Cloud Computing : retour sur les enjeux de la sécurité

Le cloud computing, ou programmation sur nuages de serveurs, reste certainement l'un des virages majeurs de ces dernières années. Si ce nouveau modèle facilite le déploiement des infrastructure des petites et grandes entreprises, il soulève tout de même plusieurs questions en matière de sécurité. En rappelant que 74,6% des DSI placent la sécurité du réseau au sommet de leurs priorités, Bernard Ourghanlian, chargé de la sécurité chez Microsoft, revient sur les réflexions en cours et les enjeux des sociétés ayant choisi de rompre avec le modèle traditionnel du centre de donnés local.

En matière de cloud computing, trois modèles peuvent être discernés. Le premier du genre, le SaaS (Software as a Service) est le plus connu. Il s'agit de déployer à l'utilisateur un produit fini, tel que le CRM de SalesForce ou les services de Microsoft Online. Au niveau inférieur, nous retrouvons le PaaS (Platform as a Service) ciblant principalement les éditeurs souhaitant déployer leurs applications auprès d'un public spécifique ou non. Dans cette catégorie, nous retrouvons alors les offres de Windows Azure, Google App Engine ou Force.com. Enfin le IaaS (Infrastructure as a Service) tel qu'EC2, offre des solutions de location de stockage ou de machines virtuelles.



Outre les différences liées à ces trois modèles, la sécurité de l'infrastructure dépendra également de la manière dont celle-ci est déployée : publique, privée (par exemple au sein d'une entreprise et relié à l'intranet) ou pour un groupe d'entités (Community Cloud), par exemple pour un gouvernement, un état ou une société et ses partenaires extérieurs. L'on peut également trouver des réseaux hybrides mélangeant différents types de déploiement.

Puisque le cloud computing implique forcément la présence d'un tiers, la responsabilité est nécessairement partagée. M. Ourghanlian ajoute ainsi que plusieurs questions peuvent être soulevées concernant le certificat de sécurité du fournisseur de service, la responsabilité de l'administrateur de l'entreprise cliente ou encore les lois locales relatives à l'hébergement des données. Dans le cas du SaaS, la sécurité est essentiellement assurée par le fournisseur qui devra également respecter les accords de confidentialité des données. L'éditeur ayant déployé une application sur un PaaS est pour sa part responsable de cette dernière (et éventuellement des bases de données associées). Enfin une société choisissant de louer les services d'une IaaS devra assurer la sécurité de son application mais aussi des serveurs, des correctifs ou encore du système d'exploitation.

Finalement, si la programmation sur nuages de serveurs facilite et réduit les coûts du déploiement de l'infrastructure, les dispositifs liés à la sécurité s'en retrouvent plus complexes. C'est la raison pour laquelle le mois dernier Microsoft a demandé à la Commission Européenne de clarifier les lois en vigueur notamment en ce qui concerne les dispositifs de rétention et de protection de données.