Quelle que soit la formule choisie (PaaS, SaaS, Iaas ou DaaS), la problématique est identique : s’assurer de la pleine sécurité des données dans le "nuage". Comment y parvenir ? Le risque est-il plus élevé qu’en passant par des solutions de stockage local ? Quels sont les écueils à éviter, les points à respecter ?
En tout premier lieu, une fois le choix du service Cloud effectué, une entreprise ne peut prendre aucun risque et se doit de doubler la sauvegarde de ses documents. Il ne faut pas hésiter à créer deux comptes ou faire appel à deux solutions de stockage pour sauvegarder les mêmes données : il n’est pas rare qu’un fournisseur rencontre des problèmes techniques entrainant des pertes importantes de données. Selon l'expert en sécurité Kroll Ontrack (1), 65% des PME subissent « fréquemment » une perte de données en environnement virtuel.
Des incidents occasionnels mais non négligeables
En janvier dernier, Microsoft avait « malencontreusement » supprimé les mails de plusieurs millions d’utilisateurs. Hotmail, le webmail le plus utilisé au monde avec 364 millions d’utilisateurs, est finalement rentré dans l’ordre après quelques jours d’attente. S’il est peu utilisé en entreprise, le service de messagerie en ligne de Microsoft est un bon exemple des risques encourus avec le Cloud.
Autre mésaventure conséquente, en avril dernier des utilisateurs des services Cloud d’Amazon EC2 avaient rencontré une panne entrainant la perte définitive d’un nombre inconnu de données. La raison ? Une panne de serveurs dans un data serveur d’Amazon. Plusieurs sites tels Foursquare, Reddit ou encore Quora se sont trouvés inaccessibles. Aucune entreprise n’est réellement à l’abri d’une telle mauvaise surprise, mieux vaut donc anticiper en doublant la sauvegarde de ses données.
Le rôle prépondérant du Directeur du Service Informatique
Lorsque les données d’une entreprise sont externalisées, le problème de leur sécurité est le même que pour une sauvegarde en local, c'est-à-dire dans les locaux de l'entreprise. Cependant, l’ajout d’un intermédiaire (le fournisseur) ajoute un degré de risque. Pas de panique, il s’agit également de la première préoccupation d’un fournisseur. Le directeur informatique de l’entreprise bénéficiaire doit prendre en compte deux paramètres. La garantie de la sécurité des données hébergées à l’extérieur de l’entreprise par le fournisseur d’une part, la gestion des identités des acteurs de ce Cloud d’autre part. Ainsi, un directeur de section informatique doit exiger une totale transparence dans les pratiques globales de sécurité et de gestion des informations mises à disposition, ainsi que dans les rapports de conformité du fournisseur. Il convient également de demander quels sont les engagements, moyens et procédures mis en oeuvre par un fournisseur pour effacer toute trace des données de l’entreprise.
La CNIL s’intéresse à la sécurité des données dans le Cloud
Bien sûr il existe des solutions, en dernier recours, de récupération des données. Mais en théorie un fournisseur de données dans le Cloud doit pouvoir offrir une garantie d’une quasi-absolue impossibilité de perdre définitivement ces données. Sans quoi des entreprises spécialisées peuvent être sollicitées afin de récupérer ce qui peut encore l’être.
Pour conclure, notons l’ouverture par la CNIL (Commission Nationale de l’Informatique et des libertés) d’un grand débat (2) auprès des professionnels des acteurs du Cloud « afin d'envisager toutes les solutions juridiques et techniques permettant de garantir un haut niveau de protection des données » dans le Cloud. Cette consultation aura lieu du 17 octobre au 17 novembre 2011 auprès des professionnels du secteur.