Les mythes du cloud – 2. Sûr ? Toujours disponible ?

Article
Par · 17/06/2013

#  Le cloud, c’est sûr

Certes un prestataire cloud, surtout s’il a quelque envergure, a davantage de ressources à allouer à son infrastructure (mises à jour, évolution technologique, redondance système, sécurité…) qu’une petite PME. Mais de là à croire que tout est nickel et nirvana…

L’une des premières erreurs que commettent les utilisateurs est de confondre “sécurité” et “disponibilité”, souligne Gregorio Matias.

Ce que promettent les fournisseurs et prestataires cloud, c’est une disponibilité système allant jusqu’à un certain pourcentage. Ce dernier peut varier selon les types de contrat. Il est par ailleurs utile de vérifier sur quoi portent les promesses de disponibilité: infrastructure globale, serveur spécifique, données, applications…

Qui plus est, la garantie de disponibilité ne couvre évidemment pas les connexions. Si votre connexion Internet (fixe ou mobile) se plante, votre prestataire n’en sera pas responsable (sauf s’il s’agit d’un opérateur télécom).

Une promesse de disponibilité à 99,99% ou – pour les meilleurs – à 99,999% peut paraître magnifique mais elle suppose malgré tout quelques heures ou jours d’indisponibilité des ressources hébergées. A vérifier ici si l’on parle d’indisponibilité planifiée ou due à des incidents.

Dans certains cas, une rupture de service “inopinée” peut avoir des conséquences non négligeables, même – ou parfois surtout – pour une PME.

Il faut donc dès le départ être conscient de ce risque, contre lequel il ne sera pas possible de se couvrir, et décider ou non de l’accepter, en faisant une petite équation Avantage cloud vs Risque.

Un petit exemple de problème apparemment anodin (c’est déjà arrivé): des mailbox indisponibles pendant plusieurs jours ou les messages qu’elles contiennent carrément disparus.

Si tout le répertoire clients est confié à une application mail ou CRM hébergée dans le cloud, sans sauvegarde en un autre lieu (sur site, par exemple), cela peut tourner à la catastrophe (contrats perdus, clients insatisfaits…). Et il faut bien se rendre compte que divers prestataires de mail in the cloud (Google, par exemple) ne permettent pas de procéder à des sauvegardes…

D’une manière générale, des services cloud low cost sont minimalistes dans les fonctions et garanties proposées. Voir à cet égard notre article “Et mes droits dans tout ça?”.

“Certains outils sont plus sécurisés que d’autres”, souligne Philippe Laurent, avocat spécialisé en droit commercial et informatique et chercheur au CRIDS. Exemple Dropbox. C’est une solution qui permet de stocker n’importe quel document dans le cloud. Mais mieux vaut lire attentivement les conditions générales… “Il faut savoir que si l’on y stocke des documents de valeur et si quelque chose tourne mal, il faudra aller en Californie pour les attaquer en justice et leur responsabilité agrégée est de… 20 dollars. Il faut être conscient de toutes ces conditions et caractéristiques avant d’adopter un produit. On peut utiliser Dropbox comme outil de back-up ou outil d’échange mais sans aucune garantie à la clé.”

Assurer ses arrières

Gregorio Matias (MCG): “Avec Internet et le cloud, les gens oublient vite les fondamentaux.”

Et qu’arrive-t-il, par ailleurs, si la promesse n’est pas tenue, si l’indisponibilité est plus longue (ou fréquente) que prévu?

Quel recours avez-vous? Tout dépendra alors largement du type de contrat signé (ou accepté). Règle quasi universelle: moins vous payez cher un service ou une ressource cloud, moins l’engagement pris vis-à-vis de vous par le prestataire sera contraignant pour lui. Voir à cet égard notre article “Et mes droits dans tout ça?”.

Dans la mesure du possible, il faut s’assurer de pouvoir conserver l’accès à ses données et applications, même en cas de faillite ou de rachat du prestataire.

“Vérifiez toujours qui a la mainmise sur les accès login et les mots de passe”, conseille Frédéric Dinon, directeur adjoint de Technobel. “En cas de rédaction d’un cahier de charges, n’oubliez pas d’ajouter 3 ou 4 lignes qui vous couvriront à cet égard. Histoire de ne pas vous retrouvez bloqué si le prestataire coupe les communications…”

Sécurité

En matière de sécurité pure, il y a de fortes chances pour que les dispositions prises par le prestataire pour protéger son infrastructure et ses services soient de haut niveau. Il a sans doute prévu toute la panoplie nécessaire et veille à sa mise à jour. Mais une garantie d’inviolabilité totale n’est pas pour autant au rendez-vous. Les prestataires sont en effet des cibles tentantes pour les hackers et pirates de tous poils: grosse visibilité garantie en cas de vol de données, irruption dans les systèmes, déni d’accès….

Une fois encore, si une société contracte un niveau de service élevé (serveur dédié par exemple), elle sera mieux lotie qu’un client qui partage infrastructure, applications et espace de stockage avec des dizaines, voire centaines ou milliers d’autres clients. Un plantage ou une attaque (réussie) contre l’un quelconque de ces autres clients impactera les ressources de la société. “Le principe premier du cloud”, rappelle Gregorio Matias, “est de partager l’infrastructure et d’octroyer l’accès à tous et à tout, de partout, via Internet. Avec tout ce que cela implique…”.

