Quels sont les risques d'usage du Cloud ? Et qui est responsable de quoi?
Quels sont les défis à relever par les professionnels? La sécurité proposée sur chaque offre est-elle suffisante? Comment évaluer les services disponibles autour des offres, la réversibilité pour le client, ou encore la pérennité de l'offre? 
Autant de questions que le client se pose (parfois inconsciemment) qui freinent le développement des ventes du Cloud, rendent les consultants assez sceptiques et les usagers frileux... Samir Koleilat Président d'Acropolis, vous aide à 'y voir plus clair en définissant les défis des prestataires, des éditeurs, des assureurs et des usagers.

En matière de sécurité du Cloud, un simple clic sur Google génère une avalanche d'offres... plus de mille, faites directement par les éditeurs eux-mêmes ou par des prestataires multi-produits. Toutes s'affirment "différentes et innovantes" toutes promettent de générer du chiffre et d'optimiser la productivité, mais aucune ne détaille la répartition des ventes par produits.

Les meilleures ventes aujourd'hui sont celles de Amazone, Azur, IBM, OVH et Acropolis. Toutes sont faites majoritairement par la vente de serveurs virtuels, ce qui  est assez compréhensible car ce sont des ventes qui s'adressent à des utilisateurs avertis techniquement et qui savent mettre en œuvre eux-mêmes tous les instruments nécessaires leur permettant de compenser les manques dont souffrent les offres.
Exemple type : le prix d'une VM vendue en "offre de base " peut sembler à priori attractif. Mais le contenu réserve des surprises : l'offre  n'est pas sécurisée, ce qui signifie clairement qu'elle est sans protection : les informations ne sont pas protégées par un pare feu. De plus, cette VM "au meilleur prix" ne bénéficie pas  d'une répartition de charge ni de sauvegarde intégrés... A ce prix de base "compétitif"   il faut donc rajouter toutes les options, si tant est qu'elles soient disponibles, faciles à comprendre, faciles à approvisionner et à mettre automatiquement en place sur le site... Ce qui n'est pas gagné!

Or ces éléments font -ou devraient faire- partie de l'offre comme la ceinture de sécurité fait désormais partie de la voiture. Et il ne faut pas attendre des incidents pour imposer des protections.
Il a fallu des décennies pour que les constructeurs automobile rajoutent la ceinture de sécurité en série sur les voitures (et non plus comme accessoire) et aux états pour la rendre obligatoire car -c'est le paradoxe du progrès- plus on a limité la vitesse moins la ceinture de sécurité semblait nécessaire. Ce sont les chocs frontaux qui ont donné aux ingénieurs l'idée d'attacher le conducteur à son siège.

Le défi des prestataires, Le Cloud est natif d'internet et des réseaux sociaux. Un monde dans lequel les incidents sont immédiatement décelés et les sanctions, elles aussi, immédiates : le moindre incident génère instantanément une critique qui se propage comme une trainée de poudre sur la toile forçant les éditeurs et les prestataires à réagir pour la sauvegarde de leur e-réputation.

De plus, le buzz n'est pas toujours maîtrisable, car avant de choisir, les usagers ont pris la fâcheuse habitude de lire les avis de ceux qui les ont précédés... Et même si aujourd'hui tous les sites n'ont pas tous une rubrique "avis" demain tous seront contraints de la proposer.

De même, on peut parier que dans moins de deux ans, les sites seront contraints de  préciser où se trouvent les bases de données de chacun des clients, quels sont les garanties qu'ils offrent et qui en est responsable? Mais comme dans l'automobile, plus les offres avancent et se concurrencent, plus elles contiennent des options, offrent des sécurités et fournissent une transparence sur les technologies.

Conclusion : Les éditeurs de logiciels dans le Cloud doivent être irréprochables tant pour la qualité de leur logiciel que dans le choix de leur prestataire.

Les défis des éditeurs sont multiples car la plupart n'ont pas encore adapté leur logiciel à un usage mutualisé, permettant l'accès à plusieurs sociétés en même temps et pour chacune à un nombre différent d'utilisateur. Autre incertitude : ceux qui ont engagé cette adaptation ne savent pas encore vraiment quels sont les problèmes de charge qu'ils vont rencontrer... hormis quelques éditeurs -les plus avertis- qui ont  trouvé des laboratoires leur permettant de faire les tests nécessaires avant de mettre  leurs solutions en vente, partant du principe qu'il vaut mieux éviter les bugs plutôt que de les réparer...

