Le cloud ou l’illusion de la sécurité ultime
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
Récemment je lisais dans la presse spécialisée une interview d’un expert qui prétendait qu’« On peut sécuriser le cloud à 100 %. Par contre, si vous utilisez 1, 2, 3, 4, 5, 6, 7, 8 comme mot de passe, même Jeff Bezos ne pourra pas vous protéger d’une attaque ». C’est à la fois incomplet et hors sujet. Explications.
Revenons aux bases de ce qu’est le cloud et ce qu’il n’est pas. Le cloud est un moyen technique et non pas une fin. C’est un moyen au même titre que le choix d’un OS, d’une marque de cosmétique ou de la couleur de votre prochaine voiture, ce moyen est une réponse à un besoin (une fin), et ce n’est certainement pas l’inverse. On fait du Cloud parce que cela répond à un besoin – ou est supposé y répondre – et pas pour les beaux yeux de Jeff Bezos, jusqu’à preuve du contraire.
Ensuite si le cloud n’est jamais que « l’ordinateur de quelqu’un d’autre » pour reprendre l’expression consacrée, le passage au cloud (et donc la réponse à un besoin qui nécessite le passage au cloud) doit balayer au moins 6 items :
- les aspects stratégiques : la direction générale peut décider que le passage de l’IT dans le cloud est aligné avec la stratégie générale de l’entreprise ou pas ;
- les aspects RH : passer l’IT dans le cloud modifie radicalement la typologie des profils internes nécessaires ;
- le volet opérationnel : passer effectivement tout ou partie de son IT dans le cloud est un projet à part entière ;
- le volet financier : le recours au cloud modifie la structure financière de l’IT, qui passe du CAPEX à l’OPEX ;
- les aspects juridiques et contractuels : l’encadrement contractuel est un sujet très complexe ;
- l’intégration au reste du SI : on n’est jamais 100 % cloud, va donc se poser la question des interopérabilités à la fois sur les couches techniques et sur les couches métier ;
- et, dernier point mais non le moindre, le volet sécurité SI (SSI), et c’est bien ce dernier aspect qui nous intéresse ici.
La plupart des amateurs du cloud vous expliquent à longueur de conférences ou de plaquettes commerciales que c’est moins cher et plus sécurisé. Faux et faux, c’est juste différent.
La SSI distingue trois classes de risques : les risques de disponibilité (D), les risques d’intégrité (I) et ceux de confidentialité (C). La plupart du temps, les médias et consultants focalisent sur le risque d’intrusion (qui émargent au I et au C), oubliant singulièrement qu’entre le prestataire cloud et vous existe une chose toute bête qu’on appelle une liaison réseau Internet.
Je mets d’ailleurs quiconque au défi de me garantir qu’entre le cloud et vous, même si vous avez doublé l’opérateur telco, il n’y a pas à un endroit du chemin de câbles un local technique commun. Je ne vais pas refaire toute la démonstration (que le lecteur curieux trouvera dans « Stratégies du système d’information : vers l’hôpital numérique » aux Presses de l’EHESP), mais en gros le cloud ne réduit pas les risques, il déplace juste la matrice des risques.
Certains risques sont réduits, par exemple le risque de pertes de compétences internes quand on est un « tout petit » client avec une « toute petite » DSI. Certains ne varient pas (un bug logiciel avec caviardage de base pour un progiciel hébergé). D’autres augmentent (la perte de connexion réseau, le risque de grève avec blocage – si vous êtes dans la fonction publique aucun problème car vous assignez les personnels etc.). Bref, tout comme la structure de coûts change, la matrice des risques change, rien de nouveau sous le soleil depuis les débuts de l’Humanité à chaque nouvelle technologie.
Mais le plus important est l’idée selon laquelle on pourrait « sécuriser le cloud à 100% ». Il n’est même plus besoin d’expliquer que le risque zéro n’existe nulle part, je ne vais même pas me lancer dans les fondements théoriques de l’explication. Non, on ne peut pas : même avec du 3FA, ce n’est qu’une question de temps, de moyens et de motivation pour obtenir les identifiants du super admin « +++ ».
D’ailleurs, détail piquant, certains assureurs rechignent à assurer des gros hébergeurs cloud. Et ce au motif que « mettre tous les œufs dans le même panier », même si le panier est rempli de platine massif, est une ineptie au sens où certes la probabilité d’attaque diminue, mais que le panier en question constitue de facto une cible alléchante et donc que l’impact augmente. Plusieurs « affaires » ont eu lieu, notamment un gros hébergeur en Suisse ces derniers mois, qui démontrent que le bon sens paysan des œufs et du panier est toujours en cours.
Dit autrement, non on ne peut pas sécuriser le cloud à 100 %, non cela ne réduit pas les risques (cela les déplace et rien de plus). Si les risques qui disparaissent (pour vous) étaient plus importants que ceux qui apparaissent, banco. Sinon vous feriez mieux de vous reposer les questions de base. Je doute que mettre des données ultra sensibles chez un hébergeur GAFAM (soumis au Cloud Act) réduise le risque de souveraineté, si vous voyez ce que je veux dire.
Bref, et j’aurais dû commencer par-là : avant de confier tous vos lingots d’or à la même banque, faites ou refaites votre analyse des risques. Le résultat pourra vous faire changer d’avis. La base, en somme.