Quel cloud après Prism ?

Au lendemain des révélations d’Edward Snowden sur le système d’écoute baptisé Prism, et organisé par les services de renseignements américains, les entreprises françaises et européennes ont eu plusieurs types de réactions. Leur point commun ? Elles ont réalisé l’importance de maîtriser leurs données sensibles. Nous sommes allés à la rencontre de différents acteurs du secteur, qui ont dû faire face à cette vague de méfiance, vis-à-vis de l’externalisation des données… La plupart d’entre eux confirment que le Cloud computing français est le grand gagnant de ce scandale. Vous avez dit « souverain »?

INF116_200pxPlus d’une entreprise non américaine sur deux (56 %) affirme être moins disposée que par le passé à utiliser les services de fournisseurs de Cloud américains, selon une étude de l’association internationale Cloud Security Alliance (1). L’étude révèle encore que 10 % de ces entreprises ont même pris la décision d’annuler un projet avec un prestataire outre-Atlantique. S’il y a une victime de l’affaire Prism, c’est certainement le Cloud américain. En France, ce sont des clients de tout type – des particuliers, des DSI de grands groupes, des patrons de PME – qui se sont pressés de demander des explications, au lendemain des révélations du dossier « Prism ». Ils ont été nombreux à avoir eu besoin d’être rassurés et sensibilisés face aux éventuels dangers qui menacent leurs données. Hébergeurs français, directions commerciales, centres support ou encore responsables sécurité… tous ont eu à répondre aux inquiétudes de leurs clients. Quelles étaient les véritables interrogations de ces clients français ?

Cédric Prévost, directeur de la sécurité chez Cloudwatt

Cédric Prévost, directeur de la sécurité chez Cloudwatt

C’est une pluie de doutes qui s’est mise à tomber. Cédric Prévost, directeur de la sécurité chez Cloudwatt, l’a bien observé : « Nous ressentons clairement depuis quelques semaines l’inquiétude de nos clients : ils nous demandent en quoi nos solutions les mettent à l’abri du système Prism. Nous avons observé une augmentation d’environ 200 % de questions de ce type.» Pour commencer, la première interrogation des entreprises françaises a été de savoir si elles étaient « concernées ». Gérôme Billois, administrateur au Clusif et manager sécurité et gestion des risques chez Solucom, a eu de très nombreux retours : « Les entreprises nous demandent si elles peuvent être ciblées et ce qu’elles peuvent faire pour se protéger. Les RSSI, les administrateurs sécurité, etc., avaient déjà entendu parler d’Echelon [le réseau Echelon est un système mondial d’interception des communications privées et publiques impliquant les États-Unis, le Canada, l’Australie et le Nouvelle-Zélande,ndlr], il y a quelques années, ainsi que chez nous, du système d’écoute mis en place par la DGSE. Cette surveillance des États était déjà connue de la communauté sécurité. Mais elle a permis de découvrir plus de détails : le grand public a découvert la portée et la précision sur les mécanismes.» Certains clients de Solucom ont même demandé à Gérôme Billois, de chiffrer leurs échanges par mail alors que ceux-ci n’étaient pas particulièrement sensibles.

Pascal Colin, PDG de Keynectis-OpenTrust, le confirme également, les écoutes organisées par la NSA sont loin d’avoir surpris tout le monde, notamment dans les services de sécurité des systèmes d’information : « Mais cette affaire est l’occasion pour les responsables de la sécurité des entreprises de se faire davantage écouter par leur direction générale

« Le maçon de Corrèze, qui gère cinq ou six ouvriers, n’est pas traumatisé outre-mesure… Il n’en a rien à faire de Prism ! »

De son côté, Jules-Henri Gavetti, PDG de la société Ikoula, hébergeur informatique français, propriétaire de son infrastructure, a observé que Prism n’a pas eu d’impact sur les PME de petite taille, qui ne se sentent pas concernées par ces menaces d’écoutes : « Le maçon de Corrèze, qui gère cinq ou six ouvriers, n’est pas traumatisé outre-mesure… Il n’en a rien à faire de Prism ! » Ce qui n’est à l’évidence pas le cas des entreprises détentrices de brevets industriels ou de plus de deux cents employés. Prism a surtout accentué l’urgence de sensibiliser plus souvent et plus précisément les entreprises aux problématiques de sécurité. Peuvent-elles encore s’appuyer sur des services comme Amazon ou Google après ces révélations ?

