Louis Naugès

Le cloud public n’est pas sécurisé ! Mes données ne sont pas protégées dans un cloud public ! AWS, Google, Microsoft Azure ne sont pas des fournisseurs sérieux, capables d’offrir la même sécurité que les acteurs historiques : IBM, HP, Cisco, Dell…

Cela fait dix ans que j’entends ces rengaines, transmises par des DSI, des dirigeants et des RSSI (Responsables de la Sécurité des SI).

L’un des thèmes dominants est celui de la protection de son « territoire », au sens physique du terme, comme le faisaient les châteaux forts du Moyen Âge, entourés de grandes murailles.

Cette démarche de protection périmétrique, qui était raisonnable au « Moyen Âge de l’informatique », n’a plus aucun sens aujourd’hui.

Voyons pourquoi.

Sécurité périmétrique entreprise

 Dans l’ancien monde informatique, les choses étaient simples : l’essentiel de l’activité se passait à l’intérieur de l’entreprise :

• Les serveurs étaient hébergés dans un centre de calcul appartenant à l’entreprise.
• Les postes de travail, des PC Windows, étaient reliés à un réseau Ethernet filaire, géré par les équipes internes.
• Les accès informatiques à l’extérieur de l’entreprise par les salariés n’étaient que rarement nécessaires, souvent bloqués.
• Un firewall, ou pare-feu était mis en œuvre, pour protéger les ressources et personnes présentes à l’intérieur de l’entreprise de toute attaque venant des « barbares » présents à l’extérieur.

Aujourd’hui, tout a changé !

• Les infrastructures sont gérées par des industriels du cloud public, AWS, Google ou Microsoft.
• De plus en plus d’applications SaaS, Software as a Service, sont utilisées, et elles sont toutes, par nature, hébergées à l’extérieur de l’entreprise.
• Les postes de travail sont variés, mobiles, smartphones, tablettes, PC portables ou Chromebooks, et reliés à des réseaux mobiles, 3G, 4G ou WiFi.
• Les collaborateurs ont besoin et exigent l’accès à leurs applications en tout lieu, à toute heure.

Dans ce nouveau monde, obliger les transferts de données à transiter par l’intérieur de l’entreprise pour ressortir ensuite vers le cloud n’a aucun sens.

Sécurité périmétrique pays

C’est plus récent, mais encore plus ridicule ! De trop nombreuses voix s’élèvent pour exiger une protection périmétrique autour de chaque pays. On pousse même l’absurdité jusqu’à exiger que les données d’un pays soient stockées dans ce pays !

C’est une approche suicidaire et qui n’a aucun sens. Il faut remonter à nos grands stratèges militaires qui avaient imaginé la « Ligne Maginot » pour trouver une démarche aussi inutile et inefficace.

En 2012, la France a frappé fort en imaginant que deux fournisseurs de « Clouds souverains », Numergy et CloudWatt allaient bouter dehors les envahisseurs AWS ou Google ; ils avaient tous les deux disparu en 2015.

Je préfère la démarche moderne d’un acteur français du cloud public qui n’a jamais demandé 1 € à l’état, Outscale.

Comme l’illustre la carte de leurs centres de calcul, ils sont présents dans le monde entier, et non pas retranchés dans l’hexagone.

Nouveau modèle : triple confiance

Je suis probablement l’une des personnes les plus sensibles à la sécurité des SI et à la protection des données ; c’est pour atteindre ces objectifs que je milite pour une approche différente, aujourd’hui indispensable.

Comment créer la « confiance » ? La bonne démarche consiste à segmenter le problème en trois composants :

• Confiance accès.
• Confiance transport.
• Confiance partage.

Cette démarche par composants a comme avantage supplémentaire la modularité et la flexibilité dans le choix des solutions. On peut à tout instant modifier l’un des outils utilisés sans remettre en cause tous les autres.

Hypocondriaques de la sécurité des SI, j’ai une mauvaise nouvelle pour vous ! Il existe des dizaines de solutions de haute qualité qui répondent très bien à ce besoin de confiance aux trois niveaux. Vous ne pourrez plus vous plaindre de l’absence de sécurité !

Il vous restera toujours la possibilité de vous retrouver entre vous, dans ces très nombreuses conférences sur la sécurité des SI qui ont pour principal objectif de transmettre des messages de peur et de maintenir les emplois de pseudo-professionnels de la sécurité arcboutés sur des démarches démodées et dangereuses.

J’ai proposé de regrouper ces solutions sous le nom TaaS, Trust as a Service. Ceci permet d’utiliser un mot positif, Trust - Confiance pour remplacer des mots à consonance négative comme sécurité.

Confiance Accès 

Ce premier niveau de confiance doit permettre :

• De garantir l’identité de la personne qui se connecte.
• De vérifier que l’objet utilisé peut le faire sans risques.
• De moduler les droits en fonction des lieux et heures de connexion.

Cette confiance d’accès doit être garantie pour les «5 A» en anglais, ou en français :

• Toute personne
• Tout objet d’accès
• À tout moment
• En tout lieu
• Pour tout contenu

Les entreprises disposent aujourd’hui de tous les outils nécessaires pour garantir cette confiance d’accès. Quelques exemples :

• MDM Mobile Device Management : gestion des outils mobiles, séparation des données et applications professionnelles et privées..
• Authentification forte : code aléatoire, SMS, empreintes digitales…
• Chiffrement des contenus sur les objets d’accès.
• Vérifier que les mises à jour d’OS et d’applications sont réalisées.

