Le cloud est sécurisé, mais attention aux risques systémiques

Alors que la technologie du cloud existe depuis presque 30 ans, beaucoup d’organisations la considère encore comme une « nouvelle technologie ». Le cloud promet de réduire les coûts et d'augmenter l'efficacité opérationnelle en offrant des capacités de stockage et de gestion de vastes dépôts de données et de systèmes, théoriquement moins chers à entretenir et plus faciles à protéger. Aujourd’hui, parce que de plus en plus d’entreprises veulent migrer leur activité dans le cloud, plusieurs représentants politiques américains réclament, et ce n’est pas étonnant, une réglementation pour cette technologie de rupture.

L’an dernier, Katie Porter, représentante démocrate de Californie (D-CA) et Nydia Velázquez, représentante démocrate de New York (D-NY), ont exhorté le Conseil de surveillance de la stabilité financière (Financial Stability Oversight Council - FSOC) à considérer les services clouds comme des composantes essentielles du système bancaire moderne et à les soumettre à un cadre réglementaire obligatoire. L’appel pour cette surveillance est intervenu après un important vol de données chez Capital One : un employé de l'institution financière avait réussi à dérober plus de 100 millions de demandes de crédit de clients en exploitant un pare-feu mal configuré dans des opérations hébergées sur Amazon Web Services (AWS).

L’étude publiée aujourd'hui par la Carnegie Endowment for International Peace a pour but de mieux faire comprendre aux législateurs et aux régulateurs ce qui se passe dans le domaine du cloud, en particulier sur la sécurité de ces vastes réservoirs d'informations. Dans l’ouvrage intitulé « Cloud Security : A Primer for Policymakers », les auteurs Tim Maurer, co-directeur de la Cyber Policy Initiative du Carnegie Endowment, et Garrett Hinck, doctorant à l'Université de Columbia et ancien assistant de recherche du Carnegie Endowment, affirment que « le débat sur la sécurité des clouds reste vague » et que « les implications en matière de politique publique sont mal comprises ». D'un point de vue de politique publique, « l'image du cloud obscurcit la compréhension autant qu'elle l’explique », indique ainsi le rapport. « Une image plus nuancée émerge quand le cloud est présenté au regard de ses différentes couches, depuis les datacenters physiques et le câblage réseau qui forment sa base, jusqu’aux environnements logiciels virtuels et aux applications avec lesquels les utilisateurs interagissent au quotidien ».

Un risque de sécurité systémique

Mais, d’après ce rapport, les services clouds sont concentrés entre les mains de quelques fournisseurs dits « hyperscale » comme AWS, Microsoft Azure et Google Cloud, et des entreprises comme Alibaba Cloud et Tencent, qui jouent un rôle similaire en Chine. Le coût croissant des cyberattaques montre que la plupart des entreprises ne peuvent pas se défendre efficacement, si bien que celles-ci « feraient mieux de confier leur sécurité aux équipes de sécurité de ces entreprises externes ». Cependant, cette solution soulève un autre problème, celui d’un « risque systémique résultant d’une approche centralisée ». « On comprend mal ce qu'est vraiment le cloud et comment penser la cybersécurité », a déclaré à ce propos M. Maurer.

Des préoccupations sur la politique de sécurité

Même si le rapport de la Carnegie Endowment évite de formuler des recommandations de politique publique, il préconise le rééquilibrage de deux préoccupations majeures. « Quand nous pensons à la sécurité et au cloud, deux défis de politique publique distincts s’imposent à la réflexion », a déclaré M. Maurer. « Le premier concerne le problème actuel bien connu de la cyber-insécurité. La plupart des entreprises doivent toujours lutter pour se protéger efficacement contre les pirates informatiques ». Et peu d’entreprises peuvent rivaliser avec les niveaux de sécurité « à la Fort Knox » de Google, Amazon ou Microsoft, et il semble donc préférable qu'elles confient leur sécurité à ces géants. « Pour ces entreprises, une migration dans le cloud peut améliorer leur cybersécurité, car elles peuvent externaliser et déléguer leur protection aux équipes de sécurité, fort bien payées, des principaux fournisseurs de sécurité », a expliqué M. Maurer. Mais ces entreprises devraient aussi configurer correctement leurs installations dans le cloud pour éviter l'exposition accidentelle de données, ce qui, selon le rapport, est l'un des événements les plus courants en termes de perturbation des services clouds.

