lundi, 10 juin 2013 07:33

Prism et l'affaire NSA : un frein à l’adoption du Cloud ?

Écrit par
Évaluer cet élément
(0 Votes)

La récente fuite informant de la possibilité supposée de la NSA d’accéder aux données hébergées par les grands acteurs du Cloud sape le travail des évangélistes du Cloud, qui peinent à convaincre que les données de l’entreprise peuvent être aussi sûres sur le Cloud que dans l’infrastructure privée de l’entreprise.

 

Le cœur de l’affaire

big-brother

Edward Snowden, ancien employé d’un sous-traitant de la NSA récemment réfugié à Hong Kong, vient de révéler les possibilités de la NSA d’analyser des quantités phénoménales de données collectées depuis des ordinateurs et des téléphones, de les "taguer" et regrouper par pays d’origine, grâce à un logiciel du nom de Prism. Bien que la NSA se défende de collecter des informations sur les millions de citoyens américains, l’agence de sécurité nationale américaine a le mandat, dans le cadre de ses prérogatives liées au Patriot Act, de détecter toute activité pouvant menacer la sécurité nationale. Le Patriot Act lui donne le droit de collecter ces données sur des serveurs hébergés par des sociétés américaines dans le cadre d’une procédure légale, c’est-à-dire suite à un mandat donné par la justice.

Dans le cadre l’annonce faite par Snowden sur la capacité présumée de la NSA à collecter et taguer des milliards de données dans un data mining à l’échelle planétaire, le mandat du Patriot Act est vraisemblablement outrepassé. Ainsi, toujours selon Snowden, la NSA aurait accès aux données des serveurs des grands du web, dont Google, Microsoft et Facebook entre autres. Apple serait aussi concerné. Néanmoins, Google et Facebook ont d’ores et déjà publié des démentis sur le fait qu’il existe des portes d’accès cachées pour le gouvernement américain. Alors… qui croire ?

 

Vérité ou mensonge : dans les deux cas, le Cloud sort perdant
Il ne nous est pas donné de croire ou non les allégations de Snowden, qui sera très probablement poursuivi par la justice américaine. Néanmoins, nous ne pouvons que constater les dégâts que ce type d’annonce peut faire sur le marché du Cloud, dans lequel la crainte principale des entreprises est le risque lié à la protection de leurs données. Des affaires semblables ont déjà vu le jour il y a quelques années, avec l’annonce du présumé réseau Echelon qui permettait d’espionner les données transitant sur le réseau mondial. Des annonces de ce type sont donc de nature à augmenter la défiance des entreprises françaises à migrer vers le Cloud, qui est pourtant un marché prometteur… pour le moment sur le papier en France.

Déployer des serveurs chez des acteurs du Cloud public tels qu’Amazon, Google ou Microsoft, c’est potentiellement s’exposer à ce risque présumé que des données puissent être lues par des agences gouvernementales, dont notamment celle de la grande puissance américaine. On peut comprendre dès lors la tendance actuelle des entreprises françaises à considérer principalemet des solutions de type "Cloud privé", ce qui les prive toutefois de l’élasticité permettant l’allocation dynamiques de ressources supplémentaires en période de pics d’activité, et donc une consommation au plus juste de leurs ressources informatiques.

Le lancement des deux entreprises du Cloud souverain français, Numergy et CloudWatt (voir notre blog note sur ce sujet) était déjà une réponse du gouvernement français aux risques de fuites de données liées à la capacité d’accéder aux données du Cloud dans le cadre du Patriot Act. Mais si les faits reportés par Snowden étaient avérés, des applications telles que Google Apps ou Office 365 seraient potentiellement sous la menace d’une collecte – et donc d’une fuite – des données qu’elles hébergent. Ces applications étant toutes deux américaines, la menace qui pèserait sur les données vitales de l’entreprise telles que ses clients, sa situation financière ou sa propriété intellectuelle serait trop grande pour les entreprises qui hésiteraient dès lors à tirer parti de la puissance du Cloud pour protéger leurs données.

 

Un faux débat ?
Aujourd’hui, personne n’a le moyen d’apporter la preuve de la sécurité absolue des données de l’entreprise qui choisirait d’adopter le Cloud. De même que personne n’a les moyens de les rassurer sur l’étanchéité de leurs connexions réseau inter-sites, de leur accès à internet, ou simplement de la sécurité de leurs postes de travail (nous rappelons qu’une simple clé USB est suffisante pour une fuite de données). Notre analyse est que le Cloud est indéniablement une source supplémentaire de fuite d’informations, mais la sécurité de l’information était déjà menacée dans un monde sans Cloud. C’est le dilemme du bas de laine : est-ce plus sûr pour l’épargnant de garder son argent sous son matelas, ou de le placer à la banque ?

Dans tous les cas, le travail des acteurs de la filière Cloud devra être renforcé pour donner davantage de garanties aux entreprises sur la protection de leurs données sensibles. Cela devient chaque jour davantage un préalable à une adoption en masse des technologies du Cloud.

 

Liens :

NSA whistleblower Edward Snowden: 'I do not expect to see home again'
https://www.guardian.co.uk/world/2013/jun/09/nsa-whistleblower-edward-snowden-why

The NSA files
https://www.guardian.co.uk/world/the-nsa-files

Larry Page: US government has no access to information on Google servers
https://m.cio.com/article/734640/Larry_Page_US_government_has_no_access_to_information_on_Google_servers

 

Lu 14786 fois
Arnaud Bonneville

Arnaud Bonneville est Directeur Associé d'Alterest. Interim Manager et Programme Manager, il mène des missions de direction de projets et de programmes en France et à l'international depuis plus de 15 ans.