Localisation des données : quels sont les risques du cloud ?

• Peut-on faire confiance au cloud computing ?
• Localisation des données : quels sont les risques du cloud ?
• 2. Quelles solutions logicielles choisir ?
• Le cloud, combien ça coûte ?
• Une fois dans le cloud, peut-on en redescendre ?

Envoyer ses données dans le cloud peut avoir quelque chose d'angoissant. Il y a deux ans, l'opérateur BSO Network Solutions a ainsi dû répondre à une exigence inattendue : l'un de ses clients lui a demandé d'installer des webcams en face de ses serveurs. Histoire de surveiller à distance que personne ne touche aux machines et de vérifier que les voyants clignotaient toujours en vert, signe que tout fonctionne bien… “ La sécurité du cloud suscite des craintes. Mais elles sont plus souvent d'ordre psychologique que technique ”, estime Gilles Fabre, le directeur général de BSO Network Solutions. D'ailleurs, si les affaires de cet opérateur se portent bien, c'est aussi parce qu'il dispose d'une offre de datacenters de proximité. “ C'est irrationnel, mais certaines entreprises sont rassurées de savoir leurs données hébergées à 50 kilomètres plutôt qu'à 1 000 ”, constate Gilles Fabre.

Mais les centres de données des grands acteurs du cloud sont rarement proches des clients. Quand on utilise une application en mode Saas (Software as a Service) de Microsoft, Google ou Salesforce, ceux-ci stockent les informations dans une poignée de salles blanches éparpillées aux quatre coins du monde. Beaucoup d'autres éditeurs cloud, tels Evernote ou Dropbox, sous-traitent ce stockage à d'autres opérateurs de datacenters comme Amazon, entre autres.

Les législations nationales ne sont pas harmonisées

Là encore, difficile de savoir où et dans quelles conditions. Les conséquences de cette dispersion – et de cet éloignement – sont importantes sur le plan juridique. En effet, selon le pays où sont hébergées les données, la législation qui leur est applicable diffère. En droit français, celles à caractère personnel – en particulier dans le domaine de la santé – ne peuvent être transmises à d'autres personnes que celles à qui elles sont confiées par contrat. On pourrait penser que les prestataires hexagonaux respectent tous cette contrainte légale, mais dès lors que les contenus d'un datacenter sont dupliqués dans un centre situé sur le sol américain (pour des raisons de sécurité par exemple), c'est la législation des Etats-Unis qui s'applique alors.

“ Selon le droit européen, et a fortiori français, les données confiées à un tiers restent la propriété du client et la loi interdit au prestataire de les divulguer. Dans les pays anglosaxons, le prestataire devient le propriétaire des informations. Et il n'est soumis à aucune obligation de protection ”, explique Eric Filiol, le directeur du laboratoire de virologie et de cryptologie de l'école d'ingénieurs Esiea. Depuis la promulgation du Patriot Act, le gouvernement américain est ainsi autorisé, après décision judiciaire, à fouiller les données entreposées sur son sol, donc au cœur des datacenters de Microsoft, d'Amazon, de Salesforce et de Google !

Cette spécificité constitue un excellent argument en faveur des offres hexagonales comme celles de Numergy et Cloudwatt, lancées à grand-peine l'an dernier. Les pouvoirs publics assurent leur promotion en espérant que les éditeurs nationaux les privilégieront pour héberger leurs logiciels en mode Saas. “ Si une entreprise en exprime le besoin, nous pourrons lui assurer que ses informations ne sortent pas de France ”, confie Cédric Prévost, directeur de la sécurité de Cloudwatt. Pour le client, il est rassurant de savoir qu'il n'aura pas, en cas de pépin, à gérer de litige auprès d'une juridiction située à l'autre bout du monde.

La fiabilité est bonne malgré quelques pannes

En effet, le risque que des données, parfois stratégiques, soient compromises n'est pas nul. Des incidents de nature logicielle ou matérielle se produisent régulièrement : défaillances de Microsoft Azure en février 2012 puis en février 2013, pannes de Salesforce l'été dernier, les centres de données de la côte est des Etats-Unis douchés par l'ouragan Sandy en octobre dernier… Selon l'International Working Group on Cloud Computing Resiliency, les 13 premiers fournisseurs mondiaux ont cumulé 568 heures d'indisponibilité sur les cinq dernières années. Le fameux “ 99,99 % de disponibilité ” annoncé à tout-va par les prestataires n'est donc globalement pas respecté.