D'un autre côté, les fournisseurs de cloud présentent également un risque pour le système. En effet, le fait de confier le stockage d'une telle quantité de données à ces géants pourrait provoquer des événements rares, mais catastrophiques. Á titre d’exemple, le rapport de la Carnegie Endowment cite une étude de 2018 de la Lloyds of London qui estimait à l’époque que l’interruption des services d'un important fournisseur de cloud pendant trois à six jours pourrait entraîner des pertes économiques pouvant atteindre jusqu'à 15 milliards de dollars. De plus, comme dans le cas du coffre de Fort Knox, les services clouds pourraient devenir des cibles très juteuses pour les attaquants en raison de la quantité de richesses qu'ils contiennent. « De plus en plus de représentants du Congrès américain, mais aussi d’autres responsables politiques ailleurs dans le monde, commencent à s'inquiéter du fait que plus les entreprises et les gouvernements migrent leurs données vers le cloud, plus le risque est concentré, plus la migration vers le cloud pose un risque systémique », a déclaré M. Maurer. « Si un incident majeur touche un fournisseur de service cloud, il pourrait affecter toute une industrie et avoir un impact plus large sur l'ensemble du secteur ».

Le cloud, plus sûr que le on-prem

Néanmoins, en matière de sécurité, le risque systémique ne devrait pas éclipser les avantages du cloud. « Nous sommes à un point où trop de gens pourraient s'inquiéter du risque systémique et perdre de vue le fait que la migration vers le cloud peut en réalité aider à résoudre le problème actuel de la cybersécurité », a encore déclaré M. Maurer. Selon un RSSI cité par M. Maurer, « une migration vers le cloud rend l’entreprise dix fois plus sûre que si elle devait compter uniquement sur son équipe de sécurité ». Le rapport évoque aussi brièvement d'autres préoccupations comme la domination des fournisseurs de services clouds américains à l'étranger. « La sécurité n'est pas la seule préoccupation des gouvernements. Il y a aussi la question de la localisation des données, les lois anti-trust, et le fait que beaucoup de pays veulent développer leurs propres industries technologiques et votent des lois pour restreindre l’accès des fournisseurs de services clouds américains à leurs marchés nationaux ».

Une approche collaborative de la sécurité

« La sécurité du cloud gagnerait en efficacité si les fournisseurs de clouds dominants adoptaient une approche collaborative », a affirmé M. Maurer. Selon lui, la concurrence effrénée entre ces géants nuit à l’efficacité de la protection contre des menaces qui concernent tout le monde. « Le niveau actuel de maturité et de culture dans l'industrie technologique est tellement hyper-concurrentielle que les fournisseurs communiquent rarement entre eux et discutent rarement de questions de sécurité qui pourraient tous les affecter », a-t-il ajouté. « Certes, une approche collaborative de la sécurité du cloud peut poser des problèmes en matière de monopole, mais il existe des modèles similaires dans d'autres secteurs, comme la finance et l’aéronautique », a encore expliqué M. Maurer. « Des industries hautement compétitives, comme la finance et l’aéronautique, ont toutes formé des consortiums industriels spécifiques pour traiter la sécurité parce qu’elles estiment que les risques concernent l'ensemble de l'industrie et pas seulement des entreprises individuelles. Demain, les principaux fournisseurs de services clouds auront vraiment intérêt à se réunir pour partager et comparer leurs informations... et éventuellement des données sur les acteurs de la menace dont ils pourraient être la cible », a encore déclaré M. Maurer. « Cela devrait être plus payant qu'un cadre réglementaire, en cours d'élaboration ».