Sécurité infonuagique : mythe ou réalité?

Les données dans le nuage sont-elles à l’abri? Pas forcément.

Comme le montrent les résultats de notre sondage sur le nuage, les données migrent vers les cieux à la vitesse grand V, dans tous les types d’organisations. Mais y sont-elles en sécurité ou, au contraire, plutôt fragilisées?

La sécurité infonuagique reste un sujet complexe – et controversé – qui suscite des avis divergents. Pourquoi? Parce qu’il existe différents types de service de transfert dans le nuage, assortis de risques différents. Voici les trois principaux outils :

  • Logiciel-service : Salesforce, Netsuite et services aux consommateurs comme Facebook
  • Infrastructure-service : Microsoft Azure et Amazon Web Services
  • Plateforme-service : Google App Engine et IBM Bluemix

Pour compliquer les choses, chacun de ces services peut être hébergé en environnement privé, public ou hybride. Désorienté? Si les particularités des différentes plateformes vous intriguent, lisez notre article sur l’infonuagique.

Afin de dénouer l’écheveau de la sécurité infonuagique, nous nous sommes entretenus avec deux experts, Paul Cleary de Horn IT Solutions, à Toronto, et un spécialiste de Google, qui a tenu à garder l’anonymat. Voici certaines de leurs réflexions.

le nuage au banc des accusés

Les craintes que suscite la sécurité infonuagique ne datent pas d’hier. Pourtant, avant que l’infonuagique ne se généralise, les services de gestion de la paie comme ADP offraient déjà un système équivalent à leurs clients. Le hic, c’est que le grand public a désormais accès lui aussi au stockage de données dans le nuage, d’où une prise de conscience. Corollaire obligé, les cas de piratage font grand bruit. En réalité, la plupart des récentes atteintes spectaculaires à la sécurité des données n’ont pas eu lieu sur une plateforme infonuagique. Dans un article de Law Technology Today, les lecteurs étaient invités à se demander si les infractions suivantes avaient été commises dans le nuage ou par des interventions sur un serveur local :

  • Divulgation des données de la NSA par Edward Snowden
  • Cyberattaque contre la banque JP Morgan Chase
  • Vol des données de Home Depot
  • Vol des photos de Jennifer Lawrence sur iCloud
  • Vol des données de Target
  • Piratage de Sony par la Corée du Nord 

Il s’avère que seul le vol des photos de Jennifer Lawrence sur iCloud a été commis dans le nuage. Et dans cette affaire, les intrus sont parvenus à accéder au compte iCloud non pas en menant une cyberattaque ultra complexe ou en exploitant de subtiles faiblesses logicielles, mais en piratant un mot de passe trop faible. Les autres attaques, quant à elles, ont été commises sur des serveurs locaux, dans des systèmes d’entreprise, surveillés par une équipe des TI.

Alors, peut-on faire entière confiance au nuage? Bien sûr que non.

LE DÉFAUT DE LA CUIRASSE

1. Données déverrouillées : Autrefois, les services internes des TI verrouillaient, dans la limite de leurs compétences, les données de l’entreprise. Mais aujourd’hui, n’importe quel travailleur peut déplacer des masses de données confidentielles vers des plateformes infonuagiques comme DropBox, Google Drive et Microsoft OneDrive. Le contrôle de l’accès dépend désormais des employés, qui fragilisent les données, par inadvertance ou sciemment. Il suffit de sauvegarder des données confidentielles sous un format non chiffré, et les pirates s’engouffreront dans la brèche. Et comme le souligne un article du Toronto Star, les employés imprudents sont susceptibles de mettre en péril les données en les faisant transiter par un réseau sans fil public.

2. Non-respect des procédures : Certains fournisseurs de services prétendent assurer la sécurité des données, mais n’offrent pas un contrôle complet, qui doit comprendre la détection des intrus. Lorsqu’on se penche sur les clauses du contrat, on constate que l’utilisateur doit prendre en charge certains aspects. En est-il bien conscient et saura-t-il suivre les procédures prescrites? Selon un article récent de Gartner, d’ici l’an 2020, l’utilisateur sera en faute dans 95 % des cas d’atteinte à la sécurité infonuagique. C’était certes déjà le cas lorsque les données étaient conservées dans les serveurs de l’entreprise, mais le risque s’amplifie dans le nuage, car l’entreprise est davantage tributaire du fournisseur.

Par le passé, les entreprises hésitaient à verser leurs données confidentielles (et si précieuses) dans le nuage. Toutefois, l’infonuagique étant devenue pratique courante depuis quelques années, elles s’en méfient moins. La plupart des PME se rendent à l’évidence : dépourvues de l’arsenal de compétences exigé pour mettre leurs données à l’abri des escrocs, elles s’en remettent au savoir-faire de leurs fournisseurs de services infonuagiques. Ces derniers ont dû redoubler de vigilance et renforcer les fortifications pour édifier des citadelles imprenables. Leur réputation, et, par ricochet, leur chiffre d’affaires, dépend de la sécurité infonuagique.

À propos des auteurs

Michael Burns


Michael Burns, MBA, CPA, CA, est président de 180 Systems (180systems.com), cabinet-conseil indépendant dont les services comprennent notamment l’analyse des processus, la sélection de systèmes, la constitution de dossiers justificatifs et la gestion de projet.

Margaret Craig-Bourdin


Margaret Craig-Bourdin, M.A., DEA, DESS, est rédactrice en chef, édition Internet, pour CPA Magazine.

comments powered by Disqus

Faits saillants

Le Canada célèbre son 150e anniversaire. Quant à nous, nous fêtons nos membres, les CPA canadiens. Dites-nous pourquoi vous portez avec fierté le titre canadien de CPA. C’est une fierté à partager : nous préparons une grande fête en juillet.

Participez à ce rendez-vous annuel (en anglais) des dirigeants financiers d’OSBL pour obtenir des conseils sur la gestion de votre organisation et tirer parti des connaissances d’experts.