Le Cloud est-il vraiment plus sûr que le « sur site » ?
Pour Google c'est : oui, sans aucun doute. Pas si l'on inclut la confidentialité et les exigences réglementaires, répondent des experts.
Dans une récente explication pour rassurer les professionnels, Greg DeMichillie, Directeur du développement produits Cloud chez Google, a affirmé, de manière assez péremptoire, que les données stockées sur site étaient beaucoup moins en sécurité que ce que la plupart des gens pensaient. Et en tout cas moins que dans le Cloud, le sien en particulier.
Il n'est pas le seul à le dire, et ce n'est pas non plus la première fois que Google l'affirme. L'actualité américaine récente semble d'ailleurs lui donner raison. « Il fut un temps où la sécurité était un frein évoqué pour ne pas aller dans le Cloud. Mais avec les affaires Home Depot, Target et Sony Pictures – sans parler des vulnérabilités du Office of Personnel Management du Gouvernement des Etats-Unis – les clients réalisent que la sécurité est au contraire un argument pour y aller », a-t-il ainsi déclaré
Pourquoi ? Parce que - autre argument parmi ceux en faveur du Cloud martelés par tous les fournisseurs – la sécurité est son métier. Effectivement, chez Google plus de 500 spécialistes sont dédiés à la tâche de trouver et de corriger les bugs et les failles de ses systèmes. Ce que ne peuvent s’offrir l'immense majorité des entreprises.
« Nous construisons nos propres serveurs, nous concevons nous-mêmes les spécifications de notre hardware et de nos couches logicielles. Tout cela réduit la surface d'attaque parce que vous ne pouvez pas acheter un serveur utilisé par Google, le monter chez vous et l'analyser pour trouver des failles […] C'est ce qui fait que dans le Cloud, vous êtes plus en sécurité. »
Oui mais voilà, plusieurs spécialistes du bon vieux « sur site » font remarquer que cette affirmation oublie plusieurs risques liés au Cloud. Dont une donnée fondamentale : la confiance. Car sécurité et confidentialité ne sont pas la même chose.
C'est le cas de Mark Hall, un spécialiste qui travaille pour le conseil britannique en Cloud Computing Redcentric. Celui-ci souligne que le lieu où sont stockées les données confiées à Google n'est jamais clair
« Cela pose un problème de souveraineté de la donnée. […] Google bouge vos données en permanence pour maximiser l'utilisation des ressources de son infrastructure. Mais vous ne savez jamais quand, ni où cela se passe », avance-t-il.
Le même constat avait été fait, publiquement, par un acteur français majeur de la grande distribution qui s'était rendu compte, lors d'une phase de test, que chez Google ses données transitaient par les Etats-Unis alors qu'elles n'étaient pas censées le faire. Résultat, le distributeur a choisi Microsoft Azure pour sa stratégie Cloud, l'option AWS ayant été exclue à cause de sa branche eCommerce en concurrence frontale avec le projet.
Le fait de faire passer les données d'une zone à une autre pose en effet le problème du changement de réglementation qui s'y applique. Or les entreprises et les organisations, surtout du secteur public – domaine de Redcentric – ne souhaitent pas que leurs informations soient régies par le droit d'un autre pays.
La contrainte de la régulation
Concernant le droit, le cabinet de conseils ESPL – spécialisé dans les questions de conformités réglementaires européennes pour l'industrie pharmaceutique – s'affiche encore plus « anti-Cloud ».
Tony Erwood, son DSI, explique que les exigences légales du secteur rendent quasiment impossible l'utilisation d'un Cloud comme celui de Google.
« Nous exigerions de Google qu'il nous indemnise en totalité pour toutes les plaintes de nos clients qui concerneraient des fuites de données stockées sur des serveurs de Google. Nous exigerions aussi qu'il prenne à sa charge, et sans condition, la totalité des frais de justice liées à ces plaintes », lance Tony Erwood.
Des exigences auxquelles Google ne se plierait évidemment pas, comme le rappelle Forrester, puisque paradoxalement une entreprise qui place les données de ses clients dans un Cloud est toujours responsable légalement de leur sécurité, en lieu et place du dit fournisseur de Cloud.
Dans son rapport, Forrester écrit noir sur blanc que « vos interlocuteurs le savent. En particulier dans les industries réglementées, comme la banque, la santé et le secteur public, où vous pouvez vous attendre à ce qu'ils soulèvent d'importantes objections au sujet de la protection des données et des workloads dans le Cloud ». Même si des exceptions existent.
Forrester met également en garde les utilisateurs qui décideraient de se reposer uniquement sur la sécurité « de base » proposée par les fournisseurs de Clouds sans envisager d'autres solutions, notamment le chiffrement de bout en bout.
Et aussi
« La responsabilité incombe toujours à l'entreprise utilisatrice. La localisation de ses workloads – qu'ils soient sur site, dans un Cloud privé managé ou dans un Cloud public - n'a aucune espèce d'importance. [Or] se reposer sur la sécurité du fournisseur ou évaluer son niveau avec une simple checklist est rarement suffisant », constate le rapport.
La réponse à la question « qui du Cloud ou du on-premise est le plus sûr ? » est donc à chercher ailleurs que dans les 500 ingénieurs de Google. La sécurité est au final plus une question de culture d'entreprise et de bonnes pratiques, que ce soit avec une infrastructure sur site ou une infrastructure gérée par un tiers.
Traduit et adapté par la rédaction
