FR

Cloud Computing

Cybersecurity Map 12:02

Situation actuelle

Le cloud computing, ou l’informatique en nuage, désigne un modèle qui permet d’accéder à tout moment et depuis n’importe quel lieu, de manière simple et sur demande à un ensemble commun de ressources informatiques configurables (p. ex. réseaux, serveurs, stockage, applications et services). La mise en opération et l’activation de ces ressources interviennent rapidement, sans nécessiter de tâches administratives complexes ou d’échanges fréquents avec le prestataire. Les services fournis se classent généralement en trois grandes catégories : Infrastructure as a Service (IaaS), Platform as a Service (PaaS) et Software as a Service (SaaS). Par ailleurs, il existe différents types de clouds avec une distinction entre clouds privés et publics. On rencontre également des environnements cloud hybrides dans lesquels les organisations ont recours à des ressources tant privées que publiques.

L’avantage majeur du cloud tient au fait qu’il permet aux organisations : 

  1. d’utiliser et de payer des ressources informatiques en fonction de leurs besoins, ce qui en évitant des investissements initiaux importants leur permet de n’avoir à supporter que la part variable des charges d’exploitation ; 

  2. d’avoir accès à un ensemble de solutions technologiques constamment adapté, perfectionné et supervisé de manière professionnelle pour se concentrer sur leur cœur de métier plutôt que de mettre en œuvre et d’exploiter elles-mêmes l’infrastructure technologique nécessaire ; 

  3. de profiter d’économies d’échelle puisqu’une infrastructure de cloud public est utilisée en commun par de nombreux clients. 

L’évolution qui a mené de la mise à disposition de ressources informatiques au cloud computing n’est pas sans présenter quelques similitudes avec le passage de la production d’électricité dans des petites centrales détenues par les entreprises à la consommation d’énergie provenant de grandes centrales sous contrôle externe. À l’inverse de la production d’électricité, l’informatique en nuage est dominée par une poignée d’acteurs majeurs à travers le monde et leurs services ne sont pas interchangeables à souhait. Cette situation a des répercussions importantes que nous nous attacherons à développer ci-dessous. 

Le lancement du service Elastic Compute Cloud par Amazon Web Services en 2006 a marqué le début de l’accès généralisé à l’informatique en nuage public. Aujourd’hui, l’infrastructure cloud mondiale est dominée par Amazon, Google, Microsoft et Alibaba. L’existence d’une telle infrastructure d’informatique en nuage a participé à l’émergence de nombreux modèles « software as a service » (p. ex. Salesforce, ServiceNow, Microsoft 365, etc.).

À l’arrivée du cloud computing, la Suisse ne s’est pas positionnée en leader, notamment en raison de préoccupations liées à la conformité (y compris la protection de la vie privée) et à la sécurité. Mais la dynamique s’accélère, avec l’arrivée à maturité des services cloud sur les plans de la sécurité et des contrôles (et, par rebond, de la transparence) et l’installation de centres de données en Suisse par les grands opérateurs de cloud (Google, Microsoft, AWS). 

Enjeux

Les principaux cyberrisques en lien avec le cloud computing sont les suivants : 

  1. Conformité : traiter les données conformément à la législation, aux règlementations et aux directives internes en vigueur n’est pas une opération triviale. Ces dispositions peuvent en effet se contredire ou avoir été conçues sur la base d’une infrastructure technologique plus traditionnelle. De plus, la tendance générale pointe vers une réglementation accrue en la matière, avec à la clé un frein à la libre circulation des données en raison de préoccupations liées à leur protection ou en vertu d’intérêts (de sécurité) nationaux. 
    Il existe par ailleurs des craintes que certaines lois et réglementations contiennent des dispositions dont l’étendue ou l’utilisation abusives permettraient à des agences gouvernementales (étrangères) d’accéder aux données d’une organisation via son prestataire cloud (p. ex. la loi étasunienne CLOUD Act, la loi chinoise sur la cybersécurité). Dans le but d’amoindrir ce risque, les organisations ont tout intérêt à sélectionner leur fournisseur de cloud avec circonspection et à s’assurer que les clauses contractuelles régissent bien l’accès aux données par des tiers, en particulier par les autorités étrangères. Le chiffrement de bout en bout, qui concerne le transfert comme la conservation des données, constitue aussi une mesure judicieuse.  

