Le Cercle de la Sécurité s'interroge sur le Cloud Computing

La percée au moins médiatique du Cloud Computing suscite bien légitimement des questions dans la communauté des responsables sécurité en informatique. Comment aborder la problématique, qui sont les prestataires capables quelles protections faut-il déployer, et quels recours faire valoir en cas de problème. La dernière réunion du Cercle de la Sécurité Informatique  a permis de mettre ces sujets sur la table.

Avant de confronter le Cloud Computing, il convient d'appréhender  justement la réalité de ce nouveau type de structure des systèmes d'information. L'observateur des marchés des services et des applications pour IDC, Eric Domage se montre très dubitatif. « Il n'est vraiment pas certain que le Cloud soit le fruit d'une demande des clients. » Le marché doit prospérer et pour y parvenir, l'industrie se sent contrainte de structurer de nouvelles approches. Et de les populariser par un buzz savamment entretenu. En somme, le Cloud Computing ne recouvre quasiment aucune réalité. Le marché ressent avant tout la pression de fournisseurs très importants comme Google et Amazon, soucieux sans doute d'amortir sur d'autres leurs gigantesques capacités informatiques. La preuve sur un chiffre d'affaires total de 367 milliards de dollars pour l'industrie informatique, Eric Domage en attribue à peine 16 aux activités de Cloud Computing. Et selon ses projections, en 2012, la part de marché ne dépassera pas 9%, soit 42 milliards sur 451. « Mais voilà, explique l'analyste, il s'agit malgré tout du segment de marché qui augmente le plus vite. Et il faut donc y aller. » Microsoft ou IBM proposent aussi leurs solutions.

Et parmi les secteurs couverts par le Cloud Computing, c'est la sécurité qui semble tirer cet embryon de marché. Les utilisateurs peuvent externaliser sous le label Cloud Computing des fonctions à très faibles valeurs ajoutées comme les appliances de sécurité. Ou bien, au contraire, les entreprises préfèrent s'en remettre à un spécialiste pour des missions très complexes : audits, tests, veille, remédiation, etc. Et pour conclure, Eric Domage tient à apaiser les esprits : « N'inversons pas les problématiques. Le Cloud Computing suscite d'abord l'appétit des fournisseurs. Donc, pas d'affolement. S'il faut suivre le vent de l'histoire, autant que cela se fasse de manière ordonnée. »

Une approche stricte

Pour le compte du groupe Lagardère, Thierry Augé est parti aux Etats-Unis se rendre compte de l'état de l'art. Le RSSI a participé à un voyage d'études qui l'a conduit de Seattle à San Francisco, avec des rendez-vous chez Microsoft, Salesforce, Google et Amazon. « Nous sommes obligés de regarder ces modèles et nous poser la question de leur pertinence » explique Thierry Augé. Le RSSI de Lagardère a donc édifié une véritable méthode d'appréhension, que l'on peut résumer de la manière suivante :

- Réaliser les études nécessaires

- Déterminer précisément le patrimoine à protéger

- Authentifier les accès

- Valider le pack sécurité des postes

- Maitriser la gestion de la sécurité aux frontières de l'entreprise

- Intégrer l'offre dans l'ensemble des éléments destinés à la gestion de la sécurité

- Maitriser l'adressage IP

- Dérouler les tests intrusifs sur les systèmes en production

- Implémenter de nouvelles technologies pour suivre les flux

- Suivre les travaux de l'association spécialisée Liberty Alliance.

Thierry Augé recommande également d'élaborer des contrats exhaustifs qui prennent en compte toutes les contraintes.

Qui dit contrat, dit droit. Maitre Christiane Féral-Schuhl, avocat spécialisé dans le droit de l'informatique souligne les similitudes entre les problématiques du Cloud Computing et celles de l'outsourcing. Les risques sont très similaires qu'il s'agisse la continuité de services, la capacité de récupérer et consolider les données, qui sont le patrimoine de l'entreprise. La sécurité des informations constitue également un point fondamental dans un contrat de prestations de services. Ces items sont bien connus des DSI, habitués aux contrats d'hébergement, d'outsourcing ou de délégations.

Les problèmes légaux posés par le Cloud Computing résident essentiellement dans l'éloignement des serveurs. Les prestataires sont-ils assujettis aux lois de la République si les systèmes sont à l'étranger ? Comment s'assurer du respect de la loi Informatique et Liberté pour ce qui concerne la sécurité des données ? Maitre Féral-Schuhl estime que des solutions contractuelles sont envisageables. Les contrats peuvent être par exemple assortis de clauses de traçabilité. Certains prestataires comme Google affirment que leurs clients peuvent exiger que les solutions soient toujours hébergées en France. Tous les datacenters ne peuvent en dire autant. Et rappelons-le, quelque soit les clauses contractuelles, elles n'exonèrent en rien l'entreprise de ses responsabilités, y compris pénales.

