Les principaux fournisseurs de solutions d'informatique en nuage disposent d'infrastructures plus sécuritaires que la plupart des PME québécoises. Cependant, les nuages ne sont pas à l'abri des pirates, dont les navires n'écument plus seulement les mers, mais s'attaquent maintenant aux cieux.
Selon le Montréalais Michael Calce, alias Mafiaboy, aucun serveur n'est totalement à l'abri, et l'informatique en nuage ne fait pas exception. Pire, les pirates informatiques s'intéressent d'autant plus aux services d'hébergement en nuage, comme Amazon Web Services ou Windows Azure, qu'une immense quantité d'information y est entreposée.
Il est toutefois possible de diminuer les risques en prenant des précautions et en adoptant des solutions conformes à ses besoins en matière de sécurité.
L'erreur est humaine
La sécurité informatique, qui est un enjeu pour le moins technique, a cela de particulier que le facteur humain est probablement sa composante la plus importante. Christophe Jolivet, président de la firme de conseils en sécurité informatique PR4GM4, explique d'ailleurs qu'il existe trois principales façons de s'introduire dans un système, dont deux sont du ressort de l'être humain.
" Premièrement, un pirate peut exploiter une vulnérabilité de votre système ; ensuite, il peut profiter d'une mauvaise configuration de votre système pour y entrer ; finalement, il peut manipuler vos employés pour obtenir d'eux leur mot de passe. "
Ainsi, si le client qui opte pour l'informatique en nuage n'a pas le plein contrôle sur l'aspect technique, il peut toutefois s'assurer de la vigilance de ses employés.
La formation en entreprise est ainsi très importante lorsqu'on adopte une solution d'informatique en nuage. " Lors de nos formations, on incite les employés à ne pas choisir des mots de passe faibles (voir les conseils ci-contre) et à changer leurs mots de passe régulièrement ", explique Cédric Vergé, président d'EasyCloud.
Des imprudences dans la gestion d'un serveur en nuage peut également être à l'origine d'une fuite. " Lorsqu'on loue des serveurs virtuels auprès d'Amazon, on est soumis aux mêmes règles de base de sécurité qu'avec n'importe quel serveur physique ", prévient Hugo Bouchard, dont l'entreprise, Intellicloud Technologies, représente notamment Amazon Web Services.
Une question de normes
Avant de choisir un fournisseur, il importe de vérifier s'il a obtenu l'une des deux principales certifications en matière de sécurité. La plus répandue chez les fournisseurs de logiciels en nuage est la norme américaine SAS 70, qui ne porte pas précisément sur la sécurité, mais sur le respect des procédures de toute nature. Google Apps et Box.net sont certifiés SAS 70.
La norme internationale ISO 27 001, qui existe depuis 2005, porte quant à elle spécifiquement sur la sécurité de l'information. " Si une entreprise se conforme à cette norme, elle va s'assurer de rendre l'infrastructure disponible, intègre et confidentielle ", résume Christophe Jolivet, pour qui il s'agit de la norme de référence. Amazon Web Services, Salesforces.com et Windows Azure se conforment à cette norme, en plus de la précédente.
Une certification n'est toutefois pas un gage d'invincibilité. Michael Calce, qui s'est fait remarquer en piratant des sites comme Yahoo, Dell et CNN en 2000, soutient que les serveurs d'Amazon sont relativement faciles à pirater. " Lors d'une convention de Black Hat à Las Vegas, où le thème était l'informatique en nuage, on a réussi à déjouer la sécurité d'Amazon ", explique l'ex-Mafiaboy, qui s'est recyclé dans la consultation en sécurité informatique.
Dans les faits, le meilleur moyen de garder une information confidentielle est sans doute de la placer dans un coffre fermé à clé plutôt que sur un serveur, qu'il soit virtuel ou non : " Les PME devraient distinguer les différentes catégories d'information dont elles disposent, soutient Christophe Jolivet. À partir de là, elles pourront décider quelles informations elles hébergeront en nuage. "
Michael Calce abonde dans le même sens . " Les gens font l'erreur de mettre toutes leurs données dans les nuages. Il ne faut pas mettre tous ses oeufs dans le même panier. "
Rendre les nuages plus sécuritaires
1 Changez votre mot de passe en moyenne six fois par année.
2 Ne révélez jamais votre mot de passe en réponse à un appel téléphonique ou un courriel. Votre interlocuteur n'est peut-être pas celui qu'il dit être.
3 Choisissez un fournisseur certifié ISO 27001 ou SAS 70.
4 Si vous utilisez Google Apps ou Salesforces.com, utilisez l'option de double identification. Grâce à cette mesure de sécurité supplémentaire, les employés devront, en plus de leur mot de passe, entrer un code temporaire reçu par SMS ou par téléphone pour accéder à leur compte.
5 Choisissez un mot de passe comprenant au moins huit caractères, n'ayant aucun lien avec votre identité (dates d'anniversaire, enfants, loisirs, etc.) et contenant au moins un chiffre, une lettre minuscule, une lettre majuscule et un caractère spécial.