Le défi des assureurs, Bien qu'il  soit entièrement responsable, le client ignore encore le plus souvent l'importance de sa responsabilité. Par exemple, nous avons constaté que de nombreux clients ignoraient si leur contrat d'assurance prévoyait la couverture des modes d'utilisation en ligne des logiciels (avec pare feu et  sauvegarde) acquis et installés au sein de leur  entreprise...

Dans le cas du Cloud, quel recours le client peut-il avoir contre son prestataire ? La réponse est: " rien ne le précise". Les polices d'assurance n'ont en effet pas encore assez de sinistres à couvrir (et donc d'expérience) pour répondre à cette question.  Plus les accidents se multiplieront sur les routes du Cloud (parsemées d'embuche), plus les assureurs feront la course pour devenir celui qui couvre -mieux que ses  confrères- les risques d'accidents dans les nuages du Cloud...

Les défis des usagers, Bien que protégé par les lois, les états et les institutions, l'usager reste le premier responsable des usages du Cloud, comme l'automobiliste reste le premier responsable de sa conduite: ce n'est pas parce qu'il va mettre sa ceinture de sécurité et respecter la limite de vitesse qu'il n'est plus responsable de sa conduite ou qu'il ne faut pas qu'il fasse attention aux dangers qui l'entourent y compris ceux provoqués par les autres usagers.

Le problème est que dans le Cloud le risque de l'entreprise ou de l'individu est nouveau et touche à des données sensibles. Le particulier peut mettre sur la place publique ses informations personnelles à travers les réseaux sociaux, et en assumer seul les conséquences. Dans une entreprise, un utilisateur ne peut pas en faire autant avec des informations qui sont la propriété de son entreprise et par conséquent qui ne lui appartiennent pas. Et s'il manipule des données même si elles ne lui appartiennent pas, il est responsable de ses actes.

Par ailleurs, il faut rappeler que le dirigeant porte la responsabilité de ses employés ainsi que du choix des prestataires et des éditeurs. Par exemple, chaque employé peut avoir -selon les instructions données par l'entreprise- une ou plusieurs identités numériques lui permettant d'accéder à un ou plusieurs sites de services en ligne. Si ces identités ne sont pas protégées dans un des sites, elles peuvent faire l'objet d'usurpation provoquant un risque d'intrusion par des pirates dans le cœur des données de l'entreprise.

Le principal défi à relever par la communauté consiste à assurer à l'usager ou à l'entreprise la possibilité de changer de prestataire ou de changer de logiciel. La plupart des offres Cloud prétendent proposer une souplesse d'utilisation tant dans la location que dans la durée d'engagement, mais il faut s'assurer que les conditions ne soient pas contraignantes et que l'on puisse effectivement  la quitter facilement. Or dans ce domaine, il faut être vigilant car il y a des promesses mensongères et nous n'en sommes qu'au début, des plateformes existent tel que le open stack ou open Cloud mais elles ne sont pas encore généralisées et nous ne savons rien sur leur efficacité ou leur limite, les développements sont en cours, les bugs encore inconnus ... le seul paramètre connu est l'absence total d'expérience de ces plateformes.

Les défis de la sécurité, les scientifiques nous le promettent:  l'homomotique (?) devrait être la meilleures sécurité pour le transit des information sur le Cloud. Mais elle est encore à l'étude et ne sera proposée par les scientifiques des centres de recherche et développement que dans trois ans... Promis...

Dans le domaine de la sécurité comme dans d'autres, on peut avoir le sentiment que l'on sait éviter les pièges ou que "les problèmes n'arrivent qu'aux autres"... mais pour ceux qui regardent la réalité en face, Acropolis the Cloud Company a mis en place une Hot Line gratuite qui vous permet de poser vos questions et dans la mesure du possible d'obtenir des réponses par des spécialistes sur l'adresse suivante : http://risque.acropolistelecom.net

Samir Koleilat Président d'Acropolis