LE CLOUD : ENTRE MENACE ET OPPORTUNITE Par Amanda HANANA Master 2 Droit & Sciences Politiques Management du risque Université Paris Ouest Nanterre-La Défense Juin 203 LE CLOUD : UN «NUAGE» ORGANISE LE CLOUD : ANS DE REVOLUTION TECHNOLOGIQUE Déjà ans après l apparition du Cloud dans l univers informatique, le Cloud est sur toutes les lèvres. Révolution des TIC, le «nuage» est présent à l heure d aujourd hui, dans toutes les sphères de la société, la sphère privée, celle du monde professionnel ou d utilisateurs chevronnés. Pour mémoire, ce concept du Cloud Computing a été inventé en 2002 par Amazon, un leader du e-business, qui avait investi dans un parc de machines immense. L objectif était, dès le départ d ouvrir toutes les ressources inutilisées aux entreprises. Depuis, de nombreuses et grandes entreprises se sont engouffrées dans la brèche, comme Google ou Microsoft. FlexiScale, RackSpace et GoGrid sont d'autres exemples de fournisseurs d'environnement Cloud. Techniquement, toutes les données stockées dans le Cloud sont répliquées plusieurs fois dans plusieurs Datacenters, certaines fois situés sur des continents différents. Sans le Cloud Computing, peu d entreprises pourraient se permettre un tel niveau de protection de leurs données. Enfin, la disponibilité est garantie par contrat. L institut de consulting Gartner, référence en la matière, prévoit que le Cloud Computing sera aussi influent que le e-business l a été ces années passées et qu il sera massivement adopté par les entreprises à l horizon 203. Juridiquement, «l informatique en nuage» ou «Cloud Computing» constitue le mode de traitement des données d'un client, dont l'exploitation s'effectue via l'internet, sous la forme de services fournis par un prestataire. 2 L utilisation du Cloud se démocratise peu à peu. Selon IHS isuppli, le nombre d utilisateurs du Cloud continuera à progresser pour atteindre le chiffre impressionnant de,3 milliard d utilisateurs en 207. 3 LE CLOUD : UN SERVICE A LA DEMANDE Sur la base du Cloud, divers services sont proposés. Ces services s emboitent comme des poupées russes : SaaS, PaaS, IaaS : http://www.cloudconsulting.fr 2 JORF n 029 du 6 juin 200 page 0453 texte n 42 www.legifrance.gouv.fr 3 Cloud : 500 millions d utilisateurs fin 202, http://www.journaldugeek.com 6 octobre 202 à 5:0 Un livre blanc / 5
Tout d abord, le SaaS est le modèle de fourniture de logiciels hébergés à distance, généralement dans le cadre d'un abonnement payant. Le Saas est défini comme un abonnement d accès à des applications par internet. L accès se fait en ligne et ne nécessite pas d installation sur un ordinateur local. Ensuite, PaaS permet d héberger des applications qui ne sont pas adaptées au modèle du SaaS. Ce Cloudware est un service de virtualisation : il concerne la mise à disposition au profit des créateurs d applications et de services web, d outils de développement en ligne. Cette solution permet aux PME, notamment, de réduire les coûts et d accéder à la demande. Enfin, IaaS est le service de Cloud Computing qui libère l entreprise de la nécessité de posséder, gérer, maintenir et contrôler ses propres serveurs, et autres infrastructures de traitement des données. Il suffira d un ordinateur ou d un portable connecté à internet pour lui garantir sa fonctionnalité commerciale. Ainsi, pour les utilisateurs occasionnels, le Cloud Computing se réduit bien souvent au stockage des données et donc à une économie de coûts. En revanche, pour les utilisateurs chevronnés, le Cloud Computing innove en permettant la virtualisation de toutes sortes de services : des applications, des logiciels par exemple. Il convient de comprendre que le Cloud Computing n a pas amené de révolution technologique dans le concept du stockage de données, mais bien dans la technique de stockage de ces données. Steve Wozniak, cofondateur d Apple avec Steve Jobs, a déclaré : «Cela me tracasse vraiment que tout passe dans le nuage, je