Solution miracle pour faire des économies sur les logiciels et les serveurs, le Cloud inquiète les DSI, même si tous les fournisseurs se targuent de répondre aux critères de sécurité.
Avec le Cloud, l'infogérance progresse dans les entreprises mais continue de susciter de multiples inquiétudes ; la sécurité en particulier est la première raison citée par les directions informatiques pour ne pas faire confiance à ces nouveaux services. La dernière étude réalisée au printemps 2013 Outre-Atlantique par notre confrère CIO indiquait même que 78 % des DSI étaient sceptiques.
«C'est incroyable le nombre de services Cloud qui sont achetés via les cartes bleues des directeurs de service» annonçait Marc Frentzel, le directeur technique de VMware France, principal fournisseur de solutions de virtualisation utilisées chez les hébergeurs. L'étude Shadow IT de VMware, en juillet 2013, donnait une vision «désabusée» du Cloud, auprès de plusieurs centaines de DSI européens. Selon cette étude, 75 % des DSI français interrogés avouaient comprendre les avantages, pour les utilisateurs, de services en mode Cloud acquis sans leur permission mais 40 % y voyaient une menace en termes de sécurité interne.
Une crainte de perte de gouvernance
Par rapport à la sécurité du Cloud, la première inquiétude des DSI concerne une «perte» du savoir-faire interne et du contrôle des techniciens qui manipulent des données stratégiques sur les clients et le personnel de l'entreprise. L'autorité de la Cnil rappelle à ce sujet qu'aux termes de l'article 3 de la loi de 1978 modifiée : «Le responsable de traitement est défini comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel. Le sous-traitant, quant à lui, traite les données à caractère personnel pour le compte du responsable de traitement et selon ses instructions». A ce titre, afin de rassurer le client, le prestataire de service externe a pour obligation de fournir les informations précises sur le «nouveau» personnel en charge de la supervision et de l'administration et sur les moyens mis en pour place pour contrôler l'accès aux données. L'entreprise est aussi juridiquement responsable de son Plan de Continuité d'Activité (PCA) et de l'intégrité de ses données. Mais cette facette difficilement administrable contraste avec l'avantage immédiat lié à une duplication de l'infrastructure dans le Cloud
Des atouts évidents pour la sécurité
Il permet, par exemple, tout simplement de se garantir contre une coupure électrique du site original dit «primaire», d'éviter les pertes des données de production ou encore d'échapper à la perte d'un serveur de production ou à la perte d'un lien télécom. L'offre que l'on qualifie désormais de Cloud Hybride et qui passe par une duplication des ressources originales de l'entreprise vers le Cloud au moment nécessaire, progresse. Il ne s'agit plus seulement de sauvegarder les données mais aussi de s'affranchir de l'obsolescence des ordinateurs qui peuvent reprendre les services applicatifs, sans ruptures de service, sans délais et sans manipulations. Cette garantie de disponibilité justifie à elle seule que l'on étudie de près le dossier.
L'espionnage braque les projecteurs sur le Cloud
Pourtant, durant cet été 2013, les révélations des partenariats entre les principaux éditeurs américains et leurs services secrets, la NSA, ont fourni la preuve d'un espionnage industriel à l'échelle de la planète. Tout paraît s'opposer en fait au Cloud, qu'il s'agisse de remplacer les serveurs, le stockage selon l'IaaS : «l'Infrastructure as a Service», c'est-à-dire la fourniture d'infrastructures de calcul et de stockage en ligne, ou dans le cas des logiciels (Software As a service). L'exploitation en ligne de programme comme les outils de CRM de Salesforce ou les messageries Gmail ou Hotmail hébergées à l'étranger devient un sujet de remise en cause pour des raisons de confidentialité.
Cloud Souverain : tout le monde a des secrets stratégiques
Avec l'investissement de 75 millions d'euros de l'Etat dans deux entreprises concurrentes : CloudWatt et Numergy, la France a reconnu objectivement la nécessité dun «Cloud souverain» pour protéger nos données essentielles de la curiosité des espions. Avec cette démarche, l'état lui même reconnaît qu'il faut mieux avoir ses «affaires» en ligne que de les conserver dans les ministères. Un exemple à suivre ?
Pour Numergy, lancé le 1er septembre 2012, l'offre de services et ses infrastructures techniques reposent sur celles de SFR, et les finances sur l'Etat, actionnaire à 47 % aux côtés de Bull (20 %) et de la Caisse des dépôts (33 %). L'Etat, étant tout de même le premier client, peut considérer qu'il sest lui-même créé des services «étanches».
Selon Anthony Sollinger, co-fondateur du comparateur de Cloud «Cloud Screener» qui s'est penché sur le catalogue des deux firmes : «Numergy propose des instances packagées pouvant satisfaire des besoins variés et une gamme d'options et de services assez large, dont plusieurs niveaux de services (SLA) en option, du trafic sortant gratuit, une garantie de bande passante et la réversibilité des données».
