Stocker ses données dans le Cloud a de nombreux avantages mais comporte aussi certains risques : pertes de données à cause des serveurs, possibilité pour des tiers d’accéder aux données, perte de gouvernance des données, problème de souveraineté, piratage. Le point avec Xavier Dreux, responsable marketing Prim’X Technologies.
L’actualité récente des fuites de données hébergée dans le Cloud, comme dans le cas de la Grande Loge de France ou du vol des données des électeurs mexicains, montre que sauvegarder ses données dans le Cloud ne va pas sans risque. Le vol, tout comme la perte, de données stockées sur un service Cloud peut avoir des conséquences désastreuses pour une entreprise en impactant son activité et son image. On a beau dresser des remparts matériels ou logiciels et y ajouter de nombreux contrôles, la protection de la donnée elle-même est rarement considérée comme une priorité. Et ce en dépit du fait que la sécurité du Cloud soit la première préoccupation des décideurs IT (76 %) selon la dernière étude de BT et que la moitié des sondés (49 %) reconnaissent être « très inquiets ou extrêmement inquiets » des implications de sécurité de ces services – une hausse de 10 % par rapport à la précédente enquête réalisée en 2012.
Dans les faits, en choisissant un service de Cloud, une entreprise ne sait pas pas réellement où sont stockées ses données et surtout elle ne sait pas qui peut avoir accès à celles-ci. De nombreux services de Cloud indiquent en effet dans leurs conditions générales qu’ils ont le droit d’accéder aux données stockées à des fins de maintenance réalisées en interne (acceptable) ou par un tiers inconnu de l’entreprise cliente. Il est aussi parfois stipulé que le fournisseur du service peut accéder aux données du client pour son usage propre, ce qui n’est pas admissible.
Deux solutions pour protéger ses données
La première des choses à retenir lorsque l’on souhaite protéger ses données c’est que si vous pensez que ces dernières sont importantes, c’est à vous qu’incombe la responsabilité d’en assurer la sécurisation. Deux options s’offrent alors à vous.
La première : ne pas mettre toutes les données de l’entreprise dans le Cloud. Cela implique de les classifier, c’est-à-dire de choisir celles qu’il faut protéger ou pas. Quels fichiers dans une entreprise ne sont pas assez confidentiels pour ne pas être protégés ? Les brevets ? Les comptes fiscaux ? La base de clients ? Et que penser des données personnelles des salariés ?
La seconde possibilité consiste à protéger les fichiers avant leur envoi sur le serveur dans le Cloud. Cela ne peut clairement s’envisager que si le Tiers peut continuer à travailler, à effectuer les maintenances nécessaires sans avoir besoin d’enlever la protection mise par l’entreprise.
Chiffrer pour profiter du Cloud et conserver la gouvernance de ses données
Afin de pouvoir profiter des avantages du Cloud en conservant la gouvernance de ses propres données l’entreprise doit être la seule à pouvoir accéder au contenu des fichiers stockés dans le nuage. Cela passe par un chiffrement mais pas n’importe lequel et surtout pas n’importe comment.
Tout d’abord, il ne faut pas utiliser une solution de chiffrement non validée, ou qui potentiellement pourrait posséder des backdoors. Méfiez-vous aussi des solutions gratuites : comment vivent les sociétés qui mettent gratuitement ces logiciels à disposition ? Elles développent des logiciels et les donnent sans contrepartie ? Et si elles avaient accès à vos données et les revendaient ? Les exploitaient ? De fait, mieux vaut choisir sa solution de chiffrement avec soin et éviter les solutions de chiffrement non validées ou gratuites. Idéalement il sera plus sûr de porter son choix vers une solution certifiée par des organismes reconnus tel que l’ANSSI.
Ensuite, il faut que cette solution de cryptage respecte l’Etat de l’Art en matière de gestion des clés. Si vous chiffrez vos données et que la clé est stockée dans le Cloud, que le « Cloudeur » a accès à vos clés de chiffrement, vous n’êtes plus protégé contre ces Tiers qui ont potentiellement accès à vos données. Le chiffrement doit se faire sur votre système avec la clé conservée en interne. Les données ainsi chiffrées sont envoyées par le réseau sur les serveurs distants et elles doivent demeurer chiffrées dès qu’elles sortent de votre périmètre.
Il faut que la solution retenue garantisse à l’entreprise, et uniquement à l’entreprise, la totale responsabilité en ce qui concerne la gestion des clés. Le chiffrement doit se faire sur votre système avec la clé conservée en interne. Si vous décidez d’opter pour le chiffrement et que vous restez maître de vos clés, alors la sécurité de vos données sera pleinement garantie.
Si vous êtes maître de votre chiffrement et que vous envoyez dans le nuage des données chiffrées, le « Cloudeur » quel qu’il soit ne pourra fournir que les données qu’il a, c’est à dire des données chiffrées et donc inintelligibles.
Pour profiter des avantages du Cloud, il faut prévoir de mettre en place des solutions de sécurités adaptées et qui permette de conserver la gouvernance des données et d’être certain qu’elles restent confidentielles. Cela passe par la mise en place d’un logiciel de chiffrement des données.