Faut-il prendre le risque du Cloud ?
Adopter le Cloud computing est-ce renoncer à la confidentialité ? La question mérite d'être régulièrement posée, c'est ce qu'a fait l'école d'ingénieurs Epita au cours d'un colloque organisé le 24 mars 2011.
Une table ronde réunissait ainsi Sylvain Thiry, RSSI de la SNCF, Patrick Langrand, directeur de la gestion des risques IT de La Poste, Nicolas Arpagian, journaliste animateur, l'Amiral Michel Benedittini, directeur général adjoint de l'ANSSI, et Sébastien Bombal, RSSI d'Areva, et enseignant à l'Epita.
« Quand on ne maîtrise pas son système d'information, en cas d'externalisation notamment, il est difficile de savoir si l'hygiène informatique, cet ensemble de règles et de bonnes pratiques pour se prémunir des risques, est bien respecté » a souligné l'Amiral Michel Benedittini. Il a dénoncé l'opacité des contrats de la plupart des fournisseurs de prestations de type Cloud et la régulière absence de clauses de niveau de service et de sécurité. Si certains très grands comptes peuvent négocier ces clauses, c'est absolument exclu pour les PME. Ceci dit, « Même des dizaines de milliers d'utilisateurs ne permettent pas toujours de négocier » a relevé Sébastien Bombal.
Où sont les nuages ?
Or l'une des questions posées par Michel Benedittini a aussi des répercussions en termes de conformité légale aux dispositions dites « informatique et liberté » : selon l'endroit où les données « cloudifiées » seront situées, le gouvernement local ou ses services peuvent-ils accéder aux données et le cas échéant, comme cela s'est déjà vu, les transmettre à ses propres industriels nationaux ? Pour répondre à cette problématique, l'Etat compte sans se priver des avantages du cloud, fabriquer un « cloud de confiance », avant tout pour ses propres usages.
Comme il est impossible de dire systématiquement « non » au cloud, le recours à des clouds privés ou soigneusement sélectionnés parmi des opérateurs strictement nationaux peut être aussi une solution. Enfin, il est aussi possible de ne mettre dans le cloud que des traitements et des données non-sensibles sur le plan stratégique et de conserver sur des plateformes traditionnelles ce qui doit être strictement contrôlé.
Les métiers dans les nuages et le brouillard
Pour Sylvain Thiry, l'émergence du cloud a radicalement modifié la perception de la sécurité pour trois raisons principales.
Tout d'abord, les prestations de type cloud et notamment SaaS sont de plus en plus souvent gérées directement par les directions métier utilisatrices et plus par la DSI. Or les équipes de la DSI sont habituées à gérer les questions de sécurité, pas les métiers. Le RSSI doit donc de nouveau prendre son bâton de pèlerin et porter la bonne parole de la sécurité et de la gestion des risques. Ensuite, le cloud est très attractif et l'interdire ou le limiter est compliqué car le modèle Cloud implique une absence de rigidité : la direction métier peut tester, utiliser ou arrêter quand elle veut le recours à un tel service sans le moindre investissement. C'est le triomphe de l'Opex sur le Capex. Enfin, le cloud étant par définition une vaste ressource mutualisée très souple, la traçabilité de ce qui s'y passe est quasiment nulle.
deux impasses et demi
Photo : le colloque de l'Epita
deux impasses et demi
Face à la pression des utilisateurs qui peuvent être des membres du comité exécutif, trois attitudes sont possibles pour le RSSI selon Sylvain Thiry. « Dire non systématiquement parce que le cloud est trop risqué, c'est dangereux pour sa carrière » reconnaît-il. Mais, comme il l'indique aussitôt, « le 'oui mais', est plus confortable a priori, il est souvent en fait un non déguisé : l'analyse de risque par le RSSI, le CIL (correspondant informatique et libertés), le service juridique, les acheteurs, etc. va prendre du temps et coûter cher. Les éventuelles économies et les gains attendus de souplesse seront alors rapidement anéantis. »
Il reste donc au RSSI à anticiper les demandes nouvelles en termes de cloud. Les données non-sensibles sur le plan stratégique peuvent bien être hébergées dans le cloud, ce qui inclut pour Patrick Langrand des données pourtant sensibles psychologiquement comme la paye, externalisée dans bien des entreprises depuis des années. Une solution peut aussi être de chiffrer ce qui est "cloudifié" mais ce n'est pas forcément une solution satisfaisante ni toujours possible.
« Le plus grand risque, c'est que les directions métiers utilisent le cloud sans même avertir le RSSI ou le DSI » soupire Sylvain Thiry tout en reconnaissant qu'un « serveur local n'est pas nécessairement plus sécurisé qu'un cloud confié à une armée de spécialistes ». Mais, après tout, comme il en convient, « le risque est associé au processus et a donc le même propriétaire : le métier. Le RSSI est un sensibilisateur et un informateur, pas un décideur. »
La fin de l'aventure ou le cloud
Pour Patrick Langrand, la question de départ est presque sans pertinence : « si on s'oppose au cloud, le métier vous mettra dehors. » C'est d'autant plus vrai que le discours du DSI sera incompréhensible tandis que les prestataires de cloud ont fabriqué un discours marketing destiné aux décideurs métier. Le véritable problème, selon lui, n'est pas le cloud en lui-même mais le quasi-monopole des Etats-Unis en la matière : « les Etats-Unis n'hésitent pas à pratiquer le protectionnisme des données mais pas l'Europe. Il est essentiel de développer des acteurs locaux de cloud. »
Une ouverture de plus
Sébastien Bombal se veut, lui, plus rassurant : « l'entreprise étendue est un fait depuis des années et tout projet se fait avec des partenaires extérieurs. Le cloud n'est finalement qu'une ouverture de plus. » Il y a cependant des pièges. L'économie affichée par certains prestataires n'est pas toujours aussi évidente. Ainsi, aucune entreprise ne peut entretenir une boîte email pour 2 € par mois mais un tel coût proposé par des prestataires dans le cloud n'inclut pas l'assistance utilisateurs qui reste en interne.
Surtout, comme toute externalisation, entrer dans le cloud est facile, perdre de la maîtrise plus encore, et revenir en arrière (même pour changer de prestataire) loin d'être simple, les équipes internes pour procéder à la manoeuvre ayant été supprimées.
Des remarques à méditer
Ainsi, l'Amiral Michel Benedittini a rappelé que le récent scandale autour des révélations de télégrammes diplomatiques américains sur Wikileaks n'était pas une attaque informatique mais un défaut de pertinence dans les droits d'accès aux documents. Une personne inappropriée a eu accès à des documents classifiés à un niveau qui aurait dû lui être interdit.
Or, selon Eric Delbecque, chef du département sécurité économique à l'Institut National des Hautes Etudes de la Sécurité et de la Justice, « les organisations sont rarement bâties pour choisir ce qui est important alors même qu'une bunkerisation est totalement impossible. Il faut donc gérer une porosité » sans avoir de vraie visibilité sur le grain de chaque donnée. La volonté de DIIE (Délégation interministérielle à l'intelligence économique) de promouvoir la classification systématique des données risque ainsi - selon certains praticiens sur le terrain - de se transformer en grosse machine bureaucratique qui s'enrayera d'elle même avant d'être contournée ou abandonnée.
Sans rapport avec ce qui précède, Patrick Langrand a posé la question fatale « qui veut être DSI ? » à une salle comportant de nombreux étudiants ingénieurs. Aucune main ne s'est levée. Patrick Langrand s'y attendait et en a conclu que le métier est devenu décidément trop ingrat et risqué, raison pour laquelle il n'intéressait plus.
