LeMondeInformatique.fr

L'EPITA se penche sur la sécurité du cloud


Edition du 30/03/2011 - par Bertand Lemaire


L'EPITA a organisé un colloque au cours duquel la sécurité du cloud a été discutée. Ne pas interdire est souvent difficile. Le cloud privé peut être une solution.


Le cloud computing est-il un renoncement à la confidentialité ? La question mérite d'être régulièrement posée et c'est ce qu'a fait l'école d'ingénieurs Epita au cours d'un colloque le 24 mars 2011. Une table ronde réunissait ainsi (de gauche à droite sur la photo) : Sylvain Thiry (RSSI de la SNCF), Patrick Langrand (directeur de la gestion des risques IT de La Poste), Nicolas Arpajian (journaliste animateur), l'Amiral Michel Benedittini (directeur général adjoint de l'ANSSI) et Sébastien Bombal (RSSI d'Areva, enseignant à l'Epita).

« Quand on ne maîtrise pas son système d'information, en cas d'externalisation notamment, il est difficile de savoir si l'hygiène informatique, cet ensemble de règles et de bonnes pratiques pour se prémunir des risques, est bien respecté » a souligné l'Amiral Michel Benedittini. Il a dénoncé l'opacité des contrats de la plupart des fournisseurs de prestations de type cloud et la régulière absence de clauses de niveau de service et de sécurité. Si certains très grands comptes peuvent négocier ces clauses, c'est absolument exclu pour les PME. « Même des dizaines de milliers d'utilisateurs ne permettent pas toujours de négocier » s'est offusqué Sébastien Bombal.

Où sont les nuages ?


Or l'une des questions posée par le militaire a aussi des répercutions en terme de conformité légale aux dispositions dites « informatique et liberté » : selon l'endroit où seront les données « cloudifiées », le gouvernement local ou ses services peuvent-ils accéder aux données et le cas échéant, comme cela s'est déjà vu, les transmettre à ses propres industriels nationaux ? L'Etat compte, pour répondre à cette problématique sans se priver des avantages du cloud, fabriquer un « cloud de confiance », avant tout pour ses propres usages.

Comme il est impossible de dire systématiquement « non » au cloud, le recours à des clouds privés ou soigneusement sélectionnés parmi des opérateurs strictement nationaux peut être aussi une solution. Enfin, il est aussi possible de ne mettre dans le cloud que des traitements et des données non-sensibles sur le plan stratégique et de conserver sur des plate-formes traditionnelles ce qui doit être strictement contrôlé.

Les métiers dans les nuages et le brouillard


Pour Sylvain Thiry, l'émergence du cloud a radicalement modifié la perception de la sécurité pour trois raisons principales. Tout d'abord, les prestations de type cloud et notamment SaaS sont de plus en plus souvent gérées directement par les directions métier utilisatrices et plus par la DSI. Or les DSI sont habituées à gérer les questions de sécurité, pas les métiers. Le RSSI doit donc de nouveau prendre son bâton de pèlerin.

Ensuite, le cloud est très attractif et l'interdire ou le limiter est compliqué car le recours à ce modèle implique une absence de rigidité : la direction métier peut tester, utiliser ou arrêter quand elle veut le recours à un tel service sans le moindre investissement. C'est le triomphe de l'Opex sur le Capex. Enfin, le cloud étant par définition une vaste ressource mutualisée très souple, la traçabilité de ce qui s'y passe est quasiment nulle.

Face à la pression des utilisateurs qui peuvent être du comité exécutif, trois attitudes sont possibles pour le RSSI selon Sylvain Thiry. « Dire non systématiquement parce que le cloud est trop risqué, c'est dangereux pour sa carrière » reconnaît-il. Mais, comme il l'indique aussitôt, « le oui mais, plus confortable a priori, est souvent en fait un non déguisé : l'analyse de risque par le RSSI, le CIL, le service juridique, les acheteurs, etc. va prendre du temps et coûter cher. Les éventuelles économies et les gains attendus de souplesse seront alors rapidement anéantis. »



Page suivante (2/2) >


Des remarques à méditer

Le colloque a été l'occasion de remarques qui, sans être au coeur du sujet, n'en étaient pas moins fort intéressantes.

Ainsi, l'Amiral Michel Benedittini a ainsi souligné que le récent scandale autour des révélations de télégrammes diplomatiques américains sur Wikileaks n'était pas du tout une attaque informatique mais un défaut de pertinence dans les droits d'accès aux documents. Une personne inappropriée a ainsi eu accès à des documents classifiés à un niveau qui aurait dû lui être interdit. Cette affaire est ainsi la preuve que la sécurité technique n'est plus l'essentiel dans la sécurité informatique et qu'il faut se préoccuper de la « sécurité numérique » comme l'exprime régulièrement le Cigref.

Or, selon Eric Delbecque, chef du département sécurité économique à l'Institut National des Hautes Etudes de la Sécurité et de la Justice, « les organisations sont rarement bâties pour choisir ce qui est important alors même qu'une bunkerisation est totalement impossible. Il faut donc gérer une porosité » sans avoir de vraie visibilité sur le grain de chaque donnée. La volonté de la DIIE (Délégation Interministérielle à l'Intelligence Economique) de promouvoir la classification systématique des données risque ainsi de devenir une grosse machine bureaucratique qui s'enrayera d'elle même avant d'être contournée ou abandonnée.

Sans rapport avec ce qui précède, Patrick Langrand a posé la question fatale « qui veut être DSI ? » à une salle comportant de nombreux étudiants ingénieurs. Aucune main ne s'est levée. Patrick Langrand s'y attendait et en a conclu que le métier est devenu décidément trop ingrat et risqué, raison pour laquelle il n'intéressait plus.

 

   
WEBCAST
VIDÉOS

CONFERENCE TELECOMS ET RESEAUX DE NOUVELLE GENERATION : Intervention IBM

Gain en réactivité, amélioration de la flexibilité, ROI et moteur d'innovation : des promesses... à la...

CONFERENCE CLOUD COMPUTING : Interview IBM

Xavier Chotteau, Cloud Computing Practice Leader, IBM...

>> Toute les vidéos cloud



CONFERENCES
07/04/2011
VIRTUALISATION : l'industrialisation depuis le poste de travail jusqu'au Data Center
Automobile Club de France - 8h30 à 14h - Paris 8e
 
INSCRIVEZ-VOUS
LIVRES BLANCS
Optimiser la qualité des données de l'entreprise : Comment s'attaquer aux informations de mauvaise q
Aujourd'hui les données proviennent de diverses sources qui augmentent leur complexité et nuisent à leur (...)

télécharger
La Business Intelligence, source de revenus Les applications en self-service les plus performantes
Aujourd'hui les clients souhaitent que les échanges avec votre entreprise soient aussi simples qu'un (...)

télécharger
Tous les Livres Blancs