Nous suivre Industrie Techno

Stockage : Des espions dans les nuages

Audrey Chabal

Mis à jour le 22/05/2014 à 08h47

Soyez le premier à réagir

Soyez le premier à réagir

Stockage : Des espions dans les nuages

© Facebook

Le cloud, espace virtuel qui décuple le potentiel de stockage et de calcul, est aussi un terrain de chasse rêvé pour les hackers. La prolifération des menaces informatiques et leur diversité font peser un risque grandissant sur la sécurité des entreprises et de leur système d'information. Les responsables d'infrastructure déploient des solutions de protection et sont de plus en plus nombreux à relocaliser leurs données dans des data centers français.

Quand on pense à la nécessité de protéger ses données, on pense immanquablement aux services grand public, et plus particulièrement aux réseaux sociaux, dont Facebook, qui transforment les informations personnelles fournies par les utilisateurs en monnaie sonnante et trébuchante via la publicité... Mais la problématique ne se cantonne évidemment pas aux données personnelles. Elle est également cruciale pour les entreprises, dont les informations stockées dans le cloud représentent une valeur potentielle, alléchante pour les espions et autres pirates du Web. Alors comment utiliser cet outil qu'est le cloud sans pour autant voir ses mails, transactions et autres secrets de fabrication s'évaporer dans les nuages ?

Selon Régis Castagné, directeur général d'Interoute, la plus grande plateforme de service cloud d'Europe, « la sécurité est le premier frein à l'explosion de l'utilisation massive du cloud. » En effet, les entreprises craignent de voir piller les informations confidentielles de leurs clients, et de perdre ainsi en crédibilité, ou encore de se faire espionner à des fins de compétition industrielle. La récente affaire Prism a encore aggravé les choses. Les révélations de l'ancien analyste de la CIA Edward Snowden ont eu des conséquences dramatiques pour les fournisseurs de cloud américains.

Quatre technologies de chiffrement

1. Pour échanger des informations : le chiffrement en transit, aussi appelé chiffrement de lien ou de réseau, ne crypte les données que pendant leur circulation dans le cloud d'un point à un autre.

2. Pour stocker des données : le chiffrement "at ret" est essentiellement utilisé pour des données stockées. Des fichiers, par exemple, seront chiffrés pour être conservés dans le cloud.

3. Pour brouiller les pistes : la tokenisation permet de substituer une donnée par une autre, accroissant ainsi sa confidentialité.

4. Pour garder les données disponibles : le chiffrement "in use" permet l'utilisation des données malgré leur cryptage. Encore à l'état de recherche, mais encore plus performant, le chiffrement homomorphique permet leur manipulation sans décryptage par le prestataire.Texte

 

Selon la Cloud Security alliance, 10 % des entreprises américaines auraient annulé des contrats en 2013, ébranlées par le risque d'espionnage ou de divulgation des données confidentielles aux autorités. Autre risque : celui de ne pas pouvoir accéder à ses informations en temps utile. Selon l'International working group on cloud computing resiliency, un centre de recherche sur le cloud créé par l'université Paris XIII et Télécom ParisTech, les treize premiers fournisseurs mondiaux ont cumulé 568 heures d'indisponibilité sur les cinq dernières années. Conséquences de pannes électriques ou logicielles, elles ont engendré des pertes dont le montant s'élève à 126 000 dollars l'heure en moyenne. Et plus les data centers grossissent, plus ils deviennent la cible de pirates désireux de bloquer des pans entiers de l'économie. Amaury de Baynast, directeur marketing de Numergy expose les principaux questionnements des professionnels : « Est-il possible de récupérer mes données lorsque je quitte l'infrastructure ? Que faites-vous de mes données ? Où sont-elles entreposées ? » Pour rassurer leurs clients, les fournisseurs de solutions de dématérialisation s'attachent à donner tous les gages possibles en matière de sécurité, à la fois physique et logique. Dans la première catégorie, on classe les éléments de sécurité tels que les murs, les barrières et les sas d'entrée, avec reconnaissance d'empreinte ou de badge magnétique éventuels qui empêchent tout intrus de s'introduire dans l'enceinte d'un data center. « Pour entrer dans un data center et accéder aux logiciels, il faut passer cinq barrières de sécurité différentes », détaille Thierry Floriani, expert en sécurité chez Numergy, l'un des deux services de cloud souverain français.

