La sécurité dans l'accès aux services Cloud, une utopie ?

La question de la sécurité dans l'accès aux services Cloud est un poncif du Cloud. Comment comprendre en quoi l'accès peut  - ou ne peut pas – être sécurisé. Peut-il être autant sécurisé qu'on le souhaite ? Eclaircissements.

Le Cloud héberge toutes sortes de services professionnels ou pas. Le Cloud est en quelque sorte tentaculaire mais quand on veut lui imposer ce que l'on souhaite, c'est tout à fait possible. Rien ne distingue l'intelligence informatique d'un serveur interne de l'entreprise d'un serveur externalisé : si le serveur est paramétré pour être sécurisé, il est sécurisé. S'il n'est pas paramétré pour l'être, rien ne sera sécurisé.

L'accès sécurisé à un serveur Cloud dépend donc de la stratégie de sécurité qui lui est appliquée. Si vous utilisez un service de type SaaS, c'est le protocole d'accès à ce service qui offrira la sécurité absolue, la sécurité minimale ou pas de sécurité du tout.  Cette sécurité est assurée par un logiciel de gestion des accès. Il va chiffrer la transaction d'ouverture de session vers le serveur Cloud avant même d'initier l'ouverture de l'accès à l'application ou aux données elles-mêmes. C'est typiquement ce que Microsoft a su intégrer dans Office 365. Ceci avec un chiffrement en 256 bits AES intégré dans toutes les connexions de sa suite Office 2010 ou 2013 vers la plateforme servant à héberger données et services d'intranet/web.  Chaque utilisateur identifié d'un intranet créé sur Office 365 va dialoguer avec sa propre transaction en 256 bits AES vers l'intranet, comme s'il était sur un véritable VPN dédié. Aucune chance qu'un tel système soit ouvert à un intranet d'une autre entreprise que la votre.

Mot de passe et gestion des sauvegardes

Il n'y a pas que Microsoft, c'est le cas de toutes les plateformes professionnelles d'hébergement sérieuses.  Autre exemple, une société comme InterCloud a mis en place une porte de réseau d'interconnexion Cloud qui offre ce genre de protection améliorée vers différentes plateformes SaaS. Ceci est également le métier de Symantec  dans son offre Symantec.cloud.

Quand c'est votre propre serveur virtuel (PaaS pour Platform as a Service) qui est hébergé sur un cloud public ou privé professionnel, vous pouvez installer vos propres outils de sécurisation sur la machine. Vous pouvez aller jusqu'à fédérer des identités au travers d'un réseau de serveurs en Cloud que l'on qualifiera d'infrastructure Cloud (IaaS pour Infrastructure as a service). Ceci pouvant également être fédéré au travers de serveurs classiques.

Les risques majeurs restent la faiblesse des mots de passe et l'absence ou la mauvaise qualité de la gestion de la sauvegarde des données nécessaires au fonctionnement de l'entreprise. Et si votre infrastructure Cloud est gérée par vos propres services, le risque est le même que celui d'une infrastructure classique : si la sécurité n'est pas gérée correctement, les conséquences en seront désastreuses.