Par Stéphane PARIS, membre d'IT Social, Responsable des solutions de communication numérique pour le groupe Air Liquide.
Tout d’abord, il semble important de rappeler la définition du terme anglophone « cloud », utilisé largement et parfois à tord pour toutes les notions nouvelles qui tournent autour d’Internet.
Le « cloud » ou « Cloud Computing » ou « informatique dans le nuage » en français est l’ensemble des moyens mis en œuvre pour utiliser la puissance de calcul et le stockage de données sur des serveurs distants à travers le réseau, Internet en particulier. Ce modèle est généralement basé sur la location à la demande de serveurs ou de tranches de serveurs selon les besoins. Le principal avantage est la souplesse d’utilisation mais aussi le coût pour l’utilisateur qui n’a plus besoin d’investir et qui paye à l’usage réel.
L'avènement du Cloud
L’informatique distante envahie petit à petit le monde de l’entreprise. Et fait prendre conscience aux DSI de tout l’intérêt de ne pas héberger soi-même ses données (disponibilité, archivage…) et de ne pas maintenir soi-même ses serveurs et applications (économie d’échelle, facilité de mise à jour et déploiement…).
Non seulement ces offres vous garantissent la pérennité de vos données, elles en facilitent l’accès quelque soit le terminal utilisé, mais elles leur permettent surtout de facturer aux clients un service à vie. Toutes les offres d’acteurs spécialisées dans le Cloud vont vous faire oublier votre disque dur et vos serveurs locaux !
En revanche, l'utilisation de plus en plus fréquente du Cloud Computing fait apparaître de nouveaux risques de sécurité, augmentant ainsi l'intérêt des cyber-criminels à trouver de nouvelles vulnérabilités, et exposant les utilisateurs à voir leurs données compromises.
Pour atténuer cette menace, les acteurs du cloud investissent massivement dans l'évaluation des risques informatiques afin de s'assurer que les données de leurs clients sont bien protégées.
L'impact de la localisation des données dans le cloud
Le principal frein d’utilisation du cloud dans l’entreprise est la crainte de ne plus savoir où se trouvent les données sur Internet. Auparavant, le DSI savait que les données étaient stockées sur un ou plusieurs serveurs situés dans le centre de données utilisé et géré par l’entreprise. En stockant ses données dans le cloud, le DSI doit faire confiance au fournisseur de services pour stocker les données dans des endroits sûrs et permettant d’y avoir accès à tout moment.
Seulement, le lieu de stockage des données est primordial d’un point de vue juridique et légal. Malheureusement, dans le cloud la notion de localisation des données est difficile à acquérir. En effet, un fournisseur de cloud dispose de plusieurs datacenters à travers le monde et dans des pays différents, pour assurer une redondance géographique. C'est pour cela qu'il est nécessaire que le client prenne connaissance de la localisation de ses données, car celles-ci peuvent être stockées dans des pays où les lois de confidentialité des données sont différentes, défavorables ou risquées à son égard. Dans le cas où des données violent la loi de l’État où elles résident, il y a un risque potentiel de saisie par le gouvernement ou la justice locale.
Concernant la confidentialité des données, le client doit connaître l'utilisation de ses données et pouvoir faire valoir ce droit de confidentialité devant la justice afin que le fournisseur justifie de l'utilisation des données.
La protection et la confidentialité des données dans le cloud
Il serait judicieux de protéger les données en les chiffrant avec un système uniquement connu par l’entreprise. Ce principe va malheureusement à l’encontre des lois obligeant les hébergeurs à pouvoir fournir les données “en clair” au gouvernement ou à la Justice du pays hébergeant les données.
Certaines informations ont une importance vitale pour l’entreprise et ne doivent pas être divulguées aux concurrents ou à d’autres personnes, sous peine de perdre l’avantage concurrentiel ou de mettre en péril l’entreprise vis-à-vis de son image de marque par exemple. C’est notamment le cas pour les informations liés aux rachats et aux acquisitions, aux brevets, aux études innovantes non encore annoncées et protégées, et aux secrets des entreprises.
