BLOGUE – Les cyberattaques des services d’infonuagique se multiplient à une vitesse phénoménale. Rien qu’au mois de septembre 2014, plusieurs attaques ayant conduit à la violation de la vie privée ont fait les manchettes :
– L’atteinte aux données bancaires de JP Morgan Chase (80 millions de clients concernés);
– Les attaques par force brute sur le système d’authentification iCloud d’Apple qui ont permis aux pirates de s’emparer de photos privées de jeunes stars américaines;
– La vulnérabilité Shellshock sous Linux qui, sans être directement une atteinte aux données personnelles, permet de prendre le contrôle de serveurs à distance en mode super-utilisateur et donc potentiellement d’accéder à tous les types de données qui sont disponibles via ces serveurs.
Pourtant, l’infonuagique est une formidable opportunité d’optimiser ses coûts, son espace de stockage et la gestion de son informatique. Renier en bloc l’informatique en nuage par élan de paranoïa n’est donc pas la solution, à moins d’en avoir les moyens financiers.
Maintenant, la migration vers le nuage doit s’inscrire dans une démarche systémique qui est prévue à cet effet. J’en avais déjà touché deux mots dans l’un de mes billets précédents, mais j’aimerais rappeler trois principes fondamentaux :
1. Il est nécessaire de procéder à un comparatif des risques avant et après migration afin de s’assurer qu’on n’augmente pas ses risques en allant vers l’infonuagique. On étudiera donc, notamment, la potentialité de survenance des scénarios de menace.
L’analyse d’impact quant à elle, devra inclure les pertes financières éventuelles en cas de sinistre, mais également les risques de réputation, les risques légaux, les risques sociopolitiques et les risques humains (p. ex. les risques sur la santé) s’ils existent. C’est sur la base de cette comparaison coût de la solution/coût du risque que l’entreprise prendra une décision éclairée;
2. Si elle est une option sérieuse à étudier pour certaines applications (via le logiciel service) et plateformes (via la plateforme service), l’infonuagique ne devrait pas s’imposer comme une solution évidente pour le stockage des données personnelles, à moins que les risques en interne de l’entreprise soient supérieurs. Dans ce cas, on choisira des hébergeurs certifiés à la norme SSAE 16 ou l’équivalent et l’on procédera périodiquement à un audit de sécurité.
Dans le cas de données de paiement, on exigera la conformité à la norme PCI DSS. Au minimum, le système de gestion de la sécurité devrait respecter les normes ISO 27001 et 27002. Certaines industries y ajoutent en sus leurs propres normes : WLA-SCS pour l’industrie du jeu, NERC pour l’énergie, Bâle pour les banques, Solvabilité pour les assureurs et j’en passe.
3. Enfin, est-il utile de rappeler que toute analyse des risques commence par un inventaire de ses actifs critiques et en particulier par une classification des données et des applications à risque? Si cette classification n’a pas été correctement effectuée, l’analyse sera biaisée et les risques méconnus.
Alors si vous ne connaissez pas exactement le volume et la nature des données que vous hébergez en interne, ne vous précipitez pas vers une solution externe, à moins que la gestion en interne soit dans un état tel que ça ne pourra pas être pire dans le nuage.
Enfin, pour ce qui est de vos photos personnelles, est-il utile de rappeler que vos photos « sensibles » ne devraient pas être stockées dans un service d’informatique en nuage?
Qu’en pensez-vous? Êtes-vous pour ou contre l’informatique en nuage ou avez-vous adopté une démarche de réflexion?