Vingt ans après l’avènement du modèle client/serveur, le Cloud Computing est désormais présenté comme le nouveau paradigme de la gestion de l’IT. Les fournisseurs rivalisent pour se positionner en tant qu’expert du Cloud, les produits et les services arrivent très vite sur le marché, l’attention des observateurs est très fortement accaparée sur le sujet, et les départements IT ne peuvent plus vraiment se permettre de ne pas être au courant du phénomène. Selon l’interprétation que l’on fait du « Cloud », on peut ajouter que beaucoup de départements IT utilisent déjà quotidiennement de tels services, même si cette utilisation est pour l’instant limitée à un service de CRM, de messagerie électronique hébergée ou d’antivirus. Par Martin Sadler Directeur du Cloud & Security Lab au HP Labs de Bristol (Angleterre).

Le Cloud porte en lui de belles promesses : réductions massives de dépenses d’équipements, accélération du cycle de mise sur le marché des projets, ou encore flexibilité dans le contrôle des équipements et des logiciels. Mais les barrières persistent et nous sommes encore loin d’un environnement IT radicalement modifié. Tandis que des services tels que Windows Azure et Amazon Web Services d’Amazon.com proposent d’ores et déjà des plateformes aux entreprises pour bâtir des infrastructures IT entières sur les fondations de l’internet, peu d’entreprises de grande taille sont prêtes à parier leur avenir uniquement sur le Cloud. Et la première raison à cela est la sécurité. Les enquêtes montrent de manière unanime que la première préoccupation des entreprises vis-à-vis de l’adoption du Cloud vient du sentiment que les données pourraient être compromises parce que les grands centres de données seront autant de cibles de choix pour les hackers ; et parce que l’entreprise ayant la propriété des données n’aura plus de contrôle direct sur leur protection.

Toutefois, le Cloud peut être sécurisé et, à plusieurs égards, être encore plus sûr que les centres de données locaux qui prédominent aujourd’hui dans les infrastructures IT d’entreprise. Les fournisseurs de service Cloud vont être composés d’experts et de spécialistes, libérant les entreprises du besoin de recruter et de retenir de tels collaborateurs. Egalement, l’échelle qui est celle du Cloud fait que les administrateurs vont être en mesure d’observer les menaces potentielles avec un haut degré de visibilité. Troisièmement, les technologies de virtualisation donnent la capacité de dématérialiser – au sens de l’infrastructure – les services et de les protéger dans leurs propres « conteneurs » de sorte que les attaques soient évitées.

La problématique potentielle de sécurité du Cloud est liée au fait que celui-ci agit comme un aimant vis-à-vis des auteurs de programmes malveillants, dont l’objectif est de maximiser les dysfonctionnements en attaquant des cibles multiples sur un seul et même centre de données. De toute évidence, les entreprises et les organisations investissant dans le Cloud veulent minimiser le nombre d’administrateurs et profiter d’une économie d’échelle, plutôt que de simplement dépenser de l’argent pour résoudre un problème.  La solution à cette équation est probablement triple. Première étape, l’utilisation de machines virtuelles dédiées à la surveillance des machines virtuelles en service, permettant de traquer les signaux d’alerte tels que les pics de l’activité I/O ou de l’unité centrale de traitement. Deuxième étape, s’assurer que les services virtualisés ont des points de connexion/communication limités les uns avec les autres, de sorte que les attaques puissent être localisées et ne puissent pas contaminer d’autres services sur l’infrastructure Cloud. Dernière étape, l’automatisation des processus de sécurité, afin que le Cloud puisse s’auto-dépanner, par exemple en arrêtant les services suspects et en les redémarrant ; ou en les clonant, en limitant leur consommation de ressource ou en créant des leurres pour attirer et piéger les hackers.

De cette manière, à l’image des globules blancs du sang luttant contre les maladies, le système Cloud peut se défendre contre les infections, les tentatives de corruption ou même contre les tentatives d’attaque les plus sophistiquées visant à compromettre les infrastructures en entreprise.

Ce dont ont besoin les administrateurs de système est de disposer d’outils de contrôle de l’activité. De tels outils avancés doivent pouvoir offrir une interface tactile et permettre aux administrateurs, du bout des doigts, de zoomer sur l’activité ou de la visualiser dans sa totalité, et ce sur l’ensemble du Cloud et des ressources informatiques.  Afin que le Cloud exploite tout son potentiel, il est indispensable que les utilisateurs aient toute confiance dans sa sécurité. Les menaces et les challenges liés aux précieuses données de l’entreprise existeront toujours.

Nous sommes aujourd’hui en bonne voie pour affronter ces challenges, tout en continuant à tirer les fruits d’une gestion efficace et rentable de gérer les opérations IT.

Martin Sadler

Directeur du Cloud & Security Lab au HP Labs de Bristol (Angleterre).