Logiciels de chiffrement et antivirus

Cette sécurité correspond également aux normes antisismiques, aux protections contre les inondations et les incendies qui protègent l'infrastructure. La seconde catégorie regroupe les logiciels, pare-feu et autres systèmes d'antivirus ou de chiffrement qui permettent de sécuriser les ordinateurs et les données. Il s'agit par exemple de services de pare-feu au démarrage, avec une grille de filtrage restrictive. Après ce firewall, le client est virtualisé, ce qui permet de séparer le monde physique du monde virtuel. Chaque client peut ainsi avoir un environnement privatif virtuel, un tunnel propre dans lequel ses données ne seront pas mélangées avec celles d'autres entreprises. Différentes solutions permettent de tester la fiabilité d'une infrastructure. Ainsi, le système portatif RentaLoad pousse le data center dans ses limites en simulant une affluence maximale sur les serveurs gérés par le data center, pour vérifier à quel moment celui-ci arrive à saturation et enclenche ses processus alternatifs de secours.

Autre enjeu : la souveraineté. On pourrait croire que la dématérialisation des données rend la localisation des serveurs qui les hébergent indifférente. Ce serait une erreur. Le Patriot Act, qui réglemente la possibilité, pour le gouvernement américain, d'accéder aux données stockées sur son territoire, n'a pas que des adeptes au sein des entreprises. Certes, entre l'Europe et les États-Unis, un accord a été conclu en 2001. « Safe Harbor » a pour objectif d'encadrer et de sécuriser le transfert de données personnelles entre ces deux signataires, en garantissant un « niveau de protection adéquat » au sein des entreprises américaines. Mais ce système repose sur le volontariat de ces sociétés américaines elles-mêmes contraintes par le Patriot Act. «Nous constatons que les entreprises sont de plus en plus sensibles à une relocalisation de leurs données en France et en Europe. », tranche Nicolas Furgé, directeur des Services de sécurité d'Orange Business Services.

Autre avantage de la proximité : assurer une contre-attaque plus rapide dans certaines circonstances. Pour Emmanuel Macé, ingénieur spécialiste en solution de sécurité chez Akamai, « Lorsqu'une attaque provient d'Europe de l'Est par exemple, Akamai est en mesure de la bloquer directement à la source, car la proximité permet aussi d'être au plus près des attaquants. »

Data center en mode privé ou public

Au-delà des garanties offertes par le fournisseur, la sécurisation des données stockées en mode cloud doit aussi être prise à bras le corps par leur propriétaire. Pour Jean-François Audenard, expert en sécurité d'Orange Business services, « lorsqu'une entreprise décide de mettre ses données dans le cloud, il faut que cela soit fait de façon réfléchie. Des analyses de risque doivent être réalisées afin de définir quelles données peuvent être mises ou non dans le cloud dans quelles conditions de sécurité. »

20%, c'est l'augmentation de la surface des data centers sur le territoire français en 2013.

 

Il faut notamment opter pour le bon mode de cryptage. Le chiffrement est différent selon la nature des données et leur mode d'utilisation. Là aussi, des progrès sont à venir. « Pour les données mises dans le cloud et qui doivent être l'objet de calculs ou de traitements, le chiffrement de type homomorphique peut être envisagé, mais il sera réservé aux données les plus sensibles car il s'agit d'un traitement extrêmement coûteux et qui reste encore au stade de prototype, » ajoute Jean-François Audenard. Là où un procédé classique se contente de chiffrer une donnée, le traitement homomorphique demande en effet une puissance de calcul bien supérieure, puisque les données sont envoyées chiffrées par le client vers le cloud et que leur traitement génère un résultat chiffré, donc incompréhensible par le prestataire, qui renvoie le résultat au client afin qu'il le déchiffre pour obtenir un résultat final.

Enfin, il faut choisir le mode de stockage. Le cloud public, où les données de plusieurs utilisateurs sont entreposées ensemble, est réservé à des informations moins sensibles que celles conservées dans un cloud privé.

Nécessaires, ces mesures ne doivent pas empêcher de rester vigilant. Comme le souligne Emmanuel Macé, d'Akamai, « Pour l'espionnage industriel, rien de tel qu'une belle attaque par déni de service. Ainsi, pendant que vous êtes concentré à régler le problème de saturation artificielle des demandes qui rend votre site Internet indisponible, l'espion a toute la place pour passer et repartir sans laisser de trace. » Quelles que soient les précautions que l'on prenne, mieux vaut rester sur le qui-vive...

vous lisez un article d'Industries & Technologies N°0965

Découvrir les articles de ce numéro Consultez les archives 2014 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Des pixels un million de fois plus petits que ceux des smartphones

Des pixels un million de fois plus petits que ceux des smartphones

Les plus petits pixels jamais créés ont été développés par des chercheurs de l’Université de[…]

Un test pour arbitrer le match entre puces quantiques et supercalculateurs

Un test pour arbitrer le match entre puces quantiques et supercalculateurs

Iter, New Space, Intelligence artificielle... les meilleures innovations de la semaine

Iter, New Space, Intelligence artificielle... les meilleures innovations de la semaine

Facebook AI crée un personnage de jeu vidéo... à votre image !

Facebook AI crée un personnage de jeu vidéo... à votre image !

Plus d'articles