crois que ça va être épouvantable. Je pense qu il va y avoir des problèmes horribles dans les cinq prochaines années». Pour ce dernier, «avec le Cloud, vous ne possédez rien, vous avez déjà cédé vos données». Et de poursuivre : «Plus nous transférons de données sur le web, sur le Cloud, moins nous aurons de contrôle dessus». Dès lors, entre opportunités et menaces, quels sont les bénéfices et les risques de cette technologie? LE CLOUD : UNE NOUVELLE APPROCHE PAR LA VIRTUALISATION DES DONNEES Le Cloud Computing résout aussi bien les problématiques liées aux données que ce soit la haute disponibilité, la sécurisation (les Datacenters sont certifiés sous des normes très restrictives : SOX, SAS70). Les machines virtuelles louées par les fournisseurs de Cloud Computing et hébergées dans leurs Datacenters répartis à travers le monde, peuvent démarrer en quelques minutes. Cet aspect essentiel offre une grande disponibilité. DES SOLUTIONS SEDUISANTES Une meilleure maîtrise des coûts : les coûts informatiques sont rationnalisés puisqu ils sont liés directement aux besoins des utilisateurs. Des économies sont réalisées grâce à un gain d espace et une baisse de la consommation énergétique. Enfin, pas de dépenses de capital : plus besoin de locaux pour élargir les infrastructures. Un gain de temps : Le Cloud Computing permet un démarrage rapide grâce à l hébergement dans les Datacenters. Moins de temps consacré à l informatique, c est plus de temps pour le cœur de métier notamment dans les entreprises. Agilité pour l entreprise : Le Cloud Computing permet de répondre avec réactivité aux attentes des métiers facilement et rapidement extensibles. Les employés peuvent avoir accès à leurs informations et applications, qu ils soient au bureau ou en déplacement. Développement plus rapide des produits : Le Cloud Computing permet de réduire et de respecter les délais de mise en place de nouveaux projets. Le Cloud Computing permet aussi de redéployer des équipes sur des projets à valeur ajoutée pour les métiers d une entreprise. Sécurité : Les données sont stockées sur des serveurs distants dont l architecture à haute disponibilité est conçue pour assurer un maximum de sécurité : pas de perte de données, possible suite à la panne d un de vos ordinateurs. Participation au développement durable : La Green IT allie le concept de développement durable et les TIC. La virtualisation de serveurs, au travers du Cloud Computing permet un meilleur taux d'utilisation des plateformes matérielles, et donc de diminuer le matériel informatique. Par exemple, une photo de famille pourra être virtualisée dans le Cloud, et accessible par plusieurs utilisateurs de Cloud pour consulter cette photo sans avoir besoin d utiliser de Clé USB ou de disque dur. http://cloudcomputing.fr/ Un livre blanc 2 / 5
DES PROMESSES ET DES PROJETS Le Cloud se révèle être un terrain de bataille mondial. Des règles de confidentialité trop lourdes, une crise profonde de l'euro, des lenteurs dans la politique communautaire, un marché très fragmenté : voilà les principales raisons du retard européen en matière de Cloud Computing. C'est du moins le point de vue défendu par le cabinet d étude américain Gartner, pour qui le Vieux Continent devrait accuser deux ou trois ans de retard sur les États-Unis, leader mondial en matière d'informatique dans le nuage. Le 30 janvier 202, pour contrer le monopôle américain et concurrencer le Cloud computing (contrer les géants non européens tels Cisco, IBM, Microsoft ou encore Google), Dassault Systèmes annonce qu elle souhaite concevoir un projet concurrent. L entreprise s'est retirée en décembre 202 du consortium baptisé "Andromède" alliant l'état, Orange et Thales. 