La sécurité sur le nuage
On me pose régulièrement la question « le “Cloud” est sécuritaire »? Pour pouvoir répondre à la question, des compléments d’information s’imposent : sécuritaire par rapport à quoi? De quel point de vue?
Si vous me demandez si mes données sont plus en sécurité sur mon poste de travail, ma tablette ou encore mon cellulaire, que sur le nuage, alors la réponse sera probablement non.
Précisons d’abord, qui est derrière « le nuage » :
Cela peut être un grand joueur comme Microsoft, Google, Amazon ou bien un petit joueur inconnu (qui sera d’ailleurs probablement sur l’une de ces plateformes). Nous considérerons pour l’analyse qui suit, les grands joueurs.
Accès aux données
Pour accéder physiquement à l’une des fermes de serveurs de ces grands joueurs, il faut passer au travers de vrais services de sécurité : sécurité 24 heures sur 24, barbelés, portes blindées, etc.
Pour accéder à vos équipements, il suffit parfois simplement d’aller dans un restaurant pour les trouver oubliés sur une banquette; qui plus est sans mot de passe ou encore rarement encrypté.
Protection internet
Parlons maintenant de la connexion Internet :
Chez nos grands joueurs, se trouve généralement une batterie d’experts à l’écoute de la moindre alerte, 24 heures sur 24, et qui contrôlent les par feux (Firewalls) les plus avancés du marché.
Chez vous, on retrouvera probablement un antivirus commercial, le plus souvent gratuit, et des mises à jour rarement faites.
Protection dans le temps
Parlons maintenant des équipements et des sauvegardes :
Chez nos grands joueurs, les données sont sur des serveurs dernier cri, accessibles au travers d’au moins deux différents « backbones », avec une réplication en temps réel sur deux sites qui sont la plupart du temps situés sur deux continents.
Chez vous, vos données sont sûrement sauvegardées sur un miroir, plus ou moins régulièrement, sans vérification systématique de la réussite de la sauvegarde, et vos équipements sont changés tous les 3 à 5 ans dans le meilleur des cas.
Vous me direz que si mes données sont sur le nuage, le gouvernement américain peut les lire… c’est vrai, du moins il en a la capacité.
Mais sur votre machine, qui le peut? Des hackers, pour la plupart liés à la mafia. Ces derniers tireront autant qu’ils le peuvent de vos données, contrairement au gouvernement américain qui n’accordera du temps qu’aux données stratégiques pour l’État.
Je dirais que si l’on est connecté à Internet, la question est plus « Par qui mes données peuvent-elles être lues? » que de savoir si elles peuvent être lues! Et sans rentrer dans le débat philosophique sur la vie privée, quelles sont les conséquences possibles?
Je me permets de vous rappeler que dans l’affaire WikiLeaks, les données après qui tout le monde courait étaient sur le nuage (entre autres sur Amazon) et que personne n’a réussi à les prendre ou les effacer… même le FBI, le NSA et la CIA réunis.
Maintenant, il y a un autre aspect de la sécurité que l’on oublie souvent sur le nuage : Si demain mon fournisseur fermait le service ou faisait faillite, qu’en serait- il de mes données?
Oui, là aussi il faut une sauvegarde et en plus, il faut que la sauvegarde soit exploitable même si le service n’est plus offert. On ne compte plus le nombre de projets sur le nuage, arrêtés parce que non rentable ou simplement fermés sans autre commentaire.
Si cela arrivait, qu’adviendrait-il de vos données? Avez-vous validé s’il vous était possible de sauvegarder vos données depuis le nuage sur vos équipements ou depuis le nuage vers un autre nuage (attention, deux applications différentes peuvent être physiquement chez le même fournisseur). Et si vous êtes capable de faire la sauvegarde, avez-vous essayé d’exploiter cette information en dehors de l’application initiale?
Donc, comme on le voit, il n’y a pas de réponse simple à la question initiale, mais comme toujours, il faut regarder les choses dans leur ensemble, pragmatiquement, et évaluer tous les risques afin de prendre une décision stratégique et éclairée.