Ces données, maintenant numérisées, se trouvent dans les documents numériques manipulés par plusieurs personnes dans l’entreprise. Pour gérer au mieux ces documents contenant des données confidentielles, et compte tenu des risques liés à l’usage des solutions dans le cloud, il devient nécessaire de traiter de manière particulière le cycle de vie de ces documents et leur stockage.
La première chose à définir est la classification des documents par niveaux de confidentialité. Une fois les documents classifiés, il faut définir quels documents nécessitent un stockage et une protection particulière pour limiter les risques. Cette classification va permettre de traiter la part très sensible des documents très confidentiels. Cette proportion de documents à protéger est généralement de l’ordre de 5% de l’ensemble des données stockées.
Devant les solutions de stockage des documents dans le Cloud comme Google Drive, Dropbox, OneDrive, iCloud, SugarSync, Mozy, Box, Carbonite, etc., dont les coûts sont intéressants par rapport à une infrastructure interne, seules certaines solutions intègrent un système de chiffrement des données et peu d’entre elles proposent une authentification forte avec un code SMS en plus de l’authentification.
Même si le chiffrement des données est intégré dans certaines offres du marché, le fournisseur de solution possède la clef pour déchiffrer vos données et peux y accéder sans que vous le sachiez.
Il est donc recommandé pour les entreprises françaises de privilégier des prestataire qui garantissent l’hébergement de leurs serveurs sur le territoire français, ce qui permet aux entreprises de dépendre uniquement de la loi française.
Des solutions de stockage et d’accès sécurisés aux données
Quelles sont alors les solutions pour protéger les données sensibles ? Suite à l’affaire Prism, les solutions de stockage et de gestion documentaire en ligne se transforment en coffre fort numérique.
Un acteur français nommé ooDrive, créé en 2000 avec l’idée de proposer un disque dur en ligne, décline sa plateforme vers des besoins de gestion sécurisée des documents. Dans ce cas, les fonctionnalités de partage et de collaboration sont présentes mais doivent être renforcées avec des mécanismes de sécurité (authentification forte, visualisation PDF avec marquage, protection contre l’impression, gestion des droits d’accès…).
D’autres solutions issues de besoins de stockage numérique à valeur probatoire ont vu le jour au début des année 2000 et se transforment également pour proposer des solutions de stockage de documents confidentiels. En France, l’OFSAD (Office Français pour la Sécurité et l'Archivage des Documents) a mis en place des offres de coffre-fort numérique à valeur probatoire depuis 2003 et s’agrémente de nouvelles fonctions d’accès depuis les mobiles et les tablettes.
L’AFNOR a d'ailleurs normalisé l’appellation “coffre fort numérique” en publiant en juin 2012 la norme NF Z42-020 dont le titre est : « Spécifications fonctionnelles d'un composant Coffre-Fort Numérique destiné à la conservation d'informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps ». Cette norme se limite à adresser la couche de stockage du coffre-fort numérique et ne traite pas des problématiques telles que l'authentification, la confidentialité, les métadonnées ou l'interfaçage avec les couches métiers. Ces solutions de stockage et collaboration sécurisés sont communément appelées Secure Virtual Data Room (sVDR).
La suite :
Dans la seconde partie de cet avis d'expert, nous évoquons les critères de choix d'une solution sVDR en mode Saas, sécurité de la plateforme de stockage, et dans la troisième partie, les fonctionnalités pour les utilisateurs et administrateurs, et le choix du fournisseur de service.
La seconde partie : « Protéger les données sensibles de l’entreprise dans le Cloud (part 2) choisir une solution sVDR en mode Saas, la sécurité »
La troisième partie et fin : « Protéger les données sensibles de l’entreprise dans le Cloud (part 3) Quelles fonctionnalités et avec quel fournisseur ? »