•  Imprimer l'article
•  Transférer par mail
•  Réagir à cet article
•  

Annuler Ajouter un commentaire

Nom		Email
Votre commentaire
Recopiez les caractères
Mémoriser mes informations pour faciliter mes prochains envois de commentaires.

Annuler Transférer par mail

Nom		Email
Email du destinataire
Message
Recopiez les caractères
Ce message sera transmis depuis l'adresse IP 38.107.179.226

• MTI Technology lance les workshops à la demande - 21/05/12
• Sécurité : Arkoon lance le projet HAKA - 21/05/12
• Dell aide les entreprises à adopter la virtualisation des postes de travail - 21/05/12
• Ingram Micro référence TP-Link - 21/05/12
• Les réseaux sociaux dans l’entreprise : de la sphère privée à l’usage professionnel
  - Par Jean Courcelle Labrousse, Associé de Sterwen Consulting - 21/05/12
• Des PC Windows débarrassé des logiciels pré-installés - 20/05/12
• Selon "Forbes", le patron de Microsoft est le pire PDG américain - 20/05/12
• 12 millions de Windows Phone vendus ? - 20/05/12
• La Bêta de Bitdefender 2013 est maintenant disponible en français - 19/05/12
• EMC World 2012 : un record de participation attendu - 19/05/12

La vidéo du moment

KYOCERA MITA devient KYOCERA Document Solutions
Interview de Takahiro Sato

150.000 bulletins de salaires par mois sont dématérialisés
Interview : Charles du Boullay, Arkhineo

Gagner des parts de marché au sein de notre réseau de revendeurs
- Interview de Daniel Trachino, Acer France

Interview : Yann Hallosserie, Ingram Micro

1 point gagné pour chaque euro d'achat
Regards croisés : PNY et Carri Systems

Nous venons de lancer une gamme de téléphones portables
Regards croisés : Tiptel et DMC

Conforter le message autour de nos valeurs
Regards croisés : OKI et CPRO

Nous organisons un travail collaboratif avec le réseau de distribution
Regards croisés : Fujitsu et Elit Technologies

Top 10 de la semaine

• 1 - La veille des médias sociaux est-elle devenue une nécessité pour les entreprises ?
  - Par Anne-Cécile Guillemot, Co-fondatrice de Dynvibe
• 2 - Les obstacles financiers pour passer au cloud computing
  - 1ère partie
• 3 - Il suffit de 9 minutes par jour pour faire avancer sa carrière malgré un contexte économique difficile
• 4 - Les obstacles financiers pour passer au cloud computing
  - 2ème partie
• 5 - Citrix : un éventail d'outils et de solutions professionnels pour le cloud et la mobilité
• 6 - Les responsables informatique reconnaissent les bénéfices du BYOD mais ne mettent pas souvent en place une politique adaptée
• 7 - Dialonics renforce son équipe
• 8 - Facebook ne fonctionne pas pour les « Marketeurs » !
• 9 - Six conseils pour gérer une crise au sein d’un service client multicanal
• 10 - Lenovo ThinkStation E31: des performances de pointe dans un format compact

• Stonesoft recommandé par NSS Labs suite aux tests des firewalls NG
• Les données de DSCallards prennent vie avec Actian
• Le Cloud gaming devient aussi rapide qu'un clin d'œil grâce au GeForce GRID de NVIDIA
• Progress Software annonce un plan stratégique pour améliorer sa croissance et sa rentabilité et accroître ainsi sa valeur capitalistique
• La communauté BIAN qui promeut des standards pour l’industrie bancaire continue à s’agrandir
• NetApp participera au VMware Forum 2012
• Le Groupe DEBUCY dote IMV TECHNOLOGIES, le leader mondial des biotechnologies de la reproduction, d’un nouveau système de gestion dématérialisée des flux d’informations plus performant et plus respectueux de l’environnement
• Une étude HP souligne que les entreprises sont trop confiantes face aux risques
• Extreme Networks et QLogic proposent une nouvelle génération de solution de réseau de stockage pour les datacenters
• Equinix annonce un accord pour l’acquisition d’ancotel et accroît fortement la densité de son réseau en Europe