Louis Naugès

J’ai une excellente nouvelle pour les entreprises européennes clientes des Clouds Publics américains.

J’ai une très mauvaise nouvelle pour les pleurnicheurs européens qui attaquent les géants américains du Cloud Public sur les dangers qu’ils feraient poser à la Souveraineté Numérique Européenne.

C’est… la même nouvelle.

Tous les arguments éculés que l’on continuait à entendre sur les supposés risques posés par le Cloud Act et autres FISA 102 tombent, et définitivement.

En décembre 2021, Google a annoncé de nouvelles fonctionnalités exceptionnelles pour améliorer encore la confiance que les entreprises peuvent avoir dans ses services de Cloud Public.

Le point sur la situation, avant l’annonce de Google.

Pour clarifier le champ d’applications de mon billet, je vais préciser de quoi je parle:

● J’aborde exclusivement les activités professionnelles. Ces analyses ne s’appliquent pas aux usages grand public.

● Je ne vais pas m’intéresser aux GAFAM, qu’il faut maintenant nommer GAMAM après le changement de nom de Facebook en Meta. Mon analyse concerne un sous-ensemble, GAM, Google, Amazon et Microsoft. Ce sont les trois principaux fournisseurs occidentaux d’infrastructures IaaS et PaaS dans les Clouds Publics.

Il y a un peu moins d’un an, j’ai publié un billet sur la cybersécurité. Son contenu reste d’actualité, aujourd’hui.

Je ne vais pas répéter ici tout ce qu’il contient, mais en résumer l’essentiel.

Contrairement à beaucoup d’idées reçues, la sécurité numérique peut aujourd’hui atteindre un niveau exceptionnel. L’offre de solutions performantes est très en avance sur les usages.

Ce schéma résume les deux grandes dimensions d’une approche moderne de la sécurité numérique :

● Des infrastructures Clouds Publics, qui garantissent une sécurité supérieure à tout ce que peut proposer une entreprise gérant ses propres centres de calcul.

● Une démarche “Zero Trust” pour les usages : c’est sous la seule responsabilité des entreprises que ces solutions “Zero Trust” doivent être mises en œuvre.

Chiffrer, pour protéger ses données

Le chiffrement des contenus a depuis toujours été une arme efficace pour les protéger d’un accès par des personnes non autorisées.

Le chiffrement des données est natif pour 100% des données stockées par les trois grands acteurs de l’IaaS : AWS, GCP et Azure.

Vous avez le choix entre deux options :

● Clef de chiffrement gérée directement par les acteurs de l’IaaS. Avantages :

    ○ Le plus simple.

    ○ L’entreprise cliente n’a rien à faire.

    ○ Excellente solution pour 99% des données.

● Clef de chiffrement gérée par l’entreprise. Avantages :

    ○ Le fournisseur d’IaaS n’a pas accès à la clef de chiffrement.

    ○ Il ne peut pas, volontairement ou pas, donner la clef à un tiers ; il ne la connaît pas.

Question sur le chiffrement : quel est le pourcentage des données chiffrées dans vos centres de calcul privés ? Probablement plus proche de 0% que de 100%!

Quelle est la meilleure réponse pour la sécurité de vos données :

● Des données chiffrées à 100% dans des Clouds Publics qui proposent les infrastructures les mieux sécurisées au monde ?

● Des données pas ou peu chiffrées dans des centres de calcul privés qui sont des passoires en termes de sécurité ?

La réponse est évidente. MAIS, les anti-clouds adorent sortir l’argument massue : les grands méchants Américains peuvent demander l’accès aux données des clients d’AWS, GCP et Azure sans qu’ils puissent prévenir leurs clients.

Il y a quatre noms célèbres de lois ou d’organismes “dangereux” qui sont cités chaque fois que l’on aborde ce sujet :

● La NSA : National Security Agency. La mission de la NSA est claire et officielle : espionnage international.

● FISA 702 : Foreign Intelligence Collection and Safeguards Accountability. Mis à jour en 2018, il concerne en priorité la surveillance des citoyens américains.

● Patriot Act : publié après les attentats du 11 septembre 2001, il a pour principal objectif de s’attaquer au terrorisme international.

● CLOUD Act : ce texte, qui n’a rien à voir avec le Cloud, est un acronyme malheureux pour: “ Clarifying Lawful Overseas Use of Data Act “.

Chaque fois que je me risque à émettre l’hypothèse que les cas de piratages de données sensibles européennes par ces quatre grands méchants sont, ou inexistants ou très peu fréquents, on me rétorque que les acteurs américains du Cloud Public n’ont pas le droit de prévenir leurs clients de ces demandes.

C’est juridiquement exact, mais je suis persuadé que si une grande entreprise européenne avait été la cible de l’un de ces piratages et l’avait découvert, on en aurait entendu parlé, et beaucoup ! Il suffit de voir les vagues d’indignation que soulève la moindre entorse à la protection des données européennes.

Tout ceci explique pourquoi je n’ai pas mis la cybersécurité dans la liste des quatre risques majeurs numériques pour notre planète d’ici à 2030.

Les entreprises qui sont vraiment intéressées par la création d'un environnement numérique de confiance peuvent le faire aujourd’hui en s’appuyant sur des solutions d’une exceptionnelle qualité. Je constate hélas souvent que cette volonté s’arrête très vite dès qu’il faut ouvrir son portefeuille pour investir dans des solutions performantes.

Il y a encore des responsables qui fantasment sur les dangers potentiels très élevés que feraient peser sur eux les actions criminelles des quatre bandits nommés ci-dessus. Ils me font penser aux personnes qui regardent le ciel avec frayeur en attendant la grosse météorite qui va tomber sur le toit de leur maison et qui n'investissent pas dans une serrure de sécurité pour leur porte d’entrée.