Entre prise de conscience et inquiétude

Spécialiste du droit de l’informatique, l’avocat Étienne Drouard, relate qu’un grand groupe français, présent dans plus de 70 pays, était à un mois de conclure la signature d’une solution externalisée de Cloud américain. Il a finalement décidé de passer trois mois de plus à réfléchir à une solution internalisée de Cloud. Au-delà des simples questionnements et inquiétudes, certaines sociétés passent à l’action… ou plutôt à l’inaction. En effet, c’est un mouvement général d’immobilisme que nous observons actuellement au sein des entreprises françaises qui ont décidé de reconsidérer les enjeux géopolitiques de leur stratégie d’externalisation. Il est important de différencier les données « confidentielles » ou « très confidentielles » du reste des données. Un grand nombre d’informations sur les entreprises sont déjà plus ou moins du domaine public. Il y a donc assez peu de risque de les externaliser dans le Cloud, contrairement aux données dites « sensibles » qui touchent au patrimoine de l’entreprise.

64bf16ddbe3bec1d2f0619b24dec269f

Gérôme Billois, administrateur au Clusif et manager sécurité et gestion des risques chez Solucom

Gérôme Billois rappelle un des principes essentiels, dans le domaine de la sécurité : on n’est jamais sûr à 100 %… « On ne peut jamais dire qu’il n’y a aucun risque. Si vous mettez vos données chez un fournisseur américain soumis à la loi des États-Unis, il suffit d’une requête judiciaire pour accéder à vos données. Si vous les hébergez en France, par exemple, il faut quand même que les services de renseignement soient plus offensifs, s’ils veulent accéder à vos informations, qu’ils passent par une de vos boîtes mail, en rebondissant sur le système Internet, etc. C’est une démarche beaucoup plus longue, complexe, visible, et moins probable en termes d’occurrences », explique-t-il.

Efficacité ou sécurité, il faut choisir…

En mai dernier, quelques jours avant les révélations sur le programme Prism, Veolia Environnement, leader de la gestion de l’eau, des déchets, de l’énergie et des transports, annonçait fièrement sa décision de remplacer ses quelques 300 systèmes de messagerie par un système collaboratif homogène, dans la lignée du plan d’efficacité du groupe. La multinationale française a choisi la solution de Google Apps for Business ! Ainsi, plus de 35 000 comptes de messagerie en France migreront d’ici à la fin de l’été ; et à la fin de l’année, ce seront plus 80 000 collaborateurs du groupe qui bénéficieront de cette solution Google. À cette occasion, le directeur Europe du Sud de Google Enterprise, Éric Haddad, en a profité pour rappeler que 10 % des entreprises du CAC 40 utilisaient la suite Google de messagerie et d’outils collaboratifs pour leurs échanges : « Nous sommes fiers de participer au projet de transformation et de réduction des coûts du Groupe Veolia. La solution Google Apps for Business offre maintenant aux collaborateurs de Veolia, des outils simples et performants qui facilitent la collaboration en temps réel et la mobilité.»

Pour Cédric Prévost, chez Cloudwatt, s’appuyer sur des services comme Amazon ou Google pour les entreprises, c’est accepter que son contenu soit soumis au Patriot Act et au Fisa. « Les révélations de Prism prouvent que cette migration est une très mauvaise idée pour protéger les informations stratégiques.»

Des décideurs paralysés

« Trois de nos clients, responsables d’entreprise de taille intermédiaire, m’ont avoué avoir été un peu pris de panique et aujourd’hui, préfèrent simplement attendre », témoigne Jules-Henri Gavetti, chez Ikoula : « Certaines entreprises ont une infrastructure qui fonctionne mais qui devient vieillissante. Cependant, si votre voiture fonctionne bien, en période de disette vous n’allez pas la changer...» Même si certaines inquiétudes ont surgi ces derniers temps, il semble que tout le monde s’accorde à dire qu’il est encore trop tôt, pour le moment, pour déterminer si l’affaire Prism aura une conséquence sur le comportement des entreprises et leur confiance envers les services d’externalisation de données. « Aujourd’hui, en tant que fournisseur,nous ne pouvons pas dire qu’il y a un changement de comportement mais cela ne veut pas dire qu’il n’y en aura pas ! Jusqu’à présent, aucun de nos clients n’a changé sa politique, mais la raison principale vient probablement du fait que nos clients sont de grands groupes et qu’ils ont déjà été sensibilisés à ce genre de risque, bien avant Prism. Ils ont les moyens d’être équipés d’une équipe de sécurité informatique, qui a déjà sensibilisé la direction générale », continue Pascal Colin.

Gérôme Billois fait en tout cas un constat net : « Désormais, nous n’aurons plus de remarque de donneurs d’ordre métier du type : « Mais vous croyez vraiment que la NSA nous surveille ? » L’incrédulité ne vaut plus, les preuves ont été fournies. Nous savons maintenant que c’est possible, à grande échelle, et de manière industrialisée.»

