Eric Domage, Thierry Auger, Thierry Evangelista, Christiane Feral-Schuhl

Eric Domage a montré que le « Cloud Computing » était un concept poussé par les offreurs de solution à la recherche de croissance. En effet, dans la plupart des domaines de l’IT la croissance est ralentie du fait de la maturité des marchés, seul le « Cloud Computing » bénéficie d’une croissance soutenue même si en part de CA, il ne représente que 4% du marché avec une prévision de 9% en 2012, mais avec un taux de croissance de 27%/an. La sécurité n’échappe pas à cet engouement, même si les services sont traditionnellement une activité présente depuis de nombreuses années. En effet, certains domaines comme le test d’intrusion, la formation, la recherche de vulnérabilité… sont des activités développées dans la sécurité. Ainsi, la Sécurité As A Service (SaaS) devrait bénéficier d’une croissance relativement soutenue dans les prochaine années, même si 2009 ne devrait pas être une bonne année avec une croissance inférieure à 10%. Par les activités concernées on recense :

– l’externalisation des tâches à faible valeur ajoutée comme la gestion des vulnérabilités, le patch management…
– l’externalisation de la complexité comme l’audit, le test d’intrusion, la veille…
– la gestion des coûts cachés générateurs d’économie.

Les fournisseurs sont nombreux à s’engouffrer dans ce domaine, Eric Domage a cité entre autre, IBM, Qualys, Postini racheté par Google, Iron Mountain, Microsoft, Amazone, Symantec…

Eric Domage pour conclure son intervention a rappelé que le Cloud Computing est semble-t-il un effet de mode qui ne représentera que 10% de part de marché d’ici 2012.

Pas de « Cloud Computing » sans suivi dynamique du SI

Pour Thierry Auger de retour d’un voyage d’étude aux Etats-Unis à la rencontre des principaux acteurs du Cloud Computing estime que vis-à-vis de cette technologie, il ne faut pas faire de blocage. Pour passer sa sécurité dans les « nuages » il faut bien connaître le patrimoine de l’entreprise pour limiter les parties à externaliser. Il faut aussi prendre le temps de réaliser des études complètes de bout en bout et mettre en place un système d‘authentification de tous les accès. L’entreprise a aussi besoin d’établir une nouvelle validation du « pack sécurité ». Il faut aussi maîtriser la gestion de la sécurité aux frontières de l’entreprise et intégrer dans l’offre tous les éléments destinés à la gestion de la sécurité. Il est nécessaire de maîtriser les adresses IP, de faire un suivi dynamique des tentatives d’intrusion... Il est donc aussi important de réaliser des tests d’intrusion réguliers afin de vérifier la solidité de la solution choisie. Enfin Thierry Auger a recommandé de suivre les travaux de la Liberty Alliance sur la fédération des identités où sont regroupés la plupart des acteurs du « Cloud Computing ».

Pour lui, le « cloud » est sans doute une source d’opportunités surtout en termes économique. Il permet aussi de revoir sa sécurité avec de véritables règles, d’avoir plus de flexibilité. Enfin, il permet de simplifier des projets comme le PRA. Toutefois, il faut aussi mettre en place avec son fournisseur des contrats exhaustifs qui prennent en compte toutes les contraintes de l’entreprise comme le SLA, les réglementations de la CNIL, la traçabilité, les législations SoX, Bâle II…

« Cloud Computing » tout est une question de contrats bien ficelés

Effectivement, a repris Christiane Feral-Schuhl les problématiques sont nombreuses dans le domaine du « Cloud Computing ». Elle a recensé 4 risques principaux et pour chacun d’entres eux, elle a donné des éléments de solution :

– La continuité de services avec entre autre les problèmes d’interruption de service. Pour y remédier il faut définir un mode opératoire avec des délais impératifs d’intervention. Aujourd’hui, il est possible d’imposer une continuité de 97% voir de 100% a rajouté Thierry Evanglista, mais avec un coût plus important.

– La récupération de données, en particulier se pose souvent le problème de ne pas pouvoir récupérer les données confiées. Pour y remédier, il s’agit d’inclure dans le contrat une accessibilité aux données, mais aussi d’anticiper les fins de contrats et d’avoir un plan de réversibilité ou qui organise le transfert des données.

– La sécurité des données en particulier des données à caractère personnelle. Bien sûr, il faut prendre des mesures techniques comme le chiffrement des données, la gestion des habilitations, mais aussi procéder à des audits réguliers. Il faut aussi mettre en place des procédures de secours informatiques.

–  La traçabilité, le problème est de ne pas pouvoir répondre aux injonctions de la justice en particulier sur les données de connexion. Le remède est de déployer des outils de traçabilité des accès aux données.

Thierry Evangelista pour conclure a rappelé que depuis le début janvier 2009 les professionnels du Cloud Computing ont fondé un consortium : l’Open Cloud Computing (OCC) www.opencloudconsortium.org/.