La transition vers une infrastructure infonuagique constitue un changement fondamental pour une entreprise. Quelles sont les implications de ce changement en matière de sécurité de l’information ? L’infonuagique est-elle plus ou moins sécuritaire qu’une infrastructure traditionnelle, bâtie autour de serveurs hébergés et gérés sur place par le personnel de l’entreprise ?

 

« La sécurité est une question de processus, pas seulement une question de technologie, soutient Dominique Derrier, chef de la sécurité de l’information (CISO) chez NOVIPRO. Une bonne hygiène est indispensable, peu importe l’approche. » Là où l’infonuagique peut contribuer, c’est en apportant des solutions pour faciliter l’effort qu’une entreprise doit consentir pour améliorer l’équilibre entre le risque et les mesures de protection.

 

Des craintes injustifiées

En matière d’infonuagique et de sécurité, nombre de gestionnaires font preuve de méfiance. « Nous avons peur de ce que nous ne voyons pas », explique Dominique Derrier. « Surtout depuis l’affaire Snowden — ce vol de documents secrets expliquant le fonctionnement de point d’accès dans les nuages par le consultant Edward Snowden de la National Security Agency aux États-Unis en 2013 », précise-t-il. Les gestionnaires craignent que, si leurs serveurs ne sont pas sur leurs propres sites, ils soient davantage vulnérables aux tentatives d’espionnage. Les fournisseurs de services infonuagiques redoublent d’efforts pour supprimer ce risque. Paradoxalement, certains spécialistes de la sécurité infonuagique croient le contraire : l’infonuagique apporte clairement des bénéfices pour améliorer sa posture de sécurité, se concentrer sur l’essentiel et l’amélioration continue, mais attention, le fournisseur ne se substitue pas à toutes vos obligations. « La sécurité est une responsabilité partagée dans le nuage, souligne Dominique Derrier. Vous êtes ultimement responsable de la protection des données que vous récoltez, où que soit localisé le service. »

 

Hygiène de sécurité

L’infonuagique facilite l’adoption d’une bonne hygiène de base pour la sécurité, au démarrage et dans le temps, car les outils sont à disposition. Pour la suite, « On peut adopter trois attitudes, explique Dominique Derrier. Se mettre la tête dans le sable et espérer pour le mieux, se débrouiller par soi-même, du mieux qu’on peut, ou bien on peut céder le contrôle sur l’infrastructure et se concentrer sur la protection des données. »


Or, dans bien des cas, la deuxième approche n’est pas plus viable que la première. Certaines des pires intrusions de 2020 ont été réalisées à l’aide de de mauvaises configurations des environnements infonuagiques, mais à propos desquelles les entreprises visées n’avaient pas une totale compréhension, selon M. Derrier. Le saint Graal de l’infonuagique vise à traiter l’informatique comme un service et pour automatiser le déploiement de nouvelles versions, de façon transparente pour la clientèle et en minimisant les risques des coupe-circuits de configuration laisser aux interactions humaines.

L’infonuagique permet nativement de surveiller les applications déployées dans les espaces clients et de détecter les mutations dans l’environnement de production. Cela dit, la vigilance reste de mise pour toutes les parties impliquées. « Si le mot de passe du président compte que huit caractères, donne en exemple Dominique Derrier, un pirate pourra s’emparer de ses courriels en un rien de temps si d’autres méthodes ne sont pas activées, peu importe la plateforme où ils sont hébergés. »

 

Équilibre et coûts

Plusieurs autres facteurs sont à considérer lorsque l’on cherche à établir l’équilibre optimal en matière de sécurité. L’influence du passage à l’infonuagique sur les frais d’exploitation, par exemple, n’est pas aussi prévisible qu’on pourrait le penser. « Si on ne fait qu’échanger un serveur local pour un serveur imparti, l’infonuagique finit par coûter plus cher », confirme Dominique Derrier.

Les gains en matière de flexibilité peuvent cependant permettre aux entreprises de compenser : les services infonuagiques sont souvent facturés à l’utilisation, ce qui permet d’ajouter ou réduire la capacité rapidement en cas de besoin — ou d’en céder lorsqu’un événement fortuit comme la pandémie de COVID-19 vient perturber la conjoncture économique. Surtout, l’impartition de l’infrastructure donne accès à une expertise rare, coûteuse et difficile à retenir. « Si vous faites affaire avec fournisseur infonuagique, vous n’avez pas besoin de vous payer des certifications sur son périmètre, le fournisseur peut amortir la dépense en partageant les coûts entre des milliers de clients », dit Dominique Derrier.

 

Souveraineté des données

La souveraineté des données constitue un autre dossier épineux à considérer, surtout pour les entreprises qui souhaitent étendre leurs activités jusqu’à des juridictions qui exigent d’obtenir un accès aux données personnelles à des fins politiques ou de sécurité nationale. « C’est compliqué, confirme Dominique Derrier. Les plus gros fournisseurs sont chinois ou américains. Si l’on veut faire affaire en Chine ou en Russie, il faut utiliser des fournisseurs locaux. Et puis, est-ce que les données du gouvernement canadien devraient être stockées aux États-Unis ? ». Il faut arriver à une acceptation du risque entre proximité avec ses usagers et localisation. Les données qui ne peuvent pas quitter le pays doivent trouver une solution alternative.

La crainte de se retrouver enfermé au sein de l’écosystème d’un fournisseur infonuagique reste cependant surestimée, croit Dominique Derrier. « Le changement n’est pas neutre, mais les barrières se situent davantage au niveau du design que de la technologique. » La plupart des fournisseurs offrent des fonctions qui, sans être identiques