Sécurité chez un fournisseur de cloud ? Avant, pendant, après… c’est aussi l’affaire du client
Le 25/10/2012 de 10H45 à 11H35 SALLE PICASSO
La politique de sécurité qui encadre l’accès à un coffre fort n’est pas la même que ce coffre soit dans sa chambre d’hôtel ou dans sa banque. Et c’est pourquoi on ne met pas les mêmes valeurs dans l’un et dans l’autre. Il en va de même avec les données que les entreprises confient aux fournisseurs de services dans le cloud. Alors autant le répéter : déployer un service ou une application dans le Cloud, comme utiliser d’ailleurs une application en SaaS n’est certainement pas une délégation de la sécurité faite au fournisseur. D’abord parce que le client est toujours responsable de ses données ainsi que des contraintes légales qui s’y appliquent. Ainsi, dans les offres SaaS, la gestion des identités et des droits d’accès restent de la responsabilité du client. Ensuite, c’est au client de s’assurer que son fournisseur satisfait à toutes les obligations, normes et recommandations. Par exemple, la conformité à la norme ISO 27001 est un gage de sérieux mais l’ensemble du périmètre est-il couvert (et pas uniquement le datacenter) ? A cet égard, les 99 critères proposés par la Cloud Security Alliance peuvent fournir une grille d’évaluation assez exhaustive des points à couvrir. A prendre aussi en compte les modes d’authentification des utilisateurs et leurs droits d’accès associés, moins souvent mis en avant par les fournisseurs. La plupart des services s’appuient sur un identifiant statique ou la mise en place de VPN, voire de certificats clients mais qui alourdissent l’ensemble. Et c’est bien là un des problèmes : quel compromis accepter sur l’authentification ? Avoir d’un côté un dispositif simple à utiliser, de haute sécurité, de faible coût et universel, et de l’autre côté – celui du fournisseur – un dispositif facile à déployer, d’un coût non prohibitif et sur lequel il engage sa responsabilité juridique (par mots de passe ou autres systèmes). Or les clients font-ils preuve d’une maturité suffisante sur la gestion des identités et de leur implémentation ? La sécurité, n’est-elle pas d’abord ce que veut en faire – et payer - le client ? Autre point, la sécurité demandée à un fournisseur dans le cloud chez qui on envisage de migrer ne commence-t-elle pas par un ménage chez soi ? En effet, les impacts et le coût d’une migration étant importants (changements de l’ensemble des IP et de l’architecture, notamment), une analyse méticuleuse des risques n’est-elle pas nécessaire ? Et si oui, comment procéder ? Même souci qui doit présider dans l’hypothèse où le client divorce de son fournisseur. La réversibilité, par exemple. Là encore le respect des standards peut orienter le choix du client. Elle est certes différente selon les modèles de cloud : la réversibilité de l’Iaas est-elle plus simple parce que le client contrôle toute la chaîne, de l’OS à l’applicatif ? Celle du Saas dépend-elle du service et du lieu de rapatriement des données (interne ou autre fournisseur en Saas) ? La réversibilité du Pass est-elle un cauchemar en raison de l’hétérogénéité des fonctions et outils de développement de la plate forme ? Autant de points auxquels peut s’ajouter la localisation des données et ses marges : par exemple, doit-on aussi prendre en compte les datacenters de secours ? Car certains prestataires ne se privent pas du dupliquer les données sur des serveurs en Asie, l’Inde au premier chef. Autant de questions « techniques » qui ne sauraient se substituer à la principale : le client a-t-il « sécurisé » la mise en place de sa nouvelle organisation inhérente à cette migration et la connexion avec ses équipes juridiques ?
Animateur :
Jean-Philippe BICHARD, journaliste indépendantIntervenants :
Olivia GAST, Avocat associé, GAST & MENGUY Claude CHAUVET, Expert technique sécurité, INTEL Kevin POLIZZI, Président, JAGUAR NETWORK Jean-Nicolas PIOTROWSKI, Président-Directeur général, I TRUST Samir KOLEILAT, Président, ACROPOLIS TELECOM