Les données aussi ont leur part d’ombre

shadow_itUn autre risque est souligné : ce qu’on appelle le « Shadow IT », c’est-à-dire, l’ensemble des systèmes d’information et de communication utilisés par les employés d’une entreprise sans l’approbation de leur DSI. C’est le cas, très concret et fréquent, d’employés qui échangent des documents professionnels via le service Dropbox, par exemple. Pour stocker les fichiers, ce service utilise le service d’hébergement… d’Amazon. Or, certains employés peuvent échanger sur des projets importants pour l’entreprise ! Et ce, dans le dos des DSI, qui dès lors ne maîtrisent plus la manière dont ces informations, soumises à Prism, sont échangées. Une récente étude (2) commandée par la société américaine VMware, intitulée « Shadow cloud IT », a mesuré l’important de ce phénomène. En France, ce détournement représenterait environ 1,7 million d’euros par entreprise, en moyenne, contre 1,6 million sur l’ensemble des autres pays interrogés, soit environ 15 % du budget informatique total. Pour les DSI européens, c’est inéluctable car ils n’ont eux-mêmes pas la capacité de répondre à certaines demandes de services de l’entreprise. « Les employés contournent souvent le service informatique pour acheter des services cloud dans le but d’être plus efficaces pour l’entreprise », a précisé Marc Frentzel, directeur technique de VMware pour la France et l’Afrique. Toujours selon cette étude, si pour les DSI européens, la sécurité est en deuxième position parmi les préoccupations des entreprises, elle n’est qu’en troisième position en France, derrière la création de silos distincts entre les produits et les données.

Bisbilles autour du Cloud souverain…

Pascal Colin

Pascal Colin, PDG de Keynectis-OpenTrust

S’agissant du Cloud computing, Pascal Colin, chez Keynectis-OpenTrust, tempère : « Cloud ne veut pas dire insécurité : il faut accepter certaines règles, comprendre le mode de transmission des données dans le Cloud. De plus, il y a les données en clair, les données chiffrées… qui n’ont pas le même niveau de sécurité.» Le marché du Cloud computing va-t-il être touché par ce séisme médiatique lancé par Edward Snowden ? À qui profite le crime ? Au Cloud français ? Européen ? Ce sont les questions débattues actuellement au sein de la communauté de la sécurité. Une discussion dont certains acteurs se sentent exclus, quand d’autres sont soutenus financièrement et médiatiquement par l’État. Le 11 juin dernier, à l’Assemblée nationale, s’ouvrait un débat intitulé « Internet et les données personnelles ». La ministre déléguée à l’économie numérique, Fleur Pellerin, a annoncé, à cette occasion, l’urgence de mettre en place un Cloud souverain : « Nous prenons aujourd’hui conscience, peut-être un peu tard, de la nécessité à être moins dépendants des infrastructures, des plates-formes ou des points d’accès à Internet autres qu’européens. La nécessité d’avoir un Cloud souverain se pose avec une grande acuité.» Pour sa part, l’État a investi 75 millions d’euros dans Cloudwatt et Numergy, qui sont désignés, de ce fait, tous les deux comme « Cloud souverain ». Cloudwatt, créé par Thales (22,5% des parts), Orange (44,5 %) et la Caisse des Dépôts (33,5 %), ne propose, depuis mi-mars, qu’une offre bêta. Toutes les entreprises ayant fait la demande pour l’obtenir n’ont pas eu de réponse positive car l’entreprise a préféré sélectionner les acteurs qui pouvaient offrir un retour intéressant. Ainsi, plusieurs centaines, selon Cédric Prévost, l’utilisent actuellement. Suite à cette « période de roodage » l’offre commerciale devrait être lancée fin septembre. Cloudwatt a également annoncé plus de 500 recrutements d’ici à 2018. Numergy, anciennement baptisé projet Andromède, de son côté, est détenu par SFR (47 %), Bull (20 %) et la Caisse des Dépôts (33 %). Si Cloudwatt est parti de rien,les offres de Numergy, disponibles depuis septembre 2012, reposent sur les infrastructures de SFR.