Chez Cloudwatt, l'autre Cloud souverain, on s'appuie sur l'infrastructure d'Orange avec l'utilisation d'une partie du site de Val de Reuil, en Normandie. Cloudwatt propose
du filtrage sécurisé jusqu'au niveau des machines virtuelles des clients, mais également, du DNS et de la répartition de charge à la demande. Le datacenter de Val-de-Reuil est certifié Tier 4, le meilleur niveau avec un taux de disponibilité annoncé de 99,95 %. Cloudwatt annonce trois niveaux de services avec des possibilités d'évoluer en cours de contrats avec de nombreuses options. Cela passe par le chiffrement à la volée ou encore la possibilité d'administrer à distance de grands volumes de stockage.
La contre-attaque des autres acteurs français
Numergy et Cloudwatt sont, elles, très différentes des autres offres de Cloud hexagonales (Acropolis, Aciernet, Ikoula, Gandi, OVH…). Samir Koleilat, PDG de l'hébergeur Acropolis qui exploite quatre Datacenters lançait la polémique, l'automne dernier, dans une lettre ouverte : «Pourquoi l'Etat finance-t-il à hauteur de 150 millions d'euros (75 ME par projet, via la CDC) des start-up créées de toutes pièces, sans expérience, sans produit, sans client, et finalement sans légitimité sur le marché, alors qu'une vingtaine d'entreprises françaises spécialisées, plus expérimentées et qui avaient déjà une longueur d'avance, étaient mieux placées pour relever le défi d'un Cloud souverain français ?»
Les offres internationales des «mastodontes» américains, tels que Windows Azure, Google Cloud Compute, Amazon EC2/S3, reposent sur des datacenters installés, parfois avec l'aide des collectivités locales, dans toute la communauté européenne, ce qui limite l'argument des opposants sur les transferts de données hors de notre juridiction. Principal grief, l'état américain, via le Patriot Act créé au lendemain de l'attaque du 11 septembre, pour débusquer les messages de terroristes, peut y saisir les données qu'il désire sans avoir à se justifier, sans délais.
Quelle légitimité et à quel prix ?
De leur côté, les défenseurs des starts-up du Cloud souverain rétorquent que la stabilité financière des structures françaises existantes n'a rien avoir avec deux entreprises «souveraines» qui elles, s'appuient sur l'Etat. De plus, pour défendre leurs contenus, les infrastructures hexagonales concurrentes déjà existantes reposent essentiellement sur des logiciels connus d'origine américaine. Cette critique est aussi, pour les deux nouveaux venus, une manière de mettre en avant leurs développements open Source qui, outre une forme d'indépendance, seront surtout un bon moyen de réduire leurs tarifs. Car lorsque l'on cherche à externaliser une application (messageries, site web, Service CRM) les considérations nationalistes font rapidement place à une étude comparative de tarifs, un travail complexe d'analyse, surtout si l'on met en priorité la sécurité.
Les mastodontes se défendent en affichant leur transparence et leur partenariat avec la Cloud Security Alliance (CSA) qui rassemble la plupart des éditeurs de sécurité et les fournisseurs de cloud. L'un des points clés est le programme STAR (Security, Trust and Assurance Registry), dont l'objectif est de tenir à disposition des entreprises des documents détaillant les contrôles de sécurité en place dans leurs offres Cloud. L'un des intérêts immédiats de cette alliance est de pouvoir comparer sur les mêmes bases les différentes offres et simplifier la rédaction d'appels d'offres.
Mais la sécurité des données passe aussi par une confiance extrême dans l'opérateur de Cloud qui peut transférer les données entre plusieurs lieux géographiquement éloignés. Le particulier ou l'entreprise ne connaît pas la position des données entre chaque datacenter. Mais théoriquement, les logs des transferts doivent être fournis au gestionnaire de sécurité, tout comme les éventuelles clés de chiffrement. Pascal Segoufin, le responsable d'exploitation de eTF1, n'hésitait pas à dire sur le site de son hébergeur qu'à terme «la force de l'équipe qui propose le Cloud repose sur son écoute, sa compréhension du client et sa capacité à transmettre son savoir technique». Cette réflexion montre qu'au-delà des réglementations et des technologies en tous genres, la sécurité est d'abord une affaire de confiance entre des spécialistes. Sans cette confiance, l'étude technique à peu de chance d'aboutir.
Le premier ministre et la nécessité du Secret Défense
Début septembre, la question de la sécurité des transmissions téléphoniques, toujours stockées un certain temps sur des serveurs d'opérateurs est devenue une urgence. Une circulaire du bureau du premier ministre insistait sur les informations classifiées. «Jusqu'au niveau «Secret-Défense», les communications devront être transmises uniquement avec des téléphones cryptés comme le Théorème de Thales». Mais les temps de réponses seraient tellement longs que bon nombre de fonctionnaires s'en passeraient. Près de 2 300 appareils de ce type équiperaient déjà les ministères de la Défense, de la Justice, de l'Intérieur, des Finances et des Affaires étrangères. A l'annonce d'une éventuelle intervention en Syrie, alliée de la Russie, dotée d'une armée d'un niveau technique sans rapport avec celle de Libye et des nomades maliens, l'inquiétude était montée d'un cran.