Friand de comparaisons, il ajoute: “c’est comme de garer sa voiture en plein Bruxelles et de prendre sa clé avec soi mais ne de ne pas la fermer à clé. En se disant…: personne n’a la clé donc on ne peut pas prendre ma voiture.” Comparaison qui n’est pas forcément raison. Quoique… “Avec Internet et le cloud, les gens oublient vite les fondamentaux. Pour accéder à mes données, il suffit d’un nom d’utilisateur et d’un mot de passe.” Et la planète entière (et non plus seulement les collègues ou le fiston) peut le faire…

Damien Hubaux (CETIC): “Les utilisateurs qui ne feront pas attention vont évidemment faire face à des risques importants, mais ce sont les mêmes utilisateurs qui courraient le risque de perdre leur données locales faute d’un back-up, par exemple”.

Au-delà de la sécurité “physique”, qu’en est-il de la sécurité juridique des données? La remarque ne touche certes que certains secteurs d’activités (le pharmaceutique, le bancaire, le médical, le juridique…) mais mieux vaut y penser. L’une des choses à demander à son prestataire avant de signer quoi que ce soit est d’indiquer dans quel pays les données seront stockées. Requête moins simple qu’il n’y paraît. Avec le cloud et la gestion flexible, planétaire, des réseaux de datacenters, les données et traitements se baladent parfois aux quatre coins de la planète en fonction des charges serveurs (si un serveur en Inde ou en Chine est libre, il sera sollicité pour délester une saturation en Allemagne ou USA).

Les choix de destinations dépendent parfois aussi… du climat ou du coût de l’énergie. S’il est moins coûteux de faire tourner, pour 12 heures, un datacenter situé dans une région froide que de maintenir le traitement à 100 kilomètres de chez nous, le prestataire ne se posera pas de questions. Sauf s’il s’est engagé par contrat à ne pas exporter les données ou traitements vers tel ou tel pays.

Pour les contrats minimalistes, un client n’obtiendra que très rarement une indication sur le lieu de stockage de ses données et moins encore de garantie qu’elles ne feront pas du tourisme sauvage.

Gare, dès lors, aux risques juridiques potentiels.

La seule façon, garantie, d’être sûr de l’endroit où sont les données est d’opter pour un cloud privé mais cela n’est pas forcément justifiable, en regard des besoins de la société cliente et des contraintes (financières notamment) que cela suppose.

Petit conseil pragmatique: vérifier, dans les clauses contractuelles, où est situé le siège social du prestataire cloud. Cela donne déjà une idée assez précise de l’emprise que ce dernier a sur vous en cas de problème !

Pire… Même si l’infrastructure est locale, vos données ne sont pas forcément à l’abri de regards indiscrets. Des données boulonnées à un serveur hébergé en Belgique peuvent très bien être accédées et exploitées “librement” par certaines autorités publiques étrangères. En toute “légalité”. Et ce n’est pas de la paranoïa, c’est de la pure réalité.

Les informations récentes concernant le projet de surveillance PRISM viennent simplement confirmer ce qu’on supputait ou savait déjà.

Depuis que les Etats-Unis ont voté et reconfirmé le “Patriot Act”, des données qui se trouvent stockées dans un datacenter ou une salle serveur d’un opérateur américain (Google, IBM, HP…) sont librement accessibles aux autorités américaines. Et comme l’Europe ne semble pas très empressée de risquer une confrontation avec l’Oncle Sam, cette situation risque de perdurer.

Pas concerné?

Pas concerné, vous n’êtes pas client de Google? Pas plus que d’IBM, HP, Microsoft ou consort? Votre prestataire est une société belge? Peut-être, mais ce prestataire utilise-t-il ses propres systèmes, en Belgique, ou utilise-t-il en fait des serveurs loués chez un de ces acteurs américains?

Et il n’y a pas que la NSA et consorts qui sont (potentiellement) curieux. Des regards indiscrets beaucoup plus systématiques, décomplexés et commerciaux existent, comme chacun sait, par exemple chez Google. La preuve en est ces offres publicitaires étonnamment ciblées qui surgissent sur votre écran quelques heures seulement après que vous ayez confié à une app Google un document qui parle d’un sujet x ou y. “De plus en plus, Google va exploiter la puissance de ses moteurs pour “contextualiser” les données, jusqu’au niveau sémantique [lisez: synonymes ou analogies, par exemple]. Cela ira sans doute jusqu’à vous conseiller tel chemin parce qu’il coïncide avec l’agenda et le lieu où se trouve tel ami…”, déclare Arnaud Ligot, de CBlue.

Tant que cela reste de l’offre spontanée de services et appels du pied commerciaux, pas trop de souci sans doute mais la porosité des espaces que l’on croit personnels a de quoi donner froid dans le dos quand on imagine d’autres usages et détournements.

#  Le cloud, c’est toujours disponible

La preuve en a été donnée à maintes reprises: même les ‘majors’ – Amazon, Yahoo et consorts – connaissent des “black outs” (certes temporaires), avouent des piratages, pertes données… Le risque zéro n’est donc décidément pas de ce monde. Et, comme on l’a vu, plus vous êtes bas dans la hiérarchie contractuelle, moins vous payez pour les services prestés, plus vous avez de risques de ne pas avoir de recours contre ces interruptions de services et dégâts causés à vos données.

Une règle de base: “il n’est pas possible de se reposer à 100% sur le cloud parce que cela signifie être dépendant de quelqu’un qui peut tomber en panne.” Dixit Arnaud Ligot, administrateur de CBlue.

Tout est une question de dosage de risques, de degré de risque que vous êtes prêts à courir. Plus l’impact négatif d’une rupture de service sera élevé, plus votre informatique et la restauration immédiate de vos données représentent des impératifs vitaux, plus vous avez intérêt à négocier des service level agreements robustes et… à ne pas mettre tous vos oeufs dans le cloud. Tout comme vous ne le feriez pas en misant sur un seul serveur et un seul disque en cas d’infrastructure intra muros.