Qu'importe, rétorque Julien Chambert, le directeur gestion, supports et systèmes d'Avexia Voyages : “ Avec le cloud, nous disposons aujourd'hui d'une meilleure fiabilité que lorsque notre informatique fonctionnait en interne. ” Il n'hésite plus à héberger dans le cloud d'Amazon des applications sensibles, notamment celle qu'utilisent les professionnels pour enregistrer les réservations de billets. Pour Eric Tirlemont, du cabinet Kurt Salmon, les dysfonctionnements sont bien moins importants que les bénéfices : “ Je ne me souviens d'aucun problème majeur. En revanche, grâce au cloud, nos bureaux, (de Tokyo à San Francisco) peuvent utiliser des applications qui fonctionnent tout le temps sans que nous ayons besoin d'investir dans une équipe qui assure la maintenance 24 h/24 et 7 j/7. ”

Les directions techniques relativisent les imperfections du cloud. Peut-être parce que nombre d'entre elles en ont vu d'autres, depuis dix ans qu'elles externalisent leur informatique chez des tiers. Du côté des directions métier, en revanche, le niveau de tolérance est moindre : “ Avec la suite bureautique en ligne Office 365 de Microsoft, il y a parfois des lenteurs qui énervent, notamment lorsqu'un utilisateur envoie un courriel à son voisin de bureau et que celui-ci le reçoit jusqu'à deux à quatre heures plus tard ”, témoigne Arnaud Lefrançois, directeur du service achats du groupe industriel Exxelia. Et de déplorer l'absence sur le marché d'un tiers de confiance capable de mesurer les performances des clouds d'Amazon, de Microsoft, de Salesforce et consorts.

Certes, les géants ont leurs faiblesses. Mais contrairement à ce qu'ils avancent, les prestataires de proximité ne sont pas forcément de meilleure qualité. “ Il faut se méfier de ce que les SSII vendent comme étant du cloud et qui n'est que de l'externalisation à bas prix, sans garantie de sécurité ”, lance Emmanuel Houzel, consultant chez Kurt Salmon. Cet expert rappelle le cas du prestataire britannique 2e2, mis en faillite il y a quelque mois et dont les clients ont dû payer un supplément pour récupérer leurs données, malgré les engagements contractuels. Chez les petits acteurs, le consultant en sécurité Hervé Schauer dénonce les cascades de sous-traitants, parfois inattendus, qui diluent les responsabilités.

Les utilisateurs ne sont pas assez formés

La cybersécurité est l'autre grand sujet d'inquiétude. Plus les datacenters dédiés au cloud, comme ceux d'Amazon, grossiront, plus ils deviendront des cibles de choix pour des pirates voulant paralyser des pans entiers de l'économie. L'été dernier, le populaire service de stockage et de partage de copies de fichiers locaux en ligne Dropbox a été victime d'une attaque qui rendait possible une intrusion frauduleuse dans les comptes de ses utilisateurs. Le fournisseur américain a réagi en renforçant les mesures d'authentification de ses clients, qui doivent désormais saisir un code envoyé par courriel ou SMS. Mais le mal était fait.

Eric Filiol ne cache pas son inquiétude. “ S'il ne faut pas diaboliser le cloud, de nombreux acteurs ont toutefois investi ce marché lucratif (Gartner l'évalue à 131 milliards de dollars en 2013, avec une progression de 18 % – NDLR) sans mettre en place une sécurité suffisante ”, résume ce chercheur. Les audits ne manquent pas de relever des vulnérabilités : “ Absence de cloisonnement entre les données de différents clients, systèmes de sécurité désactivés pendant les mises à jour, chiffrement inexistant… ”, énumère Loup Gronier, directeur de l'innovation du cabinet Lexsi, spécialisé dans le conseil en sécurité de l'information.

Le danger ? Que des utilisateurs inexpérimentés stockent des informations dans le cloud sans respecter les règles basiques de sécurité. “ Les directions métier, séduites par la facilité et la souplesse du cloud, n'attendent plus de blanc-seing de leur DSI. Elles souscrivent aujourd'hui à des applications en ligne au mépris de la politique de sécurité de l'entreprise ”, constate Frédéric Connes, consultant chez HSC. D'après l'éditeur Symantec, 70 % des sociétés françaises ont déjà été confrontées au déploiement sauvage d'applications cloud, non autorisées par les services compétents.

Le volet sécurité du cloud, qui revêt des aspects techniques et juridiques, réclame donc une vigilance redoublée de la part des entreprises, tout autant que des efforts de la part des fournisseurs. Mais la guerre des prix actuelle sur le marché du cloud inquiète les experts. “ Quand les prestataires font des économies pour baisser leurs coûts, la sécurité et la qualité sont rarement prioritaires ”, conclut Loup Gronier. Les entreprises, en période de restriction budgétaire, sont-elles encore prêtes à payer pour se protéger d'un risque qu'elles sous-estiment souvent ?