L'avenir est au cloud computing - si le concept de sécurité convient

Par :
Jan Valcke

jeu, 27/10/2011 - 13:01

Davantage de flexibilité, une meilleure évolutivité et notamment des coûts réduits : les arguments en faveur du cloud computing sont difficiles à réfuter. Le concept novateur d'externalisation promet un fort potentiel de ventes. Cependant, une technologie de sécurité insuffisante s'avère souvent un obstacle difficile à surmonter. Mais même à ce niveau, le cloud offre la solution appropriée. Par Jan Valcke, Président et COO de VASCO Data Security.

Les exigences de sécurité constituent souvent un problème majeur avec des solutions de Software ou de Platform as a Service. Une étude menée par l'Université de Darmstadt révèle que 22 % des personnes interrogées perçoivent les exigences de sécurité comme le principal obstacle à la mise en œuvre du cloud computing. Les exigences juridiques, de confidentialité et de conformité arrivent en deuxième et troisième positions avec 19,8 % et 11,9 % respectivement. Étonnamment, les problèmes techniques sont bien moins perçus comme des obstacles : seulement 7,9 % de personnes expriment des doutes quant à la fiabilité de la solution et un pourcentage très bas (3,4 %) fait référence à des coûts potentiels de performances comme argument contre le cloud computing. Certains s'inquiètent principalement que les données ou l'identité tombent entre de mauvaises mains. Cela a été confirmé dans une étude menée par IBM concluant que 80 % des entreprises craignent pour leur sécurité avec l'introduction du cloud computing.

Les économies, principale motivation

En dépit des problèmes de sécurité existants, le triomphe du cloud computing sera à peine perturbé. L'aspect financier joue toujours un rôle central dans le processus de prise de décision lorsqu'il s'agit de sélectionner la bonne solution. Mais le cloud le devance : vous ne payez que pour les services que vous utilisez vraiment. Si le nombre d'utilisateurs augmente, il suffit simplement d'ajouter de la capacité pour satisfaire cet accroissement des demandes ; si le nombre d'utilisateurs en ligne diminue, il suffit simplement de réduire la capacité afin de ne pas laisser une infrastructure informatique inutilisée. Au lieu de faire face à de forts investissements initiaux, les entreprises choisissent des coûts opérationnels flexibles et déductibles d'impôt. L'étude menée par l'université de Darmstadt stipule que 22,4 % des répondants considèrent la réduction des coûts comme argument principal dans le choix d'une solution de cloud. L'évolutivité (20,4 %) et la flexibilité accrue (19,9 %) sont les deuxième et troisième raisons.

Le monde fabuleux des applications

Mais le cloud en pleine croissance n'est pas uniquement apprécié des entreprises. Le marché grand public ne peut plus exister sans le cloud. Pour le « cloud informatique public » ainsi que pour les applications non personnalisées et accessibles au public, IDC prévoit une croissance annuelle cumulative de 27,6 % dans les prochaines années. Les coûts informatiques seuls devraient augmenter de 21,5 milliards de dollars en 2010 à 72,9 milliards de dollars en 2015. En outre, il existe des opportunités considérables pour les infrastructures et les terminaux. « Les services de cloud s'accompagnent et sont menés par d'autres technologies révolutionnaires, comme par exemple les périphériques mobiles ou sans fil ainsi que les réseaux sociaux », déclare Frank Gens, vice-président et analyste en chef chez IDC. Monsieur Gens voit en ces tendances et technologies « le troisième pilier d'une croissance à long terme ». Cette croissance se reflète aussi sans conteste dans les récents chiffres de vente : « rien qu'au deuxième trimestre 2011, plus de 107 millions de smartphones ont été vendus », rapporte Gartner Inc. Soit une augmentation incroyable de 74 %. Ce battage médiatique aurait été provoqué par le cloud public : des boutiques d'applications à la navigation en ligne, la recherche de magasins et Facebook mobile. IDC estime que plus de 182 milliards d'applications seront téléchargées en 2015.

La sécurité, critère de qualité

Les chiffres parlent d'eux-mêmes. Peu importe que vous pensiez qu'il soit bon ou mauvais, et malgré toutes les préoccupations liées à la sécurité, le cloud computing est la tendance informatique des années à venir. Vu cette tendance, il convient d'accorder une grande importance aujourd'hui et à l'avenir pour gagner la confiance des entreprises et de s'y tenir.

L'étude Darmstadt révèle que la disponibilité et le temps de réponse sont perçus comme les caractéristiques qualitatives les plus importantes pour une solution de cloud computing, avec respectivement 34 et 18 %. Ces aspects sont rarement indiqués comme obstacles.

Cependant, il y a toujours matière à amélioration en termes de sécurité. La conformité aux exigences de confidentialité est jugée essentielle par 24 % des répondants. Le même pourcentage perçoit les mécanismes de sécurité proposés comme un critère clé. Mais l'étude révèle également que le client n'est pas satisfait de l'offre actuelle : plus de 50 % estiment que les préoccupations de sécurité, de conformité et de confidentialité sont une bonne raison de NE PAS choisir le cloud computing.

