L'utilisation du cloud computing, ou informatique en nuage, est en plein essor et d'ici 2016, selon le cabinet de conseils Gartner, la tendance s'accentuera au point de représenter l'essentiel des nouvelles dépenses en informatique. Mais à mesure qu'augmente le volume des informations placées dans le nuage, on s'interroge sur la sûreté de cet environnement.
À en croire les chiffres, c’est un marché énorme. Selon le cabinet américain Gartner (2013), le marché, qui pesait USD 111 milliards en 2012, progressera de 18,5 % pour atteindre USD 131 milliards en 2017. Qui plus est, 2016 sera une année déterminante pour le nuage, car cette technologie de pointe va se perfectionner encore davantage dans les années à venir.
Des inquiétudes croissantes
Pourtant, malgré la progression rapide du recours aux services du nuage, beaucoup de gens hésitent encore, et il y en a même qui refusent catégoriquement d’adopter une application basée dans le nuage, mettant en cause la sécurité et la protection des données privées, des difficultés opérationnelles ou l’incapacité de contrôler les informations dès qu’elles quittent le périmètre. Selon une étude mondiale de BT de 2014, la sécurité des données et la fiabilité des services de cloud computing sont des questions délicates pour les responsables IT des grandes organisations. Cette étude montre en effet que la sécurité est la préoccupation principale de 76 % des répondants qui utilisent des services en nuage. Près de la moitié (49 %) admettent être « très inquiets ou extrêmement inquiets » des implications de sécurité entourant le nuage.
La recherche montre que 89 % de la communauté active mondiale est actuellement mal informée des modalités de protection appliquées dans le nuage. Le problème ne tient pas tant à la sécurité du nuage, qu’à ce qu’en savent les utilisateurs.
Pas de panique !
Cette peur légitime que l’on peut avoir quant à la sécurité d’actifs aussi précieux que nos données personnelles est tout à fait compréhensible, mais aussi largement exagérée.
Pour Maria-Martina Yalamova, spécialiste en droit du cloud computing, du cabinet d’avocats Covington & Burling, les fournisseurs sérieux de services cloud offrent bien souvent un niveau de sécurité largement supérieur à celui que peuvent s’assurer par eux-mêmes les particuliers ou les entreprises. « Ils investissent des ressources considérables pour doter leurs systèmes de mesures de sécurité de pointe et ils les testent et les renforcent très régulièrement. Beaucoup de ces prestataires respectent des normes internationales de sécurité et sont soumis à diverses obligations contractuelles et légales/réglementaires de garantir la sécurité et la protection des données privées. Selon le type de données concernées, ils offrent aux clients une gamme de contrôles de confidentialité pour protéger leurs données. »
Le nuage a évolué par rapport à ses débuts, et comme toutes les technologies nouvelles ou les nouveaux modes de prestations, il n’a pas manqué au départ de susciter l’inquiétude, l’incertitude et le doute. Il n’y a pas si longtemps, rappelez-vous, on se demandait si les PC pourraient résister aux menaces de violation des données privées stockées dans les disques durs.
Il en a été de même pour le nuage, selon Knut Blind, Professeur titulaire de la Chaire de normalisation à la Rotterdam School of Management et de celle d’économie de l’innovation à l’Université technique de Berlin, sous l’égide de l’institut Fraunhofer FOKUS. À l’en croire, les temps ont bien changé en ce qui concerne les questions de sécurité et les peurs associées.
Migrer en confiance
Le marché exponentiel de l’informatique en nuage
Le fait est que tous les nuages ne sont pas identiques, et que la qualité des prestations et du soutien peut beaucoup varier d’un fournisseur à l’autre.
Le problème ici est avant tout une question de confiance. Si le cloud réussit à inspirer davantage confiance, le grand public et les entreprises se montreront plus enclins à en exploiter les avantages en termes de réduction des coûts, d’évolutivité et de rapidité de déploiement. Or, ce niveau de confiance ne peut être établi que si l’on tient compte du type de données dans la planification de tout éventuel recours aux services du cloud.
Le Professeur Edward Humphreys, Animateur du groupe de travail de l’ISO chargé des normes sur le management de la sécurité de l’information, notamment ISO/IEC 27001, ISO/IEC 27002 et ISO/IEC 27017 sur la sécurité du nuage, considère que tout contrat d’infogérance présuppose nécessairement l’établissement d’un climat de confiance. « Les entreprises doivent avoir l’assurance que le fournisseur de cloud est digne de confiance. »
Et d'ajouter : « Beaucoup d’utilisateurs n’ont peut-être pas compris qu’ils doivent choisir un fournisseur de services cloud capable de bien gérer le traitement des données à caractère personnel ; et ceux qui en sont conscients ne savent peut-être pas comment faire pour vérifier cette capacité chez les fournisseurs. Pour la protection des données personnelles, c’est à ce niveau que peuvent se situer les plus gros risques. »
Alors, quelle solution ? Les fournisseurs de services cloud devraient certainement travailler à améliorer la confiance de leurs clients, relève M. Humphreys. Concrètement : « Il est indispensable que, dans son processus de gestion, un fournisseur de services cloud ait un système de contrôle en place qui porte spécifiquement sur la protection des données à caractère personnel. Si le prestataire commence par établir un accord sur le traitement des données, décrivant son processus de gestion et les éléments importants relatifs à ces obligations légales, ses clients seront plus sûrs de sélectionner le bon fournisseur de services cloud. La conformité à ISO/IEC 27001, assortie des contrôles sur la protection des données à caractère personnel de l’ISO/IEC 27018, ajoutera encore un niveau supplémentaire de confiance. »
Le Professeur Blind en convient : « Face à l’augmentation du nombre de ceux qui font appel aux services du cloud, les fournisseurs de cloud doivent assurer des contrôles de sécurité bien conçus et faciles à utiliser. Les entreprises doivent mettre en place des systèmes appropriés de management de la sécurité des informations. »
Des services sûrs
En matière de cloud computing, ne soyez pas victime des opérations de battage médiatique et d’une méfiance excessive.
