Le Cloud Computing est une réalité, on ne peut pas le nier. Il apporte certains avantages à l’entreprise en lui permettant, par exemple, de se concentrer sur son coeur de métier. Mais il présente bien évidemment de nouveaux risques. Comme pour le BYOD, des projets de migration vers le Cloud sont déjà en place ou en cours de réflexion et les équipes sécurité ne peuvent pas interdire ces nouveaux usages. Mais elles doivent les anticiper et les contrôler. Notre rôle premier est d’évaluer les risques en amont de ces projets d’externalisation afin d’anticiper la « perte de maitrise » des données de l’entreprise. Il n’est pas de crier au loup. Parler de Cloud n’est pas tabou, de sécurité et de Cloud encore moins. Enfin notre rôle le plus important est d’expliquer et de sensibiliser les décideurs sur ces risques et de l’importance de les prendre en compte avant de se lancer dans ce type de projets.
Pour traiter ces (nouveaux) risques, bien que les mesures techniques et opérationnelles de sécurité soient indispensables, la gestion contractuelle et les contraintes juridiques n’en sont pas moins critiques. L’entreprise doit, par exemple, s’interroger sur la localisation de ses données, l’accès à ses données (qui ? quand ? comment ?) mais aussi sur la réversibilité (changer de prestataire est-il facile et peu coûteux ?). Pour vous aider à identifier ces risques et les questions à se poser, je vous conseille (notamment) le guide de l’ANSSI sur l’externalisation et les documents publiés par la Cloud Security Alliance.
Le Cloud n’est pas le mal. Il s’agit surtout d’une nouvelle forme d’externalisation qui a été « marketée » pour la vendre comme une révolution. J’oserais (mode hérétique) même affirmer que, dans certains cas, le Cloud pourrait permettre d’améliorer la sécurité en général. Attention, je ne dis pas que le Cloud est plus sécurisé qu’une informatique gérée en interne. Mais l’inverse n’est pas plus vrai. Cela serait très arrogant (et imprudent) d’avancer qu’un système d’information hébergé et géré en interne serait forcément plus sécurisé que des systèmes externalisés. En tout cas, si on en croit les analyses de cyber attaques et autres APT de ces dernières années, les entreprises victimes n’imputaient pas ces attaques à leurs prestataires de Cloud…
Par exemple, cette étude présente une approche originale (et offensive) du Cloud pour protéger ses données. On peut également penser au Security as a Service, les services de sécurité (de l’antimalware à l’IAM en passant par le SIEM) sont maintenant de plus en plus proposés en mode Cloud. La NSA et le Cyber Command américain voient aussi dans le Cloud une nouvelle opportunité pour protéger leurs infrastructures. A nous d’avoir un peu d’imagination et d’inventer de nouveaux usages au Cloud pour améliorer notre approche de la sécurité.
Cet édito est la suite (ou version « étendue ») de celui qui figurait dans la newsletter sécurité de BSSI datée d’hier. J’ai également eu l’occasion d’assister, la semaine dernière, à une matinée du CNIS Mag consacrée au Cloud. Les interventions étaient globalement intéressantes et je vous conseille la synthèse rédigée par Jean-François Audenard sur le très bon blog sécurité d’OBS.