J’ai une très mauvaise nouvelle pour eux : les annonces récentes de Google anéantissent ces risques “potentiels”.

Les nouvelles garanties proposées par Google

Oui, je vais parler des innovations annoncées par Google Cloud il y a quelques jours.

Oui, je les considère comme majeures pour les entreprises.

Oui, je suis dans mon rôle de veille technologique en aidant les entreprises à découvrir des nouveautés qui peuvent les aider à accélérer leur Transformation Numérique en toute confiance.

Oui, je publierais le même texte si ces annonces avaient été réalisées par AWS ou Azure.

Oui, je suis convaincu qu’AWS et Azure auront des offres proches avant la fin de l’année 2022.

NON, je ne suis pas un grand suppôt de Satan, ayant vendu mon âme aux abominables diables du Cloud Public. Professionnellement, j’ai un objectif, une passion, aider les entreprises, toutes les entreprises, à réussir leur Transformation Numérique.

Baptisée "Assured Workloads for EU", cette nouvelle offre propose un ensemble de contrôles souverains pour simplifier et automatiser le déploiement et l'application sur GCP de fonctionnalités de sécurité et confidentialité renforcées.

Cette notion de “workloads”, d’applications est importante : elle permet aux entreprises de faire des choix différents pour des applications différentes.

En matière de sécurité et de confidentialité, c’est essentiel. Une entreprise peut choisir les solutions les plus protectrices pour les seules applications qui en ont vraiment besoin.

Comme on l’a vu plus haut, je considère que les conditions standards d’usages des clouds publics offrent des niveaux de sécurité et de confidentialité remarquables pour la grande majorité des applications.

L’annonce de Google comporte trois volets.

1 - Localisation des applications et des données

La première de ces annonces n’est pas vraiment une nouveauté : elle concerne la possibilité de garantir que les données resteront en Europe, dans l’une des cinq zones géographiques existantes.

Google confirme aussi l’ouverture de trois nouvelles zones, Italie, Espagne et France.

La zone française, opérationnelle avant la fin de l’année 2022 servira aussi pour recevoir le “Cloud de Confiance” géré par Thales.

2 - Contrôle des clefs d’accès aux données

C’est dans ce domaine que l’innovation est la plus importante, et de loin.

Le service KAJ, Key Access Justifications, permet aux entreprises d’interdire à Google d'accéder aux données chiffrées, quelle qu’en soit la raison. Les options proposées sont nombreuses et sont bien expliquées dans ce document.

Même les collaborateurs de Google responsables de la maintenance et des mises à  jour logicielles peuvent être interdits d’accès si l’entreprise le souhaite.

Ceci a bien sûr des conséquences sur les services d’assistance que Google peut proposer à ses clients, comme le montre cette liste “technique”.

Il reste malgré tout encore un domaine où cette protection ne s’applique pas : lorsque les données sont en cours de traitement par une application. C’est un sujet très complexe pour lequel de premières solutions commencent à émerger.
Dans ce domaine, les applications qui s'exécutent dans les Clouds Publics et dans des centres de calcul privés sont logées à la même enseigne. Les données sont traitées en clair et sont donc vulnérables.

3 - Assistance en Europe, par des Européens

Cette troisième nouveauté, “Assured Support” sera progressivement déployée en Europe.

Ce seront des collaborateurs européens de Google, résidents en Europe, qui assureront l’assistance et le support technique.

C’est un domaine dans lequel mes compétences ne me permettent pas de déterminer avec précision quelle est la valeur de cette proposition pour accroître la protection des données, mais j’imagine qu’elle existe sinon cette option ne serait pas proposée.

4 - Collaboration avec des partenaires européens de confiance

Le niveau maximal de protection des données et des traitements est fourni par les partenaires de confiance choisis par Google. T-Systems en Allemagne et Thales en France sont les deux premiers partenaires sélectionnés par Google.

Ce schéma résume bien la différence entre les deux approches possibles.

● Cloud GCP géré par Google : l’entreprise cliente s’appuie sur les nouveaux services “Assured Workloads” présentés dans ce billet.

● Cloud GCP géré par un partenaire de confiance : l’entreprise devient cliente d’une société européenne qui lui fournit les mêmes services techniques, matériels et logiciels de Google GCP, mais en y ajoutant des protections supplémentaires.

Pour les entreprises françaises qui utiliseront en 2022 les centres de calcul de Google installés en France, on peut même envisager que les deux modes de fonctionnement, directement par Google ou au travers de Thales, soient utilisés simultanément pour des applications ayant des niveaux différents de contraintes de sécurité et de confidentialité.

Résumé

L’année 2022 démarre avec d’excellentes nouvelles pour les organisations modernes, innovantes, raisonnables et soucieuses de la performance de leurs solutions numériques.

Il n’y a plus aucune raison objective liée à la sécurité et la confidentialité des données pour ne pas utiliser les solutions Clouds Publics proposées par les grands acteurs industriels Google GCP, AWS d’Amazon et Azure de Microsoft.

Pour le moment, Google a pris une longueur d’avance, mais je suis convaincu qu’AWS et Azure annonceront des propositions similaires d’ici la fin de l’année 2022.

Pour toutes les autres organisations, rétrogrades, frileuses, ignorantes de la réalité des solutions numériques et qui cherchaient désespérément des arguments pour ne pas basculer vers les Clouds Publics, il ne leur reste plus que… leurs beaux yeux pour pleurer leurs illusions perdues.