ITChannel propose un article intéressant sur le Cloud computing vu par les RSSI (responsables sécurités informatiques). La sécurité est une question clé, mais largement complexe de l'informatique, et le web l'exacerbe depuis ses débuts.
Une étude du Forrester courant 2008 apportait un éclairage intéressant sur ce sujet: plus de 50% de CIO interrogés aux US (Fortune 500) voyaient désormais l'intégration et non plus la sécurité comme la question majeure du cloud computing et du software as a service (SaaS). C'est à dire que la question de la sécurité est cruciale, mais ce n'est apparemment la question première qu'en phase de démarrage du marché (Europe) et moins en phase de maturation (US): des réponses sont indispensables, mais elles existent, et la valeur métier apportée par le cloud computing pousse et poussera à résoudre ces questions techniques, voire à les aborder différemment. De toutes manières un fournisseur de cloud computing ou de SaaS qui ne répond pas de manière satisfaisante à ce sujet est condamné à disparaitre rapidement.
D'ailleurs le cloud et le SaaS amènent à aborder la sécurité sous un angle nouveau. Trois exemples:
- Dans les centres de données Amazon WS, des serveurs sont arrachés aléatoirement toutes les semaines; combien de DSI font cela dans les centres de données qu'ils exploitent? Donc combien de PRA sont effectivement prouvés opérationnellement , et combien sont des slides?
- Par ailleurs quand des centaines de serveurs peuvent être ajoutés à une infrastructure en quelques minutes, et ce pour quelques heures uniquement et pour quelques dizaines d'euros (cas des offres Amazon WS par exemple), est-ce que la réflexion sur la sécurité et l'infrastructure "physique" n'est pas totalement modifiée? Technologiquement et budgétairement.
- Enfin les trous de sécurité les plus importants sont les pertes de données liées à des portables volés, des emails envoyés par erreur ou détournés, des locaux mal sécurisés, des mots de passe mal ou peu changés ou trop partagés. Bref ils sont basiques; et on peut assez facilement argumenter que si les données sont stockées par un tiers, sur le "cloud", il y a une sécurisation de fait. C'est le principe de la banque dans la vie courante.
Cloud computing et SaaS changent très largement les paradigmes actuels de l'informatique; la question n'est donc pas tant de savoir si l'approche actuelle de la sécurité va bloquer le cloud computing, mais de comprendre comment le cloud computing amène à reformuler la question de la sécurité différemment... et pour plus de sécurité in fine.