2 L objectif de ce projet était de créer de grandes centrales numériques européennes aptes à stocker les données informatiques stratégiques des PME, des grands groupes et des administrations français. Depuis cette annonce, les noms des groupes Atos et Cap Gemini avaient circulé pour faire leur entrée au consortium. L'État devait injecter 35 millions d'euros dans ce projet via la Caisse des dépôts, tandis qu'orange et Dassault Systèmes devaient mettre chacun 60 millions d'euros et Thales 30 millions. LE CLOUD : TECHNOLOGIE EN MANQUE DE SECURISATION POUR NOS DONNEES DES RISQUES EVIDENTS L ANSSI (Agence Nationale de Sécurité des Systèmes d'information) estime que les services de Cloud public ne sont généralement pas dotés d'un niveau de sécurité suffisant. 3 L affaire Megaupload est ici exemplaire des dangers du Cloud. Afin de fermer définitivement le site, la justice américaine a décidé de bloquer les 7 noms de domaines. Tous les fichiers contenus dans les Datacenters, même ceux légaux et personnels, ont été copiés pour les agents du FBI. Alors qu'il était prévu un effacement total des données, la société locatrice des Datacenters a décidé de laisser une chance aux utilisateurs légaux de Megaupload de faire valoir leurs droits et a réussi à repousser de deux semaines la destruction des fichiers 4. Cette affaire illustre les différents risques courus par un utilisateur qui tente de stocker ses données dans des Datacenters. Ces risques sont de plusieurs ordres : La perte des données suite à une perte des connexions informatiques semble évidente: plus de connexion internet, plus de Cloud, et le plus grave : plus d accès à ses données. Les archives sont nécessaires pour la sécurisation des données. Le vol de données sur des documentations techniques ou des études publiques, par exemple est certes ennuyeux s il y a eu un travail de recherche et de consolidation en amont. Dans un sens plus large, le travail du pirate informatique est facilité car il n a plus besoin de passer outre les firewalls du réseau interne des entreprises : il peut se servir à la source. La confidentialité : Les entreprises et les individus perdent le contrôle direct sur leurs données en les confiant à des serveurs tiers. Il arrive que les fournisseurs de Cloud Computing utilisent vos données pour un usage non prévu par le contrat, dans un contexte issu du Patriot Act. Cette donnée aboutit à un risque d ordre juridique. Le manque de communication sur le lieu de stockage des serveurs : l'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. Les nombreux risques juridiques notamment en termes de conformité et de viabilité à long terme. En effet, les données des clients des fournisseurs doivent traverser d éventuels aléas sans en être affectées et, surtout, pouvoir être restituées. La description précise de cette restitution, conditions, délais, formats, doit figurer dans le contrat originel. Le risque fiscal est un risque souvent oublié. Une infrastructure est en effet un investissement, donc son coût va être réparti sur plusieurs exercices comptables selon un plan d'amortissement connu à l'avance et respectant une régularité légale. A l'inverse, le Cloud Computing, qui est un Cloud : pourquoi l'europe est en retard?, l Usine Nouvelle 06/06/202 2 Cloud computing" : Dassault Systèmes annonce un projet concurrent Le Monde 30/0/202 3 Cloud computing: Décider - Concevoir - Piloter Améliorer Par Romain Hennion, Hubert Tournier, Eric Bourgeois, 20 4 http://obsession.nouvelobs.com/ Un livre blanc 3 / 5
service, génère une charge pure enregistrée au fur et à mesure de la consommation. La répartition des charges fiscalement déductibles en est singulièrement impactée. Contrairement à ce qui est communément pensé, la loi française interdit d'exporter des données, notamment nominatives, hors de l'union Européenne. Or le Cloud Computing ignore les frontières. DES CONSEILS Afin de gérer les risques et de sécuriser au mieux les données stockées sur des Datacenter, des conseils peuvent aider. Évident tout d abord, le mot de passe permet de protéger l accès aux données. La logique est de créer un nom d utilisateur et un mot de passe différents pour