  2. Informatique fantôme : il n’est pas toujours simple pour les organisations de bien comprendre où et comment leurs données sont traitées. L’une des raisons à cela est que leurs unités utilisent souvent des infrastructures et des applications cloud, par exemple Google Drive, Dropbox ou Slack, afin de contourner des mécanismes de gouvernance établis, qui sont généralement mis en œuvre par les services informatiques de cette même organisation. S’instaure alors une informatique fantôme qui ne répond pas aux directives internes en vigueur et, potentiellement, ne dispose pas de contrôles de sécurité appropriés.  

  3. Sécurité et résilience : les prestataires de cloud public concentrent les données de nombreux clients : ils sont donc une cible de choix pour les cyberattaques. Dans une certaine mesure, ce problème est contrebalancé par le fait que les grands fournisseurs disposent des ressources et des connaissances nécessaires pour mettre en œuvre et opérer des contrôles de sécurité avancés. Néanmoins, les organisations ayant recours à des services cloud doivent bien comprendre comment contrôler et surveiller l’accès aux données traitées dans le cloud, tout en veillant à en protéger la confidentialité et l’intégrité. 
    Parmi les moyens dont elles disposent figure notamment le chiffrement de données lorsqu’elles sont transférées ou conservées. Durant leur traitement, les données sont toutefois le plus souvent dépourvues de chiffrement. Il y a donc lieu d’évaluer le risque associé à cette réalité et de définir la façon de le gérer : à ce titre, on mettra en balance les risques potentiels liés à la confidentialité et à l’intégrité des données et une résilience plus grande sur le plan de la disponibilité. Là encore, il est impératif de mettre en œuvre une approche basée sur le risque en l’accompagnant de mesures et de contrôles de sécurité appropriés.  

  4. Migration cloud : afin de tirer pleinement parti des bénéfices attendus, le passage à une informatique en nuage doit être couplé à une transition vers des processus métier plus agiles et fréquemment automatisés portant sur le développement, la mise en œuvre et la sécurisation des systèmes IT. Passer à l’informatique en nuage est souvent associé à l’implémentation de concepts nouveaux comme le (Sec)DevOps, qui nécessitent des changements profonds en termes d’organisation et de procédés.  

  5. Évolution des contrôles : tandis que la responsabilité des données continue à incomber à l’entreprise ayant recours à un service de cloud computing, cette dernière doit s’en remettre au fournisseur de cloud pour la majeure partie des contrôles de sécurité, qu’il s’agisse de leur mise en œuvre ou de leur bonne exécution. Il est donc essentiel d’aligner le cadre des contrôles réalisés par le client et par le fournisseur, de superviser l’efficacité des contrôles et de définir les responsabilités de manière claire. Bien souvent, les fournisseurs de cloud disposent de certifications externes (p. ex. ISO, PCI, DSS, FIPS, etc.) Elles constituent une indication importante pour les clients en leur évitant de devoir eux-mêmes réaliser des audits ou des procédures de vérification diligente des prestataires de services cloud.

  6. Bien que ce point ne constitue pas en soi un cyberrisque, il y a néanmoins lieu d’évoquer la question de la dépendance vis-à-vis du prestataire, c’est-à-dire l’impossibilité de changer de fournisseur de cloud pour des raisons techniques ou autres. Dans certains cas, changer de fournisseur peut être la seule mesure possible pour limiter les cyberrisques cités plus haut de manière appropriée. La tendance vers des solutions multicloud proposées par les principaux opérateurs de services cloud et par d’autres fournisseurs de technologies, de même que l’utilisation croissante des solutions de conteneurs qui permettent la portabilité d’un prestataire de cloud à l’autre, contribue à limiter ce risque de dépendance.  