Comment les entreprises peuvent-elles créer un accord type sur la qualité du niveau de service pour les acteurs du cloud ? Comment peuvent-elles mieux étayer leurs décisions au moment d’opter pour un service de cloud computing, et quelle solution répond le mieux à leurs besoins ?
Publiée en 2014, ISO/IEC 27018 est la première Norme internationale qui met l’accent sur la protection des données personnelles dans le nuage. Avec un recul de quelques mois à peine depuis sa parution, cette nouvelle norme devrait enfin donner aux utilisateurs l’assurance que leur fournisseur de services est bien apte à assurer la sécurité et la confidentialité des données qui lui sont confiées.
Mme Yalamova précise en effet qu’« ISO/IEC 27018 spécifie certains types de mesures de sécurité minimum que les fournisseurs de cloud devraient, le cas échéant, adopter, y compris le cryptage et les contrôles d’accès. La norme exige également que les fournisseurs de cloud mettent en oeuvre des stratégies de sensibilisation aux questions de sécurité et rendent le personnel concerné attentif aux conséquences potentielles du non-respect des règles de confidentialité et de sécurité (pour le personnel, le fournisseur de cloud et le client). »
ISO/IEC 27018, norme pionnière dans le domaine de la protection des données à caractère personnel sur le cloud, vise différents objectifs :
Aider les fournisseurs de services cloud qui traitent des données à caractère personnel à répondre aux obligations légales applicables, mais aussi aux attentes de la clientèle
Assurer la transparence, pour que les clients puissent choisir des services cloud bien gérés
Faciliter l’élaboration de contrats pour les services cloud
Fournir aux clients du cloud un mécanisme garantissant que les fournisseurs de cloud respectent les obligations légales et d’autres exigences
Pour résumer, ISO/IEC 27018 fournit une référence concrète pour établir la confiance sur ce marché. Elle donne en même temps, à l’industrie du cloud public, une orientation claire pour répondre à certaines préoccupations légales et réglementaires de ses clients. Que demander de plus ?
Un peu de clarté dans le nuage
Moins les utilisateurs perdront de temps à vérifier qu’ils peuvent utiliser le nuage en toute fiabilité (avec toutes les précautions de sécurité requises), mieux se porteront leurs affaires, leurs données et la rentabilité de leur entreprise. ISO/IEC 27018 a déjà marqué un grand progrès en faisant prendre aux fournisseurs du cloud davantage de mesures de précaution pour assurer la protection des données de leurs clients.
Bien sûr, on part du principe que chacun d’entre nous évaluera les avantages, les risques et les conséquences en termes de confidentialité des données avant de faire appel à des services de cloud computing, que nous prendrons nos responsabilités pour assurer la sécurité de nos données personnelles, par exemple, en choisissant de solides mots de passe et en vérifiant à deux fois que le fournisseur de cloud retenu a adopté les mesures de sécurité appropriées et fait preuve de transparence quant à ses pratiques de traitement des données.
En matière de cloud computing, ne soyez pas victime des opérations de battage médiatique et d’une méfiance excessive – l’utilité de ces services et les économies qu’ils permettent de réaliser sont beaucoup trop importantes pour passer à côté.
Avez-vous été victime du cloud ?
Vous avez été victime de la cybercriminalité dans le nuage ? Ne désespérez-pas, les solutions arrivent.
Pour Maria-Martina Yalamova, avocate spécialisée dans la protection des données au sein du cabinet d’avocats Covington & Burling, il y a un certain nombre de recours :
Commencer par enquêter sur l’intrusion, puis surveiller comment et où les données sont utilisées, et anticiper si possible la suite.
Les recours précis varient selon la législation locale, mais souvent il est préférable de s’en remettre à la police, à qui vous pouvez donner les renseignements sur les personnes concernées. Les « mauvais joueurs » ne réagissent pas aux mesures civiles (injonctions de cessation et d’abstention, ou décisions judiciaires).
Une fois qu’un « mauvais joueur » est identifié, il est également possible de chercher à se faire indemniser. L’intérêt de l’opération dépendra des circonstances et des enjeux.
La victime et ses conseillers doivent garder à l’esprit qu’une action démesurée risque d’attirer l’attention du public sur l’intrusion, qui risque d’aggraver la situation pour la victime.
Avec l’aimable autorisation de Maria-Martina Yalamova
Vous souhaitez obtenir des informations exclusives sur les normes, ou simplement en savoir plus sur ce que nous faisons ? Contactez notre équipe ou consultez notre dossier médias.
