Rééquilibrons le débat sur la sécurité du « Cloud »

Par Didier Perrot, Président de In-Webo Technologies

Le « Cloud » n’est pas qu’une simple externalisation ; il signifie la possibilité pour les entreprises d’utiliser des applications en ligne dans tous les domaines tels que messagerie, bureautique, partage, réseau social, RH, gestion des forces de vente, comptabilité, ERP, etc., mais également de disposer de ressources informatiques en ligne et à la demande (stockage, calcul). Tout cela dans des business modèles à l’usage et sans avoir à gérer l’infrastructure sous-jacente (serveurs, versions, espaces de stockage, bases de données, etc.).

Les entreprises ne basculent pas immédiatement ni complètement dans ce modèle, mais toutes doivent en comprendre et analyser les impacts, d’une part en matière d’organisation du métier informatique en leur sein, d’autre part en termes de sécurité de leurs données.

Avec le « Cloud », ce n’est en effet plus le périmètre, mais la donnée qui devient le centre des préoccupations liées à la sécurité : localisation, statut juridique, disponibilité, réversibilité, accessibilité par les utilisateurs du SI, protection de la confidentialité, etc.

Beaucoup d’encre a coulé et coulera encore sur la « sécurité juridique » des données, mais assez peu sur les aspects techniques – accessibilité et confidentialité -, où c’est pourtant à l’entreprise et non à ses fournisseurs de « Cloud » comme on pourrait le penser, de clarifier les enjeux et de (faire) mettre en œuvre les moyens ad hoc. Qui plus est, dans un contexte de besoins croissants en matière de nomadisme, de mobilité et d’entrée des terminaux personnels dans l’entreprise (BYOD).

L’enjeu pour les directions informatiques est d’accompagner efficacement le « Cloud » comme tendance porteuse de compétitivité de l’entreprise et de satisfaction des utilisateurs, tout en conservant le contrôle. Cela implique, lors de l’intégration de nouvelles applications et ressources « Cloud », de maintenir simultanément la simplicité d’accès pour les utilisateurs et la protection de la confidentialité des données conformément à la politique de sécurité.

L’entreprise y parviendra en acceptant de remettre en cause de quelques idées reçues : ni le VPN traditionnel, ni le SSO (fût-il « web ») n’apportent de réponses satisfaisantes, complètes ou simultanées sur les deux volets, accessibilité et confidentialité des données.

En effet, ils obligent l’entreprise à privilégier la simplicité d’accès (expérience « single sign-on ») au détriment de la confidentialité des données pour l’accès des utilisateurs nomades ou mobiles aux ressources « Cloud ». Toutefois, l’adoption d’une politique de sécurité élevée peut conduire les entreprises au choix opposé qui se traduit à la fois par  un accès plus complexe (lancement du VPN et authentification préalables !) – voire impossible depuis les nouveaux terminaux type tablettes – et par une forte dégradation des performances (« tromboning » du trafic via une passerelle centralisée).

Faut-il pour autant baisser les bras et mettre la politique de sécurité de côté pour l’accès aux ressources et applications « Cloud » ? Pas nécessairement, à condition comme le font nos clients de définir et mettre en œuvre une stratégie de gestion des identités et des accès adaptée au « Cloud ».

Dans les grandes lignes, cela signifie disposer d’un système de gestion des autorisations « Cloud » sous le contrôle de l’entreprise, qui soit à la fois liée à sa gestion des identités (IAM, annuaires, fédération) et soit à même de mettre en œuvre une authentification renforcée (garantie de la confidentialité) et transparente depuis tout type de terminaux (garantie de l’accessibilité).

Si nous ne sous-estimons pas l’importance du débat actuel sur la sécurité juridique et contractuelle de l’externalisation vers le « Cloud », il nous semble essentiel de replacer le besoin de sécurité « tout court » à sa juste place. Et pour ce faire, de ne pas oublier que la garantie de la confidentialité des données que l’entreprise déplacera dans le « Cloud » dépend non pas de la réputation, de la « maîtrise » ni de la « souveraineté » de ses fournisseurs de « Cloud », mais des mesures spécifiques qu’elle prendra ou délèguera, en veillant à ne pas opposer, comme nous l’avons brièvement évoqué dans ces lignes, confidentialité et accessibilité.