« Il y a un risque d’amalgame, au niveau des clients français, qui pourraient imaginer qu’en France, nous ne sommes pas prêts, et qu’il n’y a pas d’offre. »

Cette autoproclamation de « Cloud souverain » n’est pourtant pas du goût de tout le monde… Notamment, du côté de la concurrence, pour qui ces termes « polluent le débat ». « Nous avons des actionnaires français, des dirigeants français… En quoi ne sommes-nous pas aussi un Cloud souverain ? Il y a un risque d’amalgame, au niveau des clients français, qui pourraient imaginer qu’en France, nous ne sommes pas prêts, et qu’il n’y a pas d’offre », s’exclame Jules- Henri Gavetti : le PDG de l’hébergeur Ikoula propose, pour permettre à tous les acteurs d’être à égalité, un site avec une bannière de l’État français – du ministère de l’Industrie – qui présenterait toutes les offres de Cloud (infrastructures, messageries, etc.) détenus par des entreprises françaises. « Les clients s’apercevraient alors qu’il y a plein de solutions ! », finit-il.Pour lui, il existe une centaine d’offres, en France, qui ne sont pas du tout référencées mais qui sont pourtant « souveraines ».

Capture d’écran 2013-11-19 à 13.49.54

Battre le fer quand il est chaud

En France, la tendance n’était déjà pas à l’externalisation des données. Quand elle le fait, l’entreprise française est incitée à faire appel à un prestataire garantissant le lieu de stockage des données et le mode de stockage et de transmission (le chiffrement et la technologie de Cloud). Pourtant, malgré le récent scandale venu des États-Unis et en dépit des nouvelles menaces qui pèsent sur leurs données, tous les acteurs interviewés sont unanimes sur l’état de santé à venir du marché du Cloud français : il se portera bien et n’en sera pas affecté. Voire, il en profitera ! Les entreprises françaises seront de plus en plus amenées à choisir un Cloud sur leur propre territoire, ou plus largement un Cloud européen. Cédric Prévost, chez Cloudwatt, tente de défendre ainsi sa future offre : « Le marché du Cloud réduit les coûts de possession informatique : il y a moins de matériels à acheter, d’élasticité par rap- port à la demande, etc. L’intérêt économique est intrinsèque à l’évolution du Cloud. Nos systèmes de contiennent pas de back door et l’Open Source est au cœur de notre infrastructure : le code source est disponible sur Internet, nos clients peuvent modifier leur système eux-mêmes. Les entreprises européennes doivent maîtriser de manière volontaire et claire leurs données et leurs informations stratégiques.» Il lui apparaît aujourd’hui impensable, pour des sociétés françaises, de s’appuyer sur des hébergeurs américains pour stocker les dossiers sensibles – échanges avec les collaborateurs, messageries Internet, etc. :

« C’est les donner aux services des États-Unis et s’exposer complètement en termes d’intelligence économique. Cette prise de risque est disproportionnée », conclut-il.

Selon Gérôme Billois, un grand nombre de projets d’étude de chiffrement dans les solutions cloud sont observés : « La technologie existait déjà, mais les révélations ont augmenté l’intérêt des entreprises pour ces solutions-là. Ce qui est important n’est pas le chiffrement en tant que tel mais son implémentation. C’est comme si vous aviez une porte avec une serrure de très bonne qualité : si la serrure est mal installée, ça ne sert à rien ! » Il est également important de maîtriser la gestion des « clés » de la serrure. Si les clients veulent vraiment être indépendants du fournisseur, ils doivent les gérer eux-mêmes. « On ne peut pas encore donner un double des clés au prestataire en faisant en sorte qu’il ne pourra jamais déchiffrer sans votre propre trousseau », termine-t-il.

En juillet dernier, Google annonçait vouloir renforcer la sécurité de son service de stockage de fichiers Google Drive. L’accès aux documents sera protégé par une clé de déchiffrement. Pour le moment, seule une partie des fichiers sur ces serveurs,est chiffrée. Une façon pour Google, décrié dans le dossier Prism, de rassurer sa clientèle et de récupérer sa confiance. Pas sûr que ce genre d’initiative permette de faire passer la pilule…

Maître Drouard conclut avec une note d’optimisme pour le marché français qui, plus que jamais, doit profiter de cette vague de méfiance envers les solutions américaines : « Je ne suis pas certain qu’il suffise de faire peur sur la sécurité nationale américaine pour être un bon prestataire de Cloud européen. Néanmoins, c’est tout de même une chance de communication que tout le monde n’a pas.»

Margaux Duquesne

(1) L’étude a été réalisée sur 500 des 48 000 membres de la Cloud Security Alliance (CSA).

(2) L’étude « Shadow cloud IT » a été menée par Vanson Bourne et commandée par VMware. L’enquête a interrogé 1500 décideurs informatiques, 3000 salariés d’entreprises entre 100 et 5000 salariés issus de cinq pays (Grande-Bretagne, France, Allemagne, Pays-Bas, Scandinavie). Les questionnaires ont été complétés par téléphone et en ligne, de mars à avril 2013.

Cette enquête a été réalisée pour le numéro de l’Informaticien de septembre 2013.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s