En 2024, les avantages technologiques apportés par le cloud ne sont plus à démontrer ; cet article ne s’aventurera que peu sur ce terrain déjà maintes fois exploré, pour mieux traiter la question quasi-éponyme : pourquoi – à tort ou à raison – faire confiance aux géants du cloud ?
Dès lors qu’elles manipulent des données, rares sont les entreprises à pouvoir se passer du cloud. Réduction des coûts, mobilité, flexibilité, rapidité, fiabilité : la liste des avantages est longue et si d’irréductibles DSI lui résistent encore, le marché ne leur permettra pas de tenir éternellement. Quels arguments peuvent bien être opposés à Microsoft Azure, Amazon Web Services, Google Cloud Platform et consorts ? puisque même en matière de sécurité, ils se hissent jusqu’à l’état de l’art, voire le surplombent. Anti-DDoS, pares-feux, production et application de correctifs, chiffrement : une fois encore, la liste des avantages s’étend vers l’infini et au-delà...
Et puis, quelles marges de manœuvre existe-t-il ? Les services se veulent adaptés au besoin, à prendre ou à laisser donc, tel quel, jusqu’aux aspects contractuels. Ainsi, à la question : faut-il faire aveuglément confiance aux géants du cloud ? Peut-être est-on finalement contraints de répondre : oui, parce qu’ils sont intraitables et que point de négociations il n’y aura ! Alors reformulons avant d’aller plus loin : doit-on faire aveuglément confiance aux géants du cloud ?
Acculée par cette reformulation, la remise en question s’initie et soudainement apparaissent les premières zones d’ombre. En n’ayant que peu de latitude (voire même pas du tout) sur les termes du contrat, comment garantir la pleine maîtrise des données que l’on récolte, que l’on exploite, que l’on produit ?
A cette question, le Règlement Général sur la Protection des Données (RGPD) se lève et vient se présenter à la porte. Il tient dans une main la notion de souveraineté des données et dans l’autre pointe du doigt le Patriot Act. En faisant le choix d’héberger des données chez un fournisseur cloud, il semble que d’aucuns renoncent à une partie du contrôle qu’ils possédaient sur ces dernières.
L’exploration se poursuit et avec elle le questionnement s’accentue. N’a-t-on pas plus d’emprise sur les serveurs sous-jacents qu’on en a sur les termes du contrat ? Tout RSSI devient légitimement inquiet de la maîtrise relative qu’il aura en cas d’incident. Récupèrera-t-il, par exemple, les journaux nécessaires à ses investigations ?
Accompagné d’un doute naissant, le chemin se prolonge. Reste-t-il stratégique d’enfermer ses données dans des structures certes sécurisées, mais avant tout extrêmement exposées ? Qu’adviendrait-il si jamais ?
Quand il s’agit de confier la sécurité de ses données à un acteur du cloud – ce qui implique de faire sortir les données en question du périmètre physique de l’entreprise – il convient de se demander si le fournisseur dispose de meilleures défenses que celles que nous saurions mettre en œuvre. Sur ce point, il est très généralement raisonnable de conclure que des Microsoft, Google, Amazon et consorts sont certainement mieux armés et ont une capacité à répondre immédiatement à des tentatives d’attaque. En effet, qui peut prétendre faire mieux que ces acteurs, constamment ciblés ?
Durant les premiers jours de janvier 2024, Microsoft a annoncé avoir subi une attaque, en conséquence d’une configuration insuffisamment sécurisée de son environnement de test Azure, auquel les attaquants ont pu accéder très simplement en essayant différents mots de passe. Qui plus est, cet environnement de test était connecté à l’infrastructure corporate de Microsoft. Le post-mortem a révélé que l’environnement de test disposait de droits excessifs sur l’environnement corporate, ouvrant ainsi un boulevard aux attaquants. On s’attendrait à mieux de la part de Microsoft sur des infrastructures dont il est lui-même l’éditeur !
Cette attaque ne fait pas exception car des événements similaires ont été publiés à plusieurs reprises au cours des dernières années.
Le cas de Microsoft, aussi lourd de conséquences soit-il, réveille le sujet plus large de la sous-traitance des fonctions essentielles. Et là encore l’actualité parle d’elle-même : fin 2023, c’est l’entreprise américaine Okta qui subissait une cyberattaque importante lors de laquelle les pirates sont parvenus à voler cookies et jetons de session associés à des environnements de clients. Cerise sur le gâteau, ce sont deux de ses clients (1Password et CloudFlare) qui l’en informent…
La victime, spécialisée dans les services d’authentification, voit ses utilisateurs frappés d’effroi puisqu’ils ont fait le choix de lui déléguer le contrôle d’accès de leurs services. Autrement formulé, les hackers peuvent usurper l’identité des clients d’Okta et, ce faisant, accéder à leurs environnements. Et bien que tous les clients d’Okta affectés par cet incident de sécurité aient été prévenus, on sait combien rapidement les cybercriminels sont capables de revendre et d’exploiter leurs trouvailles, notamment lorsque leur ultime objectif n’est pas la première victime, mais ceux qu’ils pourront atteindre par rebond !
Arrêt sur image avant de conclure : l’éclairage apporté par la myriade de questions et les récits qu’a portés le présent article n’a pas vocation à ébranler les stratégies de migration cloud des millions d’entreprises concernées. Il alerte en revanche le lecteur sur une éventualité : le paradigme autour du cloud tout-puissant est peut-être en train d’évoluer.
Et loin de tirer la sonnette d’alarme, mitigeons les propos tenus. Passée l’aube de l’année 2024, les réglementations poursuivent leur éclosion et si elles font pester, à juste titre, quelques RSSI, elles contribuent indéniablement à assurer une maîtrise de plus en plus fine par les entreprises des technologies qui portent leurs métiers, jusqu’à renverser le rapport de force avec les géants numériques de ce monde ? L’avenir nous le dira.