À quel point le « cloud » est sécuritaire?

Il existe une perception plutôt « persistante » qui, heureusement, évolue et tend à s’estomper, voulant que le nuage (cloud) soit une atteinte à la sécurité des données.

Mais, à quoi comparons-nous la sécurité des données dans le nuage? Les clients le comparent souvent à leur propre infrastructure. Je leur demande alors ce qu’ils ont comme mesures de sécurité. Car pour le nuage, les mesures de sécurité des centres de données (data center) où les données sont hébergées – sans être du domaine militaire – sont supérieures à ce que l’on retrouve dans les compagnies. Voilà pourquoi, pour 80% des entreprises, cela ne devrait pas être perçu comme un enjeu. De plus, les centres de données sont géographiquement très restreints, à la fine pointe des technologies au niveau des protections antivirus, des mises à jour des sécurités, etc.

Les 2 plus grands risques liés à la présence des données dans le nuage sont, premièrement, la quantité de données qui se retrouvent dans les centres de données et qui en font une cible de choix, prisée par les pirates informatiques. Le 2e plus grand risque ne relève pas du nuage lui-même, mais des utilisateurs dont la qualité des mots de passe sécurisant l’accès à leurs données, est déficiente. Dans le nuage, compte tenu que les données sont accessibles de partout, cela requiert essentiellement une discipline stricte de la part des usagers dans la gestion des mots de passe.

La perception de risque vient aussi, dans le cas des organisations comme par exemple les ordres professionnels, habitués d’héberger leurs données sensibles chez eux depuis des années, peuvent avoir des craintes de les retrouver à l’extérieur, dans le nuage, puisqu’ils ne savent pas où cela se trouve.

N’avons-nous pas eu les mêmes craintes lorsque le commerce électronique a fait son apparition? Peut-on comparer la qualité des procédures de sécurité du nuage versus ce que l’on hébergerait à l’interne, à cet autre exemple où les gens avaient peur d’acheter sur Internet craignant que leurs cartes de crédit ne soient piratées, alors que ce soit en fait plus fréquent lors de leur utilisation en magasin.

La sécurité d’accès aux données dans une entreprise n’est pas toujours parfaite. L’accès physique aux locaux demeure la plus grande faille dans l’accès aux données, alors que cela est très restreint dans les centres de données, et hyperprotégé.

Il s’agit donc d’une perception réelle, mais erronée. Le risque demeure plus grand pour les données hébergées à l’interne (privé) que dans le nuage.

Quels sont les éléments que l’on doit mettre en place dans une infrastructure de nuage pour assurer la grande sécurité des données ?

En termes de sécurité – à l’interne comme dans le nuage – il y a toujours possibilités de failles, mais il y a un minimum requis pour assurer la sécurité et l’intégrité des données, et surtout pour sécuriser le lieu où sont hébergées les données.

Volet 1 – Niveau des données

Là où l’on héberge les données, l’accès devrait être sécurisé et la gestion des mots de passe efficace.

Volet 2 – Infrastructure

Pour des raisons de coûts, les serveurs sont mutualisés, signifiant que les données d’un client peuvent se retrouver sur le même serveur qu’un autre client. Il est donc impératif de suivre des normes en matière d’architecture informatique afin de mettre les sécurités nécessaires pour que chacun ne puisse accéder les données de l’autre.

Bien qu’à l’interne on ne vivrait pas ce risque, il faut être conscient que nous sommes par contre restreints au niveau budgétaire, car cela représente des coûts additionnels pour la gestion et l’entretien des serveurs.

Volet 3 – Localisation ou emplacement des données

De nos jours, il y a des centres de données, hébergeurs de serveurs, formant les infrastructures du nuage, un peu partout. L’accès à ces centres sont de plus en plus sécurisés (cartes d’accès, empreintes digitales, etc.). Et ces sites sont souvent établis en relève, par exemple à Montréal, à Toronto, aux États-Unis… alors s’il arrive un problème à l’un d’eux, comme un incendie ou autre, on peut commuter à un autre centre pour assurer l’accès aux données.

Volet 4 – Juridique

Selon le pays où l’on se trouve, il existe des clauses de confidentialité, d’accès aux données, qui sont mises en place. La sécurité étant importante et très surveillée.

Finalement, si vous vous demandez si nous ne risquons pas un manque d’espace potentiel avec l’explosion des données et des mégadonnées (big data) d’aujourd’hui, et bien sachez que le nuage est quasi infini, on peut ajouter sans cesse des infrastructures et du stockage. Sans négliger le fait que cela demeure une option très écologique par rapport à la distribution de salles d’équipements dans chaque entreprise, cela représente une économie d’échelle importante et une économie d’énergie appréciable!…

Laisser un commentaire