Previous month:
avril 2019
Next month:
août 2019

Clouds Publics : la confiance...

 

AdS DPC cloud risk walking S 201821174Je ne pensais pas devoir, en 2019, écrire encore sur ce sujet !

En 2011, j’avais publié dans ce blog un billet sur la “néphophobie”, la peur du cloud. Son contenu est, malheureusement, toujours d’actualité.

Je rencontre encore tous les jours dans mes séminaires et missions de conseil, des entreprises de toute taille, privées et publiques, qui me disent que les solutions Clouds Publics ne sont pas possibles pour elles, pour des raisons de “confidentialité” ou de “sécurité”.

Les solutions clouds publics d’infrastructures IaaS (Infrastructures as a Service) existent depuis 2006, avec AWS (Amazon Web Services) et les usages SaaS (Software as a Service) depuis 1999, avec Salesforce.

Si “clouds publics” était synonyme de “dangers publics”, cela se saurait...

 

Deux questions distinctes, sécurité et confidentialité

Cloud security vs confidentialityLes deux questions universelles posées par les entreprises sont toujours les mêmes :

  • Quel est le niveau de sécurité des infrastructures informatiques que j’utilise ?
  • Est-ce que mes données sont bien protégées ?

C’est en séparant clairement ces deux questions que l’on peut progresser rapidement, proposer des réponses précises et créer la confiance dans les Clouds Publics.

La première des tactiques des anti-clouds et de regrouper ces questions pour rendre plus opaque la situation ; il ne faut pas tomber dans ce piège.

La deuxième tactique utilisée par les anti-clouds est de poser la question dans l’absolu : peut-on faire confiance aux Clouds Publics ?

La seule question qui vaille est relative : entre Clouds Publics et solutions gérées en interne, dans mes centres de calcul privés, quelle est la meilleure, ou la moins mauvaise solution en matière de sécurité et de confidentialité ?

Vos données sont, au choix :

  • Dans des infrastructures qui vous appartiennent, gérées par vous ou hébergées.
  • Dans des Clouds Publics.

Il n’y a pas d’autres options.

Peut-on garantir une sécurité parfaite ? Non !

Peut-on garantir une confidentialité parfaite ? Non !

Toute personne qui prétend le contraire est un menteur ou un imbécile.

Je vous propose de traiter séparément, sereinement, logiquement, ces deux thèmes, sécurité et confidentialité.

 

Sécurité des Clouds Publics

Logo Géants CloudEn 2019, quatre fournisseurs, et quatre fournisseurs seulement, proposent des solutions IaaS industrielles et pérennes : (par ordre alphabétique)

  • Aliyun, du chinois Alibaba.
  • AWS, Amazon Web Services.
  • GCP, Google Cloud Platform.
  • Azure, de Microsoft.

Cet oligopole regroupe des entreprises sérieuses, professionnelles, qui investissent massivement dans des infrastructures informatiques de qualité.

Ils investissent aussi massivement dans la sécurité de leurs infrastructures, avec des équipes dont la taille approche ou dépasse le millier de personnes.

Security of on the cloudLeur rôle est clair, comme le présente ce schéma : mettre à la disposition de leurs clients des infrastructures dont ils garantissent la sécurité, la sécurité du cloud.

Ils ne sont pas responsables de ceux que font leurs clients avec ces infrastructures. Un constructeur automobile est responsable de la qualité des voitures qu’il commercialise, qui passent des tests de plus en plus difficiles. Il ne peut pas garantir qu’un conducteur qui conduit avec 3 g d’alcool à 120 km/h en ville ne va pas causer des catastrophes humaines.

Bien conscients que cette question est essentielle pour garantir leur succès à long terme, les quatre géants des Clouds Publics publient de nombreux documents présentant leurs démarches pour garantir un niveau de sécurité très élevé.

Je vous propose de lire quelques-uns de ces documents, de Alibaba, AWS, Google ou Azure.

Posez-vous ensuite honnêtement la question : est-ce que mes équipes internes sont capables de proposer des niveaux de sécurité au moins aussi élevés que ces professionnels du cloud ?

La fiabilité de ces fournisseurs est remarquable, oui. Elle ne sera jamais parfaite et aucun d’entre eux ne propose des contrats SLA de garantie de services à 100% : ils savent très bien qu’aucune entreprise n’est à l’abri d’une panne ou d’un incident, technique ou humain.

