La sécurité des données dans l’entreprise est une question stratégique à l’heure de la mondialisation et du cloud.
Les systèmes informatiques des entreprises se sont construits en interne depuis les 30 dernières années. Avec l’arrivée d’Internet et l’ouverture sur le monde extérieur de ces systèmes, la course à la sécurité n’a jamais cessé.
Protéger les serveurs internes contre les intrusions, conserver le secret sur ses données ont été un leitmotiv. Avec l’arrivée du cloud computing, l’idée même de déléguer ses serveurs et ses informations à une entreprise extérieure est apparu, dans ce contexte, presque absurde.
Pourtant on sait maintenant l’efficacité du cloud computing. Et pourtant, d’après une étude menée par PAC, EMC, Intel et VMware en 2010, 43% des freins au passage au cloud computing seraient liés aux questions concernant la sécurité et la confidentialité (en France).
Un problème de fiabilité ?
Si l’on tient compte de l’actualité récente, il est normal d’avoir des doutes.
Ces doutes s’appuient sur des problèmes liés à la fiabilité des services. En voici plusieurs exemples :
Microsoft : BPOS est une offre de services en ligne à destination des entreprises de Microsoft. Au mois de décembre dernier, des données ont pu être téléchargées par inadvertance par d’autres clients. Microsoft parle de circonstances très spécifiques pour un problème qui a été résolu en deux heures. Aussi, le 22 juin dernier, BPOS a connu un nouveau problème qui a conduit aux États-Unis à une indisponibilité pendant près de 3 heures.
Amazon : En avril dernier, à la suite de la panne qui a affecté ses infrastructures, Amazon a perdu des données clients. L’entreprise a indiqué que seulement 0.07% des données hébergées ne pourront pas être récupérées.
Google : la dernière panne de Google remonte à 2010 et a bloqué l’accès à Google App Engine pendant un peu plus de deux heures. Cependant Google est le seul qui garantisse une disponibilité à 99,9 % de la messagerie, ce qui correspond à moins de neuf heures d’indisponibilité par an.
Le cloud computing est-il fiable ?
Il y a donc effectivement des pannes, comme sur n’importe quel serveur. Les questions qui doivent vraiment se poser sont donc les suivantes. Lorsque ce type d’incident arrive sur un serveur interne à l’entreprise, êtes vous capable de retrouver vos données comme le font ces prestataires ?
Vos serveurs assurent-ils une fiabilité durant 100% du temps ? Il est clair que l’expérience, le savoir faire et les moyens mis en oeuvre par ces spécialistes dépassent de loin ceux de n’importe quelle organisation.
Le rapport sur la sécurité de l’ENISA publié en 2009 est explicite sur les différents points relatifs à la sécurité. Contrairement aux idées reçues, le cloud computing présente de réels bénéfices de sécurité.
Il y a une autre crainte qu’expriment les entreprises.
La question de la confidentialité et de la sécurité
Comment s’y retrouver dans la jungle des offres disponibles ?
Beaucoup se disent professionnelles mais peu assurent réellement un service de confidentialité clair ou offrent une vraie garantie pour les entreprises.
Pour Salesforce, Amazon Web Services, Microsoft et Google Apps for Business, les contrats sont clairs. Il s’engagent sur la confidentialité des données. Google Apps détaille même les 5 principes de confidentialité selon lesquels Google engage sa responsabilité.
Mais ce n’est pas le cas de tous les prestataires. Pour exemple, le célèbre service Dropbox, qui permet de sauvegarder et synchroniser des dossiers personnels, est sujet à caution. Dernier sujet de discussion en date au sujet de ce fournisseur de service, voici une partie des termes qu’a récemment mis à jour cette entreprise :
Nous avons parfois besoin de votre permission pour l’utilisation de vos travaux (par exemple, l’hébergement ou le partage de vos fichiers). En nous soumettant vos travaux, vous nous accordez l’accès (et à ceux avec qui nous travaillons pour fournir les services ) dans le monde entier, non exclusif, libre de royalties, les droits de licence, d’utiliser, copier, distribuer, préparer des travaux dérivés (comme des traductions ou des conversions de formats) d’exécuter ou afficher publiquement ces travaux dans la mesure raisonnable et nécessaire pour le service.Source
Les termes sont donc ici très clairs : Dropbox se réserve le droit d’utiliser, de modifier et de diffuser vos données.
Une chose est certaine : tous les prestataires de service cloud computing doivent exposer leur politique de confidentialité des données. Lire les contrats avant tout engagement a toujours été et reste ici un élément essentiel de la décision du client. Ce point important vous aide souvent à mieux choisir votre offre.
Faut-il être alarmiste ?
Les offres adaptées aux professionnels telles que SalesForce, Amazon Web Services ou Google Apps ou même Microsoft Online semblent respecter ces engagement.
Elles assurent, bien mieux que dans le cas d’un stockage des données interne, la confidentialité des données. Pour rappel, 80% des fuites sont issues de l’intérieur d’une entreprise.
Pourquoi leur faire confiance ?
Pour répondre à cette question il suffit de se pencher sur les enjeux stratégiques de ces entreprises prestataires de service cloud computing. Elles savent les inquiétudes des entreprises à confier leurs données personnelles.
Elles jouent leur crédibilité et ont un intérêt absolument vital à respecter la confidentialité des informations qui leur sont confiées.
En matière de cloud computing, le concurrent est à un clic. Il n’a jamais été si simple d’exporter ses informations pour les importer chez un autre service. Les industriels du cloud font donc de la sécurité de nos informations une véritable priorité.
Pour avoir évoquer le sujet avec des collaborateurs d’entreprises citées dans cet article, nous savons qu’elles veillent sur les données de leurs clients exactement comme sur les leurs.
D’ailleurs, elles utilisent exactement les mêmes systèmes que pour elles-mêmes. Chez Google, on appelle ça “eat your own dogfood”. Une expression qui serait née en 1988 chez… Microsoft !