Les challenges majeurs à régler ne sont plus dans le domaine de la confiance, mais dans :

• L’ergonomie des solutions, pour les rendre raisonnablement transparentes pour tous les collaborateurs.
• Le coût élevé de trop nombreux produits.

Confiance Transport

Aujourd’hui, créer les conditions de « Confiance Transport » ne pose plus de difficultés majeures.

L’objectif est simple : transporter en sécurité des données, depuis un objet d’accès vers un espace de partage. 

Tout est disponible pour créer les conditions de cette confiance transport :

• 
• HTTPS : les échanges entre l’objet d’accès et le serveur sont chiffrés de manière transparente pour les utilisateurs. Offre une excellente protection depuis des dizaines d’années.
• Chiffrement des contenus : si, pour un tout petit nombre de données hypersensibles, on souhaite aller au-delà de HTTPS, il est très facile de rajouter une fonction de chiffrement des contenus. Dans ce domaine aussi, de remarquables solutions existent depuis longtemps : PGP, racheté par Symantec, en est un bon exemple.
• Pare-feu dans le cloud : pour remplacer les pare-feu anciens, périmétriques, il est possible de déployer des « pare-feu cloud » qui protègent les collaborateurs, où qu’ils soient. Zscaler est la solution dominante, aujourd’hui.

Confiance transport : problème réglé.

 
Confiance Partage 

C’est dans ce domaine que les fantasmes sur la non-confiance à accorder au cloud public sont les plus virulents :

• Le grand méchant Google va lire mes mails.
• La NSA va pirater mes données commerciales et les envoyer à mon concurrent américain.
• Mes données personnelles vont se retrouver chez Microsoft maintenant qu’ils ont racheté LinkedIn.
• ….

Oui, bien sûr, des risques majeurs existent lorsque des données sensibles sont stockées dans des centres de calcul. Oui, mais :

• Ces risques sont beaucoup plus élevés dans des centres de calcul passoires, que certains continuent à appeler « clouds privés ». Toutes les failles importantes de sécurité de 2016 et 2017 ont eu lieu lorsque les entreprises géraient elles-mêmes leurs centres de calcul.
• Les grands acteurs industriels du cloud public ont des moyens techniques et humains pour assurer la sécurité et la confidentialité des données qui leur sont confiées sans commune mesure avec ceux des entreprises, même les plus grandes.

Lisez attentivement ce que proposent AWS ou Google pour protéger leurs centres de calcul. Ensuite, posez-vous une question simple : est-ce que je suis capable d’offrir le même niveau de sécurité ?

Prenons deux exemples, le chiffrement et la réglementation européenne GDPR.

AWS, Google ou Microsoft chiffrent toutes les données qui leur sont confiées. Quand je l’explique à mes interlocuteurs, il y en a toujours un pour me rétorquer : « Oui, mais ce sont eux qui ont la clef et ils la donneront si une autorité politique ou policière en fait la demande ». Les conditions dans lesquelles ils acceptent de le faire sont exceptionnelles, comme le montre cette victoire de Microsoft dans un procès avec le gouvernement américain.

Je ne résiste jamais au plaisir de poser à mon tour une question : quel est le pourcentage de vos données qui sont chiffrées dans vos centres de calcul ? La réponse que j’obtiens le plus souvent : 0 %.

Pour rassurer leurs clients, nos champions du cloud public sont allés encore plus loin : ils proposent tous, comme AWS dans cet exemple, de chiffrer vos données avec une clef qui vous appartient, à laquelle ils n’ont pas accès.

 Fin mai 2018, la directive européenne sur la protection des données personnelles, la GDPR, s’imposera à toutes les organisations présentes en Europe, et c’est une excellente initiative. Cela a créé de superbes opportunités « business » pour juristes, professionnels de l’informatique et sociétés de services qui proposent d’aider les entreprises à être en règle avec la GDPR.

L’essentiel des données de mes entreprises est dans des clouds Google. J’ai reçu il y a quelques jours ce sympathique message de Google :

• M’informant que tout était déjà prêt, en novembre 2017.
• Me donnant le texte des nouvelles règles qui s’appliqueront, pour que j’aie le temps de les étudier.
• Me confirmant que je n’aurai rien à faire le jour de la mise en vigueur de la GDPR, ils vont l’activer pour moi.

Dois-je rajouter que les mises en conformité GDPR de mes entreprises ne m’auront pas coûté 1 €, ni occupé une seule journée de travail d’un collaborateur ?

Synthèse

Cette démarche simple, pragmatique, des « trois confiances » permet à toute organisation, quelle que soit sa taille, de créer un exceptionnel niveau de confiance pour accélérer sa transformation numérique.

Elle peut le faire en utilisant des solutions industrielles du marché, de haute qualité et qui seront de plus en performantes dans les mois et années qui viennent.

Libre à vous de rester sur vos vieilles démarches périmétriques, mais ne comptez pas sur moi pour vous accompagner… Le « passe muraille », célèbre monument de Montmartre à Paris : une excellente illustration de vos firewalls passoires si vous continuez dans cette voie sans issue.