore vu un seul grand compte utiliser la Cloud Control Matrix (CCM) dans le cadre d'une consultation alors qu'elle existe depuis 2010. C'est à se dire que ces grands comptes (ou les sociétés de conseil qu'ils engagent) ne savent pas ce que fait la Cloud Security Alliance. :-)
Ou alors, c'est qu'ils considèrent que la CCM n'est pas adaptée : dans ce cas ils devraient le faire savoir.... Une autre explication pourrait venir du fait que je regarde trop la télé francophone et pas assez celle en anglais...
Jean-François
Crédit photo : © Elnur - Fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens