La RSA Conference réveille un peu l’actualité « Cloud Computing ». Avec notamment l’annonce de Computer Associates qui annonce son ralliement à la Cloud Security Alliance (CSA)et sa promesse de contribution au prochain « guide de la sécurité dans le nuage ». Hewlett Packard, de son côté, et toujours pour le compte du CSA, vient d’achever la rédaction d’un rapport intitulé « Les menaces majeures du Cloud Computing ». 14 pages d’analyse des risques potentiels qui entourent l’informatique nébuleuse. Car aussi dématérialisée soit-elle, l’informatique vaporeuse souffre plus ou moins des mêmes maux que son ancêtre : botnet à la sauce Zeus, troyen voleur de crédences et d’identités, accès non autorisé à des ressources, ennemi intérieur, vulnérabilité au niveau des partages, fuite d’information, détournement de trafic et de comptes… à cela faut-il encore ajouter les risques propres aux techniques Cloud, et notamment les failles que l’on pourrait trouver dans ces mille et une API chargées de présenter de manière unifiée les données et services provenant de multiples points répartis sur la planète.
La lecture du document HP nécessite un préalable à la fois sémantique et technique. Car les néologismes, les sigles, les nouveaux modes de travail finissent rapidement par former un joyeux mélange. De la collocation au Saas, Paas, Haas et autres services immatériels, il est utile de se reporter au petit lexique publié par le Sans il y a quelques semaines. Un lexique s’étendant sur deux volets fort bien vulgarisé.
Une fois ces principes de base acquis, l’on peut aborder franchement les articles parfois dérangeants de Hoff dans les colonnes de Rational Survivability. Hoff qui, fin janvier dernier, titrait paradoxalement « La sécurité du Cloud n’a aucune importance »… Ou plus exactement revêt nettement moins d’importance que les contraintes de conformité. Si, au moment de migrer vers une infrastructure répartie l’entreprise est scrupuleusement conforme et normée, les questions de sécurité se résoudront d’elles-mêmes. A l’occasion de la RSA conference, c’est la fille de Hoff, âgée de 6 ans, qui prend le relais et parle de rationalisation du Cloud et de respect des politiques de mots de passe complexes. Le Cloud Computing ? Mais c’est presque simple.
Mais les réticences sont encore vives.Art Coviello, patron de RSA déclarait lors de son discours d’ouverture « Quelque chose bloque la pleine réalisation de la vision Cloud. Et en un mot c’est la sécurité. Avec 51 % de CIOs citant la sécurité comme leur plus grand souci en ce qui concerne le Cloud computing, il est clair que la sécurité n’a pas suivi le rythme de l’évolution vers le Cloud que l’on constate aujourd’hui dans des entreprises de plus en plus virtualisées et hyper-étendues. Nous avons ainsi sévèrement réduit la vision cloud et les conséquences sont évidentes. Bref, où qu’ils se trouvent, les gens doivent être capables d’avoir confiance dans le Cloud, même si littéralement et métaphoriquement ils ne peuvent pas le voir. »
Et l’on se doit d’ajouter que c’est un patron américain qui parle à des patrons américains, et donc potentiellement clients d’entreprises américaines, c’est-à-dire situées dans le périmètre de recours juridique d’un même pays, et craignant moins qu’un patron européen l’expatriation de leurs propres données.
Partis sur une telle lancée, on ne peut passer à côté… d’une troisième étude, celle de Sterling Commerce. « 72% des entreprises européennes prévoient de recourir aux services d’intégration B2B disponibles sur le Cloud pour réduire leurs coûts. 65 % des personnes interrogées considèrent la sécurité comme l’aspect le plus important d’un service d’intégration B2B reposant sur le Cloud ». Au temps pour Hoff. Et l’étude de continuer « Plus de 50% d’entre elles indiquent que ce choix va diminuer les coûts opérationnels, grâce à une meilleure affectation des ressources informatiques et à une meilleure planification des dépenses. Plus de 35% des personnes interrogées estiment que les erreurs résultant des processus manuels diminueront ; ce sont ces traitements manuels qui constituent le principal obstacle à leurs capacités d’intégration B2B, et près d’un tiers des répondants espèrent gagner en visibilité à travers leurs processus B2B »
