Informatique en nuage : Inquiétudes en matière de sécurité


André Ouellet - 26/04/2011

Pour plusieurs observateurs, il existe une contrepartie à la convivialité et aux économies astronomiques associées à l’informatique en nuage.

« Les entreprises sont extrêmement réticentes à mettre des données sensibles sur un nuage, où elles n’auront pas de contrôle sur leur emplacement, et je les comprends, indique Angelo Rossi, spécialiste de la sécurité informatique chez Égomedia. La sécurité est le point faible de l’informatique en nuage », précise-t-il.

Pourquoi prendre le risque de dépendre d’un tiers à propos d’informations cruciales, demande Régent Vaillancourt, consultant en sécurité de l’information chez RSM Richter Chamberland. Étayant ses préoccupations, il évoque une étude entreprise dès l’automne 2009 à l’Université Queen Mary de Londres dans laquelle on fait état de la présence de clauses préoccupantes pour le droit et les intérêts des utilisateurs dans 90 % des contrats de fournisseurs de services infonuagiques. Entre autres problèmes, les fournisseurs se dégagent de toute responsabilité relativement à la sécurité des données ou se réservent le droit de fermer les comptes laissés trop longtemps inactifs ou de communiquer les données du client à des tiers.

Pour sa part, André Lessard, consultant, Services conseils en gestion des risques chez RSM Richter Chamberland, soulève le risque lié au fait d’héberger des données à l’étranger et de les assujettir à un pouvoir exécutif qu’on ne connaît pas. « Comment assurer la protection des renseignements lorsque l’on doit composer avec une diversité de lois ou l’absence de lois », demande-t-il.

Rien n’empêche un fournisseur d’envoyer les données de son client à l’étranger pour en faire la sauvegarde, par exemple. « Le client est-il d’accord pour que ses données soient hébergées à l’étranger? Est-il seulement au courant ? Il est primordial pour une entreprise de pouvoir démontrer aux autorités son respect des règles. Ultimement, c’est le client qui est responsable, et non le fournisseur, lorsque vient le moment de rendre des comptes en matière de conformité », dit M. Lessard.

Le contrôle des données devient encore plus aléatoire lorsqu’elles sont transmises d’un nuage à l’autre, souligne Angelo Rossi. « Non seulement y a-t-il alors amalgame de serveurs, mais de nuages aussi. » Pour lui, la solution réside dans le nuage privé, qui permet de connaître et de contrôler les serveurs. « On peut vérifier leur état et les audits régulièrement, ce qui est impossible avec un grand nuage », constate-t-il. Dans le cadre d’une relation de confiance, le client sait que son fournisseur mettra tout en œuvre pour sécuriser ses applications au sein d’un nuage privé. « Pareillement, le fournisseur ne s’inquiète pas de la transmission par son client d’applications contenant du code malveillant », ajoute-t-il.

Atténuation des avantages du nuage

On doit toutefois connaître les conséquences de l’hébergement de ses données dans une région géographique particulière ou dans un nuage privé. « L’informatique en nuage permet de mettre à profit la puissance de milliers de processeurs formant une matrice mondiale, d’où la possibilité de réaliser des économies d’échelle considérables, rappelle John Weigelt, directeur national de la technologie chez Microsoft Canada. À partir du moment où l’on découpe une partie de cette puissance afin de la restreindre à une région géographique particulière ou à un nuage privé, on se trouve à circonscrire les capacités de la matrice. »

Si le client est à l’aise avec les limites que cela impose, rien n’empêche d’envisager le recours à un nuage privé ou communautaire, explique-t-il. « Chez Microsoft, nous avons édifié un modèle mondial d’informatique en nuage qui tient compte des exigences locales. Nous passons beaucoup de temps avec les responsables des orientations politiques et les responsables de la protection de la vie privée au Canada afin de connaître leurs exigences », dit-il.

Élan irrésistible

Certaines organisations semblent peu préoccupées des éventuels problèmes liés à la sécurité de leurs données. Le directeur de pratique SaaS d’activeMedia, François Dubuc, fait allusion à des appels d’offres dans lesquels on accorde jusqu’à 25 % de la note globale aux soumissionnaires capables de fournir les applications requises par services infonuagiques. Du reste, il se demande si la sécurité est véritablement plus étanche lorsqu’elle est assurée par le client. « Les sauvegardes sont-elles faites ou bien faites ? Les données hébergées chez un fournisseur sont sans doute mieux sécurisées que chez le client même », soutient-il.

Si la prudence est de mise, la tendance est cependant irréversible, un peu à la façon des réseaux sociaux, reconnaît André Lessard. Un sondage Léger Marketing effectué l’automne dernier au sein d’entreprises canadiennes semble lui donner raison; dans une proportion de 64 %, les répondants qui connaissent bien l’informatique en nuage croient qu’elle jouera un rôle important dans les succès de leur organisation.

Dans l’état actuel des choses, il serait peut-être utile pour les dirigeants d’entreprise de suivre le conseil émis par la firme mondiale d’étude de marché Market and Research : ne pas se limiter à savoir si le nuage est prêt pour l’organisation, mais si l’organisation est prête pour le nuage.

À lire aussi :Le nuage sur toutes les lèvres




Tags: , , , , ,