Quiconque souhaite se démarquer sur le cloud doit miser sur un concept de sécurité sophistiqué. Le même principe que pour l'informatique classique s'applique au cloud : la combinaison d'un identifiant utilisateur et d'un mot de passe statique n'est pas un concept de sécurité suffisant. Même si l'utilisateur a l'obligation de choisir des mots de passe monstrueux comportant chiffres et caractères spéciaux, le mot de passe n'offre pas en lui-même une protection adéquate. Les mots de passe statiques n'ont cessé de s'avérer fragiles et ne sont pas adaptés en tant que mécanisme de sécurité unique, en particulier sur le cloud.

A connaître et détenir

Seule l'authentification multicritère peut apporter la sécurité adéquate. L'utilisateur doit connaître une information, un code pin par exemple, et détenir du matériel, tel qu'un authentifieur ou une application, pour calculer un mot de passe unique. Ce mot de passe unique est calculé à chaque connexion et n'est valable que quelques secondes. Intercepter ces mots de passe s'avère ainsi inutile pour les hackers. De plus, il est impossible de falsifier les transactions ou les messages, car leur contenu est inclus dans le calcul du mot de passe unique. Toute modification rend le mot de passe ou la signature invalides. De telles signatures numériques constituent depuis longtemps une norme dans le secteur bancaire.

La question est donc : pourquoi l'authentification multicritère ne fait-elle pas déjà partie intégrante des applications de cloud computing ? Cela est probablement dû à des préoccupations financières. La réduction des coûts est, encore une fois, le principal argument en faveur du cloud computing. C'est aussi la raison pour laquelle tant de clients craignent un investissement supplémentaire dans un concept de sécurité qui n'apporte pas un retour sur investissement immédiat. Une attitude qui évolue rapidement lorsque l'entreprise s'inquiète d'apparaître dans les actualités en raison d'une fuite de données.

L'authentification telle une carte de visite

De nombreux fournisseurs de cloud computing craignent la transition vers une authentification multicritère parce qu'elle rend leurs offres plus coûteuses et qu'il n'est pas toujours très simple d'utiliser des dommages non durables en tant qu'argument de vente. De plus, une architecture de sécurité technique efficace est tout sauf insignifiante. Enfin, le serveur de sécurité devrait agir tel un gardien pour toute application de cloud computing. Il convient de décider rapidement qui est autorisé et qui ne l'est pas, afin d'éviter de longues files d'attente. Cependant, contrairement aux prestigieuses discothèques, l'internaute ne perçoit pas une telle « communauté en attente » comme une tentation. Si l'établissement de l'identité de l'utilisateur prend trop de temps, la concurrence ne se trouve qu'à un clic de souris.

Il s'avère donc important de choisir l'infrastructure appropriée. Le serveur de contrôle de la sécurité VACMAN de VASCO est spécialement conçu pour prendre en charge d'importants volumes de demandes d'authentification : jusqu'à 9 000 contrôles d'identité par seconde. Les utilisateurs finaux s'avèrent également très sceptiques à propos des périphériques d'authentification. Selon le niveau de sécurité requis, les clients peuvent choisir parmi une gamme étendue de formats, des générateurs de mots de passe sous forme de porte-clés, claviers de commande, lecteurs de carte à puce, applications pour smartphones aux périphériques à commande vocale pour les personnes malvoyantes.

La détermination et certainement le déploiement correct d'une solution performante de contrôle d'accès pour un service de cloud computing constituent une science en soi, puisque la communauté de hackers est en constante évolution. Il est donc très important de surveiller ces tendances et d'y adapter sa technologie de sécurité. Et n'oublions pas les efforts à fournir pour le déploiement et la maintenance des authentifieurs matériels ou logiciels.

L'externalisation des services de sécurité

Tous les problèmes apparaissant avec des applications de cloud computing sécurisées se règlent mieux à l'aide d'une application de cloud computing. Chaque demande de connexion est ainsi simplement redirigée vers un service de sécurité hébergé qui prend en charge le processus d'authentification. En tant que client, vous évitez donc de vous préoccuper de la disponibilité et de l'évolutivité. Des services modernes tels que DIGIPASS as a Service de VASCO vont au-delà et offrent un forfait tout compris prenant en charge le déploiement ainsi que l'activation des authentifieurs. L'externalisation rend le processus très transparent pour l'utilisateur final. Le client peut personnaliser à son goût les messages et les motifs de l'appareil d'authentification.

Les avantages de toute solution d'authentification hébergée s'appliquent à l'offre DIGIPASS as a Service de VASCO. Vous n'avez pas besoin de réinventer le processus et pouvez ainsi vous concentrer sur votre cœur de métier. La solution est prête à l'emploi, possède une évolutivité virtuelle illimitée et vous ne payez que pour la capacité utilisée. À terme, cela entraîne un avantage concurrentiel que seule l'externalisation sur le cloud peut offrir.

Le cloud computing va fondamentalement modifier l'environnement informatique dans les prochaines années. À une époque où le Web est disponible pour tous dans le monde entier, peu importe désormais où sont traitées et physiquement hébergées les données. Cela créé de nouvelles possibilités de division entre travail et externalisation. À l'avenir, chacun se chargera des tâches qu'il sait mieux réaliser et laissera les autres tâches à un spécialiste, plus compétent. Les clients acceptent ce nouveau concept et, au mieux, les préoccupations n'existent qu'en termes de sécurité. Le cloud computing est une question de confiance. On ne doit donc pas hésiter à laisser l'important sujet de l'authentification multicritère aux mains des spécialistes.

Sur le cloud.


Jan Valcke, Président et COO de VASCO Data Security depuis 2002

A propos de l'auteur

Jan Valcke