Comment les données sont sécurisées dans le Cloud
Flexibilité, transparence, collaboration… Autant de pratiques quotidiennes que la technologie du cloud permet de développer au sein des entreprises, mais qui portent une part non négligeable de vulnérabilité. Les explications d’Agnieszka Bruyère, vice-présidente Cloud pour IBM France, et Ali Dincmen, responsable de l’offre Sécurité Informatique chez Bureau Veritas Certification.
Aujourd’hui, nous sommes habitués à voir des volumes de données stockées de manière exponentielle, y accéder, les traiter et les partager depuis n’importe où, c’est ce que permet le cloud. Mais la contrepartie de ces facilités, c’est que les données sont hébergées à l’extérieur de l’entreprise. « En théorie, on pourrait ouvrir les systèmes d’information internes, mais ils ont plutôt été conçus comme des châteaux-forts, ce serait donc fastidieux. De plus, la croissance des volumes de données nécessite une solution évolutive et flexible », explique Agnieszka Bruyère, vice-présidente Cloud de IBM France.
Est-ce qu’en étant désormais situées plus loin, les données sont moins sécurisées ? Pas si simple : lorsqu’un client fait appel à un prestataire pour bâtir son infrastructure de cloud, il ne s’agit que de la première « couche », sur laquelle l’entreprise va souvent poser elle-même des bases de données, des applications, et donc « gérer des aspects tels que les droits d’accès, et c’est souvent là qu’il y a des failles », assure Agnieszka Bruyère.
Par nature, le cloud suscite une grande inquiétude du côté des entreprises car il ne leur offre pas autant de visibilité qu’un système interne. En dehors de quelques tests d’intrusion ponctuels mais très encadrés, le prestataire ne peut souvent leur fournir ni accès ni informations détaillées sur le fonctionnement des serveurs, des réseaux, etc. « Contrairement à beaucoup de fournisseurs de cloudIBM s’engage lui contractuellement à s’adapter aux exigences des clients pour ce qui est de la localisation des données », précise notre experte du cloud.
Dans ce contexte, la certification est une solution proposée par Bureau Veritas Certification pour rassurer les clients sur la robustesse des procédures. L’ISO 27001 couvre même le plan de continuité d’activité pour les sites d’hébergement en cas, par exemple, de risques naturels. « Les risques de séisme, d’inondations, sont-ils couverts de manière adéquate, qu’est-il prévu, comment le prestataire réagit-il lors des exercices de simulation, voilà ce que nous regardons lors des audits », confirme Ali Dincmen, responsable de l’offre Sécurité Informatique chez Bureau Veritas Certification.
POUR APPROFONDIR
La certification, au travers des bonnes pratiques et de l’amélioration continue qu’elle favorise, permet de diminuer les risques de cyberattaques. Certes, dans un environnement technologique en perpétuelle mutation, hackers et entreprises jouent constamment au « chat et à la souris », mais plus on adopte de bonnes pratiques plus on réduit le risque d’être attaqué, car « les hackers cueillent d’abord les fruits des branches les plus basses », affirme Agnieszka Bruyère, d’IBM. Autrement dit, ils recherchent des failles qui demandent un effort minimum pour un gain maximum.
Le RGPD, sujet brûlant
Si les entreprises sont devenues ces dernières années plus fébriles sur les questions de cybersécurité de manière générale, c’est la protection des données en particulier qui occupe les esprits. « J’ai constaté cette évolution au cours du temps, témoigne Ali Dincmen, de Bureau Veritas Certification. C’est d’ailleurs ainsi que sont nées, après l’ISO 27001 sur la gestion de la sécurité des informations, l’ISO 27017 qui traite des contrôles de sécurité du cloud, et l’ISO 27018 qui se focalise sur la protection des données personnelles ». Cette préoccupation est également observée chez IBM, qui détient les trois certifications ISO. Elle est liée, assure Agnieszka Bruyère, au fait que les entreprises entreposent aujourd’hui dans leur cloud davantage de données stratégiques, y compris des données personnelles, qu’il y a une dizaine d’années.
Bonne nouvelle, la certification ISO 27018 permet aussi d’être conforme aux exigences du RGPD (Règlement général de protection des données). Entré en vigueur en mai dernier, ce texte attribue une responsabilité de protection des données personnelles non plus au seul propriétaire de la donnée, mais à tout acteur intervenant dans le traitement de cette donnée – cela inclut donc les prestataires de cloud. « Bien que certifiés, nous avons ajouté une annexe spécifique à tous nos contrats», déclare Agnieszka Bruyère, « afin de clarifier la répartition des responsabilités ».
Autre thématique du RGPD, la localisation des données. Bien que l’hébergement en dehors de l’Union européenne ne soit pas interdit (mais strictement encadré), et même si, grâce au chiffrement, « une donnée peut être stockée hors d’Europe sans y être déchiffrable », certains clients européens préfèrent avoir l’ensemble des dispositifs hébergés en Europe. Loin de s’en agacer, on affirme chez IBM que la priorité, au-delà du respect des textes, est de mériter et développer la confiance du client. C’est pourquoi l’entreprise américaine investit massivement dans la construction de datacenters européens.
Des données dans le nuage, mais bien ancrées au sol !