La sécurité reste le talon d'Achille du cloud

“ Quatre-vingts pour cent des applications du nuage ne sont pas conformes aux normes de sécurité. ” C'est l'avis de Veracode, société spécialisée dans les outils de gestion des risques, qui précise qu'en l'état, “ ces solutions ne passeraient pas un audit PCI (Payment Card Industry) ”. Le constat est clair : si les offres arrivent techniquement à maturité, la sécurité fait défaut dans le cloud, causant la réticence des directions informatiques. Durant la Defcon, la conférence annuelle de hackers qui s'est déroulée cet été à Las Vegas, plusieurs faits marquants ont été pointés. La quasi-totalité des participants (environ 8 500) a déclaré que le nuage était une cible d'attaque facile. Près de la moitié a reconnu s'y être essayée, 12 % ont été jusqu'au bout. Pas très rassurant.Sur les six derniers mois, Veracode a enregistré une hausse de 200 % des demandes de soumission à examen d'applications web. Les résultats parlent d'eux-mêmes : “ Même après avoir réduit l'exigence des normes pour les logiciels considérés comme moins critiques, plus de la moitié ne respectait toujours pas un niveau acceptable de sécurité. ” Un taux encore élevé, mais ces demandes d'examen indiquent malgré tout une forte préoccupation de la part des éditeurs concernant ce sujet.Mais le Software as a Service (Saas) n'est pas le seul en cause. L'Iaas (Infrastructure as a Service) et le Paas (Plat-form as a Service) pèchent aussi sur la question de la localisation des données. Même si certains éditeurs (Microsoft ou Amazon) se sont engagés à respecter les principes du Safe Harbor (protection des données personnelles) venus des Etats-Unis et qu'ils ont construit des datacenters en Europe afin de garantir aux entreprises que leurs données ne traverseraient en aucun cas l'Atlantique. Un luxe réservé à des prestataires de grande envergure.

Des bonnes pratiques certifiées

On l'aura compris, la sécurité va devenir l'argument de vente numéro un pour les revendeurs d'offres cloud. Dès lors, quel prestataire choisir ? Délivré aux fournisseurs par la Cloud Security Alliance (CSA), le CCSK (Certificate of Cloud Security Knowledge) atteste de leur respect des bonnes pratiques de sécurité, énoncées dans un document de 78 pages. Le Trusted Computing Group, bien connu pour ses interventions autour des standards de chiffrement, notamment dans l'univers du stockage, œuvre de son côté au développement des normes de sécurité. En attendant, le marché de la sécurité (Novell, Trend Micro…) se déplace en dehors de l'entreprise en proposant des solutions de protection qui s'interfacent entre l'utilisateur et le prestataire.