Stocker ses données d'entreprises dans le Cloud, c'est pratique, mais est-ce aussi anecdotique d'un point de vue sécurité ?
Lorsque l'entreprise décide de stocker ses données sur des serveurs Cloud prend-elle la mesure des menaces qui pèsent alors sur elle et sur ses données : risques de pertes de données à cause des serveurs, possibilité pour des tiers d'accéder aux données, perte de gouvernance des données, problème de souveraineté.
La première mesure de sécurité à laquelle on pense pour protéger ses données dans le Cloud est d’assurer un service de sauvegarde. Il s'agit certainement d'une nécessité, mais elle ne résout pas tout. On ne craint pas uniquement la perte des informations quand on parle de problèmes de protection des données dans le Cloud mais également du risque que des personnes qui ne devraient pas pouvoir lire ces données y accèdent.
Dans les faits, en choisissant un service de Cloud, vous ne savez pas réellement où sont stockées vos données et surtout vous ne savez pas qui peut avoir accès à celles-ci. De nombreux services de Cloud indiquent en effet dans leurs conditions générales qu'ils ont le droit d'accéder à vos données à des fins de maintenance, bien sûr, mais aussi pour leur usage propre, ce qui est beaucoup moins acceptable.
Comment se protéger ?
Deux solutions s’offrent alors à vous. La première : ne pas mettre toutes les données de l’entreprise dans le Cloud. Cela implique de les classifier, c’est-à-dire de choisir celles qu’il faut protéger ou pas. Quels fichiers dans une entreprise ne sont pas assez confidentiels pour ne pas être protégés ? Les brevets ? Les comptes fiscaux ? Et que penser des données personnelles des salariés ?
La seconde possibilité consiste à protéger les fichiers avant leur envoi sur le serveur dans le Cloud. Cela ne peut clairement s'envisager que si le tiers peut continuer à travailler, à effectuer les maintenances nécessaires sans avoir besoin d'enlever la protection mise par l'entreprise.
L’objectif est donc de pouvoir profiter des avantages du Cloud en conservant la gouvernance de ses propres données. L’entreprise doit être la seule à pouvoir accéder au contenu des fichiers stockés dans le nuage. Cela passe par un chiffrement mais pas n’importe lequel et surtout pas n’importe comment.
Tout d’abord, il ne faut pas utiliser une solution de chiffrement non validée, ou qui potentiellement pourrait posséder des Back-doors (voir article qui dit le FBI souhaite l’installation d’une Back-door légale sur les principaux logiciels et sites web américains afin de pouvoir plus facilement accéder aux données).
Méfiez-vous aussi des solutions gratuites : comment vivent les sociétés qui mettent gratuitement ces logiciels à disposition ? Elles développent des logiciels et les donnent sans contrepartie ? Et si elles avaient accès à vos données et les revendaient ? Les exploitaient ?
Ensuite, il faut que cette solution de cryptage respecte l'État de l'Art en matière de gestion des clés.
Si vous chiffrez vos données et que la clé est stockée dans le Cloud, que le « Cloudeur » a accès à vos clés de chiffrement, vous n’êtes plus protégé contre ces Tiers qui ont potentiellement accès à vos données. Le chiffrement doit se faire sur votre système avec la clé conservée en interne. Les données ainsi chiffrées sont envoyées par le réseau sur les serveurs distants et elles doivent demeurer chiffrées dès qu’elles sortent de votre périmètre.
Nous pourrions aussi évoquer le problème du Patriot Act qui permet au gouvernement américain et à ses instances d’avoir accès à n’importe quelle donnée stockée sur un serveur hébergé sur le sol américain. Si le « Cloudeur » en question possède les clés de chiffrement, il sera dans l’obligation de fournir les données en clair.
Si vous êtes maître de votre chiffrement et que vous envoyez dans le nuage des données chiffrées, le « Cloudeur » quel qu’il soit ne pourra fournir que les données qu’il a, sans que celles-ci soient nécessairement intelligibles, du moins pas sans un travail beaucoup plus complexe.
Pour profiter des avantages du Cloud, il faut prévoir de mettre en place des solutions de sécurités adaptées et qui permettent de conserver la gouvernance des données et d’être certain qu’elles restent confidentielles. Cela passe par la mise en place d'un logiciel de chiffrement des données, renchérit Xavier Dreux, responsable marketing Prim.xTechnologies..
|