Mesures à envisager aux échelons politiques, économiques et sociétaux : les faiblesses actuelles 

  1. En Suisse, l’absence de cadre légal sur le cloud pose des problèmes : il est essentiel que les législateurs et les instances de régulation appréhendent les principes, les opportunités et les risques liés à l’informatique en nuage, dans la perspective d’une législation et d’une réglementation pertinentes. 
    - L’organisation d’événements à caractère pédagogique destinés au milieu politique et aux instances de régulation peut contribuer à une meilleure compréhension des enjeux dans les textes législatifs à élaborer. 
    - Tant dans le secteur financier que dans le secteur public suisses, certains dispositifs réglementaires internationaux tels que le CLOUD Act étasunien ou la loi chinoise sur la cybersécurité ont déjà été discutés et ont donné lieu à des avis de droit. Une application à d’autres secteurs pourrait rendre nécessaire un nouveau débat. 

  2. Il est essentiel de promouvoir la recherche sur le traitement sécurisé des données (englobant des technologies telles que le chiffrement homomorphe1, la pseudonymisation, l’informatique confidentielle, les environnements d’exécution de confiance et d’autres concepts associés) et le développement de produits connexes.  

Recommandations : des solutions pour les milieux politiques, économiques et sociétaux

  1. L’informatique en nuage fait désormais partie intégrante de notre quotidien. Il est impératif que les lois et règlements régissant le traitement des données et les modes d’exploitation, comme la législation sur la protection des données ou la réglementation sur les cyberrisques, prennent en compte ces nouvelles réalités, en évaluant avec soin les risques et les opportunités qui en découlent pour l’économie et la société. 

  2. Les organisations doivent envisager l’impact de l’informatique en nuage au-delà des considérations purement technologiques.
    - Développer une compréhension des opportunités offertes par l’informatique en nuage du point de vue des modèles d’affaires et des modes d’exploitation, de la force d’innovation, des temps de lancement produit, etc.
    - Analyser avec soin les opportunités et les risques, comprendre les solutions permettant de limiter les risques.
    - Procéder à la migration de données et d’application vers le cloud uniquement dans le cadre d’une stratégie cloud adaptée : envisager le transfert comme un projet de changement organisationnel (par opposition à une migration purement technologique). De plus, il est nécessaire de s’assurer que les risques sont compris et efficacement réduits.

Références

 

Auteur·rice·s et responsables thématiques

Umberto Annino, Microsoft | Matthias Bossardt, KPMG | Dani Caduff, AWS

Comité de lecture

Endre Bangerter, HESB | Alain Beuchat, Banque Lombard Odier & Cie SA | Adolf Doerig, Doerig & Partner | Stefan Frei, ETH Zurich | Roger Halbheer, Microsoft | Katja Dörlemann, Switch | Pascal Lamia, BACS | Martin Leuthold, Switch | Hannes Lubich, conseil d'administration et conseiller | Luka Malisa, SIX Digital Exchange | Adrian Perrig, ETH Zurich | Raphael Reischuk, Zühlke Engineering AG | Ruedi Rytz, BACS | Riccardo Sibilia, DDPS | Bernhard Tellenbach, armasuisse | Daniel Walther, Swatch Group Services | Andreas Wespi, IBM Research

Autres articles de la Cybersecurity Map

 

Intelligence artificielle (antagoniste)

 

Dépendances et souveraineté

 

Confidentialité des données

 

Numérisation | Cyberadministration

 

Guerre de l’information et opérations d’influence

 

Internet des objets (IoT) et technologie opérationnelle (OT)

 

Informatique quantique