CARTES SECURE CONNEXIONS 2014, rendez-vous international de l’industrie de la sécurité numérique, dédié aux solutions sécurisées pour le paiement, l’identification et la mobilité, sera l’occasion de faire le point sur les enjeux stratégiques du Cloud computing.

LA CONFIANCE AU CŒUR DU SUJET
L‘enjeu essentiel du Cloud computing est de recueillir la confiance des utilisateurs. Aujourd’hui, les interrogations liées à la sécurité et à la fiabilité sont le principal frein à son adoption généralisée, en particulier par les entreprises.
Les préoccupations principales tournent autour des aspects suivants :
• la gestion protégée des données,
• le contrôle des accès aux serveurs,
• la prise en compte des vulnérabilités des systèmes
• et, plus globalement, la garantie de disponibilité du service en tout temps et en tout lieu.

Le déploiement du Cloud a été initié avant que les technologies capables d’assurer son bon fonctionnement aient toutes été développées. L’adoption a partiellement précédé l’innovation. D’où un problème de confiance vis-à-vis de ce moyen nouveau de traiter les données informatisées.

 ?
Passons en revue quelques principes de base susceptibles de générer la confiance dans le Cloud.

LE CONTROLE DES DONNEES PAR LES UTILISATEURS
Il importe que les utilisateurs gardent le contrôle et la maîtrise des flux de données pour qu’ils accordent leur confiance au système. Quand les entreprises ont recours au Cloud pour gérer leurs données propres et celles de leurs clients et partenaires, elles s’engagent dans un double processus relationnel : d’une part accorder leur confiance au fournisseur de Cloud ; d’autre part s’assurer que clients et partenaires accordent également leur confiance À ce fournisseur.
Dans un contexte industriel classique, une entreprise touche un dédommagement si le service n’est pas rendu conformément aux engagements pris. Les fournisseurs de Cloud utilisent de même des « Service Level Agreements » (SLAs) pour obtenir la confiance des utilisateurs. Ce système pourrait néanmoins s’avérer inopérant pour le Cloud, pour lequel l’engagement pris consiste plutôt à prévenir toute rupture dans la chaîne de confiance qu’à garantir des dédommagements en cas de problème. Pour les entreprises, une brêche dans la sécurité des données constitue un dommage irréparable et aucune clause financière ne peut compenser la perte de données ou de réputation.

LA SECURITE : ENJEU CENTRAL
Les fournisseurs de Cloud doivent sécuriser l’environnement virtuel pour fournir des services à des clients différents et garantir l’étanchéité entre ces services. Dans un contexte de dématérialisation des données et de virtualisation des services, les questions liées à la sécurité sont multiples : gestion de l’identité, perte de données liée à la multiplicité des acteurs intervenant dans la chaîne physique de traitement, contrôle d’accès, protection de la machine virtuelle, prévention des cyber-attaques,…
Les moyens à mettre en œuvre reposent largement sur le cryptage des données, en particulier l’identité et les données personnelles des utilisateurs. Ils doivent également garantir l’intégrité des contenus, notamment par le biais de la signature électronique.
Par ailleurs, les techniques avancées de cryptologie doivent permettre d’assurer la confidentialité des échanges. A titre d’exemple – et bien que ce soit encore au stade de la recherche – les fournisseurs de Cloud peuvent traiter des données cryptées sans avoir à les décrypter. Ils peuvent aussi utiliser partiellement les techniques d’encodage pour éviter que le serveur ne révèle ou même ne décrypte les données codées.

L’ACCES A DISTANCE
Les clients des services Cloud ont besoin de pouvoir contrôler à distance la gestion de leurs données, quel que soit l’endroit physique où est installé leur fournisseur. En parallèle, le système doit permettre de calibrer et de tracer l’accès aux données des utilisateurs, permettant ainsi au client d’activer ou de désactiver les modes d’accès à des sites distants.

LA TRANSPARENCE DES FOURNISSEURS DU CLOUD
Cependant, les défis du Cloud ne sont pas entièrement liés à la technologie. Le manque de confiance tient également à l’absence de transparence, à la perte de contrôle sur le patrimoine de données et à une situation d’incertitude en termes de garanties de sécurité. La transparence aide les clients à déterminer a priori si la fiabilité du service est basée sur des profils de sécurité garantis, basés sur une analyse des forces et des faiblesses du fournisseur, en fonction desquels la politique de sécurité de l’entreprise peut et doit être définie. Cela permet à l’entreprise de déterminer si elle doit prévoir des dispositifs additionnels de sécurité pour pallier les vulnérabilités détectées dans le Cloud. Cette possibilité, couplée au dispositif automatisé de traçage des données, l’aidera à localiser les emplacements des divers nœuds de la chaîne du Cloud, lui permettant de savoir où ses données sont stockées et traitées.

VERS UN CLOUD DIGNE DE CONFIANCE
Au final, les moyens permettant de rendre le Cloud digne de confiance peuvent différer légèrement de ceux applicables à d’autres systèmes, mais l’objectif fixé reste le même : augmenter la performance et la compétitivité en s’appuyant sur de nouvelles technologies, lesquelles construisent graduellement leur réputation sur la base du retour d’expérience des utilisateurs. Les problèmes de sécurité rencontrés par certains fournisseurs de Cloud ont conduit les clients à prendre davantage conscience des risques encourus. C’est en assurant la transparence dans les processus et en offrant un contrôle accru de leurs données à leurs clients que les fournisseurs de Cloud obtiendront leur confiance.

CLOUD PRIVE, VS CLOUD PUBLIC

• Dans un Cloud public, une entreprise peut se décharger de ses tâches informatiques auprès d’un fournisseur de Cloud externe.
• Dans un Cloud privé, les services informatiques et les ressources restent dans le périmètre du réseau privatif de l’entreprise, de telle sorte que l’entreprise conserve la maîtrise de ses tâches informatiques.
• Un Cloud hybride est la combinaison des deux. Imaginons, à titre d’exemple, une entreprise qui gère des milliers d’images médicales provenant de ses clients. Ces images sont extrêmement sensibles et l’entreprise doit garantir leur confidentialité.

Celle-ci peut choisir d’utiliser un fournisseur de Cloud hybride pour assurer à la fois le traitement et l’archivage des images, tout en gardant en interne le contrôle des activités amont, par exemple, le développement de nouvelles images ou d’algorithmes d’extraction de données.

QUELQUES EXEMPLES DE SCENARIOS D’USAGE

Cloud et gestion des données médicales
Les échanges de données médicales entre praticiens de médecine générale et hospitaliers peuvent à coup sûr être gérés de façon plus économique et efficace via le Cloud. Toutefois, les risques liés à la protection des données personnelles freinent aujourd’hui ce type d’approche. Les droits d’utilisation (accéder-éditer-supprimer) doivent être soigneusement définis entre utilisateurs agréés. Des techniques de cryptage de bout en bout et d’anonymisation peuvent apporter des solutions, mais dans le même temps elles restreignent sérieusement les cas d’usage.

Cloud et Gestion transfrontalière des données personnelles
Le stockage de données personnelles dans les Clouds publics pose problème quand la gestion de ces données est protégée par la loi. Quand le cadre légal varie d’un pays à l’autre, l’usage du Cloud devient complexe. De la même manière, les lois peuvent varier sur les exigences en matière de sécurité des systèmes d’information. Par exemple, l’existence ou non d’une ‘CNIL’ ou du contrôle des centres de traitement de données, prévus par la loi dans certains pays et pas dans d’autres…

Cloud et gestion de la propriété intellectuelle (IP)
Confier la gestion d’informations soumises à des droits de propriété intellectuelle peut s’avérer complexe, au vu de l’obligation tant économique que juridique de contrôler les données. Dans le secteur des médias, la diffusion par Cloud peut se heurter à des règles prises antérieurement qui fixent les régimes de licence et d’autorisation. D’autres industries à forte composante IP, par exemple l’automobile ou la chimie, privilégient le Cloud privé plutôt que public pour conserver le contrôle de leurs infrastructures de gestion de données.

Le Cloud et la recherche scientifique
La communauté scientifique a clairement besoin d’une infrastructure informatique puissante, efficace et fiable, capable de l’aider à faire progresser ses recherches sans l’exposer à la perte ou à la corruption de données ou encore à l’intrusion. Plusieurs initiatives soutenues par l’Union Européenne y travaillent, notamment le projet Helix Nebula, qui associe les scientifiques et les industriels autour de la construction d’un « Cloud de la science ».

SUR CARTES SECURE CONNEXIONS 2014, DES SOLUTIONS PROMETTEUSES POUR LE CLOUD

Des solutions issues de l’industrie de la carte à puce existent pour sécuriser le Cloud, notamment sur mobile, dans un contexte multicanal et multi-applications. Ces solutions intègrent des éléments-clés susceptibles de favoriser la confiance : authentification forte des utilisateurs, accès sécurisé aux ressources, systèmes de propagation d’identité, intégrité et confidentialité des données par chiffrement des contenus.

En 2014, CARTES SECURE CONNEXIONS constituera un véritable carrefour stratégique mondial pour les professionnels de ce secteur. Les entreprises qui participent à l’événement, en tant qu’exposants ou conférenciers, y présenteront les toutes dernières innovations en termes de sécurité pour le paiement, l’identification et la mobilité.