L'agence européenne de la sécurité relève 35 risques liés au cloud

Fuite de données sensibles, perte de contrôle, manque de portabilité, dépendance d'un petit nombre de fournisseurs..., les risques liés au nuage informatique doivent être analysés et pesés avec prudence.

Philippe Richard

01net.

le 24/11/09 à 12h50

laisser un avis

Le cloud computing, c'est pratique, mais il faut faire attention. Côté face, il y a des ressources informatiques flexibles et disponibles sans limites géographiques, une absence de gestion des mises à jour, etc. Côté pile, il y a des risques de vol de données et de dépendance vis-à-vis d'un prestataire. Telle est la conclusion d'un rapport de 123 pages publié par l'Enisa (European Network and Information Security Agency), l'agence européenne chargée de la sécurité des réseaux et de l'information.

Intitulé Cloud computing : avantages, risques et recommandations pour la sécurité de l'information, ce document ne repose pas sur des études techniques ayant évalué les forces et faiblesses de ce genre d'infrastructure, mais sur l'avis d'une dizaine d'experts issus de Microsoft, Kaspersky, Symantec, Google, etc. Malgré ce comité, qui ne semble pas très indépendant à première vue, « ce rapport est très clair et met noir sur blanc une appréciation des risques génériques en utilisant la méthode ISO 27005 », précise Hervé Schauer, du cabinet HSC. Publiée en juin 2008, ISO 27005 est la première norme internationale de gestion de risques en sécurité de l'information.

Au total, le rapport pointe 35 risques plus ou moins élevés. « Ce qui préoccupe le plus les entreprises interrogées est de savoir comment être sûr de la fiabilité de ce service et comment faire confiance au fournisseur de services informatiques via Internet en lui confiant leurs données, voire, dans certains cas, la totalité de leur infrastructure ?», constate Giles Hogben, expert à l'Enisa et éditeur de ce rapport. La principale menace concerne les données, qu'il s'agisse des informations confidentielles (ou sensibles) ou de l'image de l'entreprise. Les différentes failles (liées aux systèmes d'exploitation, aux procédures de sécurité inadaptées, à l'absence de chiffrement…) relevées par les experts pourraient entraîner des fuites de données ou des infiltrations dans les réseaux des entreprises clientes et des opérateurs de ces services délocalisés.

Une migration difficile

Par ailleurs, l'Enisa met en avant deux autres écueils majeurs du cloud computing. Il y a tout d'abord la « perte de la gouvernance », c'est-à-dire la dépendance vis-à-vis de l'infrastructure en nuage. Les entreprises n'ont plus le contrôle total de la gestion des données et des différentes applications en ligne. Autre problème : des clients trop liés à un type d'infrastructure. Peu de solutions autorisent, en effet, la portabilité des services. Résultat : migrer d'un fournisseur à un autre s'avère délicat et, du coup, toutes les données sont gérées par un ou plusieurs prestataires. Un regroupement qui va à l'encontre de la règle d'or qui prône la séparation des ressources pour limiter les effets d'une attaque.

Face à ces différents risques, l'agence européenne recommande aux entreprises d'obtenir le maximum d'informations sur l'architecture de l'infrastructure, ainsi que la protection et la portabilité des données. Toute une série de préconisations qui seront certainement débattues lors de la manifestation World Summit of Cloud Computing, organisée les 2 et 3 décembre prochain à Tel-Aviv. « Cette publication est exactement le document de référence qui va aider les entreprises à avoir une bien meilleure vision des risques qu'elles prennent en sous-traitant un peu trop facilement, un peu trop aveuglément », estime Hervé Schauer.