Cloud Downtime 2018 - AWS  GCP  AzureCe graphique donne les temps de panne (downtime) d’AWS, Google et Microsoft pour 2018. C’est le nombre total de minutes d’interruption de services sur toute l’année 2018. Pour mieux apprécier leur performance, il faut savoir que l’interruption d’un seul service dans une seule zone géographique est comptabilisée.

Niveau exceptionnel de sécurité, niveau exceptionnel de fiabilité : les géants du Cloud Public ont démontré depuis de nombreuses années qu’ils sont capables de faire mieux que 99,999 % des entreprises qui essaient de gérer en interne leurs infrastructures informatiques.

Tous les dirigeants rationnels et honnêtes l’ont compris ; problème réglé !

Reste maintenant à aborder un thème plus polémique, celui de la confidentialité des contenus. Avant, il est indispensable d’étudier la géopolitique des acteurs concernés, et en priorité, celle des “anciens combattants” de l’informatique.

 

Les anciens combattants, vecteurs d’une épidémie mortelle, la trouille

Les solutions Clouds Publics d’infrastructures et d’usages bouleversent tous les secteurs d’activités informatiques ; les constructeurs historiques, qui ne sont pas idiots, l’ont bien compris et... ont choisi la trouille comme arme de défense principale.

J’ai regroupé dans ce schéma les “anciens combattants” de l’informatique dans cinq grandes familles :

  • Les fournisseurs d’infrastructures.
  • Les éditeurs de logiciels historiques, et en particulier les ERP intégrés.
  • Les vendeurs de solutions archaïques de sécurité, dont la peur est le fond de commerce.
  • Les consultants en sécurité, avocats et juristes, autres champions de la peur.
  • Et, bien sûr, les nombreux DSI qui défendent leurs anciens attributs de pouvoir tels que les centres de calcul privés.

Anciens combattants Cloud

Fournisseurs historiques d’infrastructures

OCP logo  OCP acceptedIls vendaient des serveurs, des disques de stockage ; ils ont pour nom Dell, HP ou IBM. Les géants du Cloud Public n’achètent pas chez eux : ils sont trop chers et pas assez performants. Google et les autres font fabriquer directement leurs matériels en Asie, avec des modèles dont la majorité est en Open Source, fédéré par l’association OCP, Open Compute Project, créée par Facebook en 2011.

Les entreprises qui migrent sur le cloud n’achètent plus leurs matériels. Les maxi-entreprises comme Bank of America qui peuvent encore se permettre de garder des centres de calculs privés le font en.. achetant des serveurs compatibles OCP.

Etonnez-vous que ces fournisseurs historiques fassent la gueule et essaient de convaincre leurs ex-clients que le Cloud Privé est plus sûr que le Cloud Public.

Editeurs historiques d’applications

Il était un temps, fort lointain, où les entreprises achetaient des logiciels à installer dans leurs centres de calcul, payaient fort cher des licences et des contrats de maintenance. Elles avaient aussi la joie de devoir gérer elles-mêmes les mises à jour, pour le plus grand bonheur des ESN, Entreprises de Services Numériques. Les deux champions incontestés de cet ancien monde avaient pour nom SAP et Oracle. Allergiques aux solutions SaaS natives, multi-tenant, ces éditeurs essaient de survivre en faisant croire que l’hébergement dans le cloud d’instances spécifiques à chaque client, c’est beaucoup mieux.

Vendeurs de solutions archaïques de sécurité

Security appliancesLes lecteurs de ce blog qui ont connu l’informatique de grand-papa vont regarder ce schéma avec un œil attendri : cela leur rappellera leur jeunesse, époque révolue où il fallait installer des dizaines de serveurs spécialisés pour chaque fonction de sécurité. On les nommait “appliances”, cela faisait plus chic et moderne. Les leaders de ces marchés avaient pour nom Cisco, Fortinet ou Palo Alto Networks.

Clouds Publics = disparition des centres de calcul des entreprises.

Clouds Publics = disparition du marché des appliances de sécurité en tout genre.

Consultants en sécurité, avocats et juristes

AdS DPC Cyberwar S 121916236Qu’elle était sympathique l’époque où les entreprises essayaient, sans succès, de gérer elles-mêmes la sécurité et la confidentialité dans leurs informatiques internes. Des armées de consultants en sécurité leur apprenaient les meilleures pratiques dans ces domaines. Les nouvelles menaces arrivaient plus vite que leurs capacités à les gérer et créaient de nouveaux flux de revenus sans fin.

Juristes et avocats étaient prêts à aider les entreprises à régler les nombreux litiges que créaient ces failles continues de sécurité. Les Clouds Publics assèchent ces vieux marchés lucratifs ; ces professionnels du droit mettent maintenant leurs espoirs dans des lois telles que le RGPD qui créent de nouvelles contraintes, de nouvelles craintes.

DSI historiques, qui défendent leurs territoires de pouvoir

AdS DPC Manager with umbrella danger S 168264171Ces quatre familles de fournisseurs historiques, dont l’avenir est fortement compromis par les solutions Clouds Publics, ne survivraient pas longtemps s’ils n’avaient pas… l’oreille attentive d’un grand nombre de DSI qui se sentent, eux aussi, menacés par le tsunami Cloud Public.

Fournisseurs et DSI historiques, unis par une même peur du futur, propagent cette trouille auprès de leurs dirigeants et collaborateurs. Le moindre incident dans le Cloud Public, et il y en a, est monté en épingle, utilisé comme un épouvantail très efficace. Ils oublient simplement de dire que toutes les grandes failles informatiques de ces dernières années, toutes les pertes de données pour des dizaines et centaines de millions de personnes ont toutes, sans exception, eu lieu dans leurs centres de calcul internes, véritables passoires numériques.

 

Confidentialité des données

La protection des données utilisées par les entreprises, qu’elles concernent les clients externes, les collaborateurs, les produits… est depuis toujours une priorité.

L’arrivée des solutions de Clouds Publics ne crée pas un nouveau problème de protection, mais oblige les entreprises à s’adapter à de nouveaux défis, à rechercher de nouvelles solutions.

Une fois de plus, il ne faut pas raisonner dans l’absolu et se poser une mauvaise question :

“Est-ce que mes données sont bien protégées dans les clouds publics ?”

AdS DPC Data stored every where 84427391La bonne démarche consiste à comparer les solutions dans les clouds publics avec la situation actuelle, avec des données souvent stockées dans des centres de calcul internes, dans des serveurs répartis dans toute l’entreprise et aussi sur des centaines, des milliers de PC, smartphones et autres tablettes.

La seule question raisonnable à se poser est :

Est-ce que l’utilisation de Clouds Publics rend moins bonne ou améliore la protection de mes données ?

Pour les entreprises positives, raisonnables, rationnelles qui ont compris les potentiels des clouds publics il est facile de traduire cette question générale en la décomposant en une suite de questions plus techniques et en recherchant, cas par cas, s’il existe des réponses de qualité.


Sans prétendre à l’exhaustivité, j’ai identifié quelques questions principales à se poser :

  • Utiliser un parefeu (Firewall) pour mieux contrôler les données qui entrent et sortent.
  • Chiffrer des données, quelles données.
  • Utiliser une solution de SSO, Single Sign On, pour faciliter la vie des utilisateurs et éviter un trop grand nombre de mots de passe.
  • CASB explained in RedUtiliser une Authentification forte, une double authentification pour compléter les mots de passe.
  • Mettre en œuvre des copies de sécurité (Backup) pour se protéger des pertes volontaires ou involontaires de données
  • Choisir un CASB, Cloud Access Security Broker, outils récents créés spécialement pour protéger les Clouds.
  • ….

Les professionnels de la sécurité informatique pourront trouver que mon analyse est très incomplète, mais j’assume une démarche pragmatique et raisonnable qui va à l’essentiel.

Avant de présenter quelques solutions qui répondent à ses demandes légitimes, il faut poser une question préalable sur la motivation des entreprises et des DSI qui mènent ces études.

AdS DPC positive vs negative S 189391249Je les classe en deux familles :

  • Les entreprises positives, qui recherchent vraiment des solutions, et sont ravies quand on leur propose des réponses raisonnables.
  • Les entreprises négatives, qui cherchent des “alibis” pour ne pas aller vers des solutions Clouds Publics, et font “la gueule” à chaque fois qu’une solution proposée fait tomber une barrière dans la course de haies qu’elles organisent en espérant ne jamais arriver au bout.

Entreprises à la recherche d’alibis, passez votre chemin, assumez votre à priori négatif et ne faites pas perdre votre temps à des fournisseurs ou consultants qui chercheront, en vain, à vous aider.

Pour les autres, la bonne nouvelle est qu’il existe des solutions de grande qualité, que je regroupe sous le nom TaaS : Trust as a Service, Confiance comme un service.

 

Solutions TaaS : Trust as a Service

Vous êtes, honnêtement, prêt à basculer tout ou partie de votre environnement numérique dans des Clouds Publics si vous trouvez des réponses de qualité à vos préoccupations légitimes.

Votre démarche peut être décomposée en trois étapes :

  • Commencez par sélectionner les fonctionnalités dont vous avez vraiment besoin, dans la liste que j’ai préparée.
  • Recherchez les solutions disponibles sur le marché. L’offre TaaS est pléthorique, avec plusieurs dizaines de produits de grande qualité.
  • Faites confiance à vos équipes techniques pour évaluer et sélectionner les solutions qui, selon elles, sont les mieux adaptées à vos attentes spécifiques. Ce ne doit pas être systématiquement le plus complet ou le plus cher.

Ce tableau ne prétend pas à l’exhaustivité ; je l’ai créé pour renforcer le message : pour chaque fonction recherchée, il existe de nombreuses solutions. Tous les produits cités font partie des leaders de leurs marchés respectifs.

Outils solutions Cloud Confiance

A titre d’exemple pour la ligne SSO : Okta, Ping et OneLogin sont de remarquables solutions et toutes ont été choisies par des entreprises que je connais. Quelle est la meilleure ? Il n’y a aucune réponse possible à cette question.

 

La confiance... ne se décrète pas

Vous faites confiance à votre banquier, votre médecin, votre coach sportif pour vous accompagner et vous aider, chacun dans leurs domaines. Ce n’est pas une confiance aveugle, mais raisonnée.

Votre entreprise doit suivre la même démarche concernant le choix de ses partenaires dans le Cloud Public : créer les conditions d’une confiance raisonnable.

AdS DPC aviophobie peur avion S 79412735Cette confiance n’est pas seulement rationnelle, elle ne se décrète pas. Je prends l’avion plus de 100 fois par an et fais confiance à quelques compagnies aériennes à qui je confie ma vie. Je connais des personnes, intelligentes, qui souffrent d’aviophobie (ou aérodromophobie) et préfèrent prendre leur voiture pour des voyages de plus de 2 000 km. Les statistiques sont formelles : la probabilité de mourir d’un accident de voiture sur 2 000 km est beaucoup plus élevée qu’en avion. Cela ne suffira pas à les faire changer d’avis et à prendre l’avion.

Si vous souffrez d’une néphophobie maladive, ma recommandation est très simple : n’allez pas vers des solutions Clouds Publics.

Pour terminer, je vais prendre deux exemples très révélateurs du comportement des anti Clouds Publics qui cherchent, et trouvent, de bonnes raisons de ne pas y aller.

Cloud Act

Ah, cet épouvantail extraordinaire qui a pour nom Cloud Act ! Impossible de participer à une réunion sur les dangers du Cloud sans que l’on évoque le Cloud Act. Combien de personnes se sont données la peine de savoir ce que signifie “Cloud” dans Cloud Act ?

Cloud = Clarifying Lawful Overseas Use of Data Act. Ce n’est qu’un acronyme, pas très heureux, il faut en convenir. Le Cloud n’a strictement rien à voir avec le Cloud Act ; il traite de l’accès aux données en dehors du territoire américain, mais indépendamment de la nature des infrastructures qui hébergent ces données !

A l’inverse, ils sont peu nombreux à parler de la position de la France sur ces sujets.

Espionnage : la France au premier rang avec l’ANSSI !

ANSSI Accès serveurs en FranceDes enfants de chœur, les Français ? Pas du tout ! Tout le monde espionne tout le monde et la France est très bien placée dans le palmarès des champions. Vous souhaitez protéger vos données ? Ne les mettez surtout pas dans des serveurs hébergés en France : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’arroge le droit d’accéder à toute donnée qui a le malheur de se trouver dans un serveur situé sur le territoire français !

 

Synthèse

AdS DPC old planes S 121561349Ces combats d’arrière-garde sur les dangers du Cloud Public, libre à vous de continuer à les mener dans les années qui viennent.
Vous trouverez de très nombreux fournisseurs prêts à vous conforter dans vos peurs, vos trouilles, vos angoisses métaphysiques, ravis de vous fourguer des solutions hors de prix et inutiles, ceintures et bretelles, pour vous protéger de risques inexistants.

Si c’est votre vision du futur, votre culture, ne m’appelez pas pour vous accompagner dans vos stratégies numériques du XXe siècle, qui vous mèneront, rapidement, dans le mur.