La « sécurité » est souvent citée comme le frein principal à l’adoption des services Cloud. Qu’en est-il réellement ? L’accès aux données hébergées dans le Cloud présente en général un haut niveau de sécurité en raison des mécanismes d’authentification mis en place par les fournisseurs de service.
Ces mécanismes peuvent d’ailleurs être renforcés par les solutions Corporate clients, de gestion d’identités, qui sont alors placées en amont d’un lien unique avec le fournisseur de solutions Cloud ; notons cependant que certains fournisseurs seulement acceptent une telle architecture. Les entreprises clientes doivent toutefois considérer les points suivants :
• Quels types d’informations sont accessibles dans le Cloud ? Qui peut y accéder et comment sont-elles isolées des éléments non sécurisés ?
• Qui dispose de droits pour envoyer et recevoir des données sensibles en dehors du périmètre de l’entreprise ?
• Quels sont les mécanismes de sécurité qui garantissent la confidentialité des données de l’entreprise au sein du cloud public ?
• Comment les données sensibles doivent-elles être envoyées et comment sont-elles accessibles?
D’autres problèmes spécifiques au Cloud restent posés, notamment :
• Difficulté d’obtenir que certaines données restent localisées dans un pays désigné, le Cloud ne connaît pas de frontières ! Il faut alors être prêt à ce que le fournisseur doive se conformer à des réglementations comme la Directive Européenne de Protection des Données ou le USA Patriot Act, qui peuvent autoriser les autorités locales à prendre connaissance des données (cette possibilité est toutefois largement théorique)
• Impossibilité d’assurer la traçabilité des données, par exemple en vue des certifications SAS 70, Sarbanes Oxley ou autres, qui doivent garantir que nul n’a pu modifier des données sans qu’il en reste une trace.
Sécurite physique
Le Cloud Computing, par nature, est associé à une sorte de « dématérialisation » de l’hébergement (le nuage). En effet, le lieu d’hébergement du Cloud est généralement multiple, et réparti sur plusieurs data centers, en France et/ou à l’étranger. Dans le cas du Cloud public, le client ne connaît donc pas avec précision le ou les lieux d’hébergement du Cloud. Cette caractéristique, gage de disponibilité du Cloud, entraîne un changement important pour le client dans le mode de sélection de l’hébergeur. Une visite de data center ne suffit plus pour évaluer le niveau d’hébergement garanti par un fournisseur de Cloud. Ce dernier doit être en mesure d’apporter des garanties sur les conditions d’hébergement associées à son offre. Un certain nombre de certifications et/ou de classifications existent à ce sujet, sont reconnues et adoptées par l’ensemble des hébergeurs. L’une des plus représentatives étant la classification « Tier » de l’Uptime Institute .
Traçabilité
Point critique de la sécurité physique, le contrôle des accès doit être maitrisé, que l’on soit dans un contexte de cloud privé, public ou privé externalisé. Dans ces deux derniers cas, c’est au client final de s’assurer que les bonnes pratiques sont mises en oeuvre chez son prestataire de service/opérateur de cloud.
SYNTEC NUMERIQUE
3 rue Léon Bonnat – 75016 Paris
Tel : 01 44 30 49 70
Fax : 01 42 88 26 84
www.syntec-numerique.fr