chaque compte, comportant différentes lettres et symboles, pour causer le plus de difficulté à un éventuel pirate informatique. La question de la sécurité pour le rappel du mot de passe doit être choisie avec soin : la réponse à cette question ne doit pas avoir été rendue publique pour plus de sécurité. De même, il ne faut pas hésiter à chiffrer les données pour des données sensibles, notamment relatives aux entreprises ; ceci, en utilisant des techniques rendant illisibles les données. Pour gérer ses nombreux mots de passe, il existe sur le marché de nombreux logiciels de gestion de mot de passe, comme «lastpass». Ces logiciels peuvent gérer de grandes quantités de mots de passe et d utilisateurs. Ensuite, la double authentification correspond au renforcement de la sécurisation de son environnement Cloud. Certains services proposent ce genre de sécurisation. Il y a une possibilité de renouveler la demande d authentification régulièrement. Ceci est contraignant mais sécurisant. Après, la sauvegarde des données peut être mise en place au travers d un Cloud Computing. En effet, il est possible d utiliser le Cloud comme back up pour la sauvegarde des données. Enfin, se déconnecter du Wi-Fi public et installer des antivirus semblent être les meilleures armes. En conclusion, même si tous les conseils précédents sont appliqués, la discrétion paye toujours en matière de sécurisation des données. CONCLUSION Même si le Cloud semble être la solution de réduction des coûts, notamment pour les PME, il ne fait nul doute que ce nuage doit être maîtisé, et cette parfaite maîtrise semble lointaine et lente. Confier ses données à un Cloud, c est prendre de nombreux risques en terme de perte de données, de vol de données. Cependant, certaines données non sensibles peuvent tout de même être confiées à un Cloud, en prenant toutes les pécautions nécessaires. Au-delà des inévitables effets d annonce, les usages du Cloud Computing balbutient. Les RSSI les regardent encore avec méfiance, même si, ces derniers semblent loin d être généralisés dans les entreprises. A l avenir, il va falloir aussi adapter les politiques de sécurité des entreprises, et faire évoluer les moyens de traçabilité et de détection d attaques plus évoluées, comme par exemple les APT. GLOSSAIRE APT Cloud Computing IaaS PaaS RSSI SaaS TIC Advanced Persistent Threat Informatique en nuage Infrastructure as a Service Platform as a Service Responsable Sécurité Système d Information Software as a Service Technologies de l information et de la communication BIBLIOGRAPHIE <Réf. > Hennion R. Tournier H. Bourgeois E. Cloud computing: Décider - Concevoir - Piloter Améliorer 202 <Réf. 2> Plouin G. Cloud computing - 2ème éd - Une rupture décisive pour l'informatique d'entreprise, 20 Un livre blanc 4 / 5
<Réf. 3> RAPPORT ENISA Cloud computing: benefits, risks and recommendations for information security A PROPOS DE L AUTEUR Titulaire d une licence et d un master en droit des affaires, spécialisé dans le droit bancaire et financier, Amanda HANANA prépare actuellement le Master 2 Management du risque en apprentissage dans le contrôle interne, l analyse du risque opérationnel et la mise en place du Plan de Continuité d activité à la RHG chez BNP Paribas. Dans la continuité de ses aspirations juridiques, elle souhaite poursuivre dans cette voie, à la croisée des chemins du droit, des technologies de l informatique et de l information, du contrôle interne, et de la gestion de risque. Les idées émises dans ce livre blanc n engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA. La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à la condition d'en citer la source comme suit : Forum ATENA 203 LE CLOUD : ENTRE MENACE ET OPPORTUNITÉ Licence Creative Commons - Paternité - Pas d utilisation commerciale - Pas de modifications L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites sans la permission écrite de Forum ATENA. Un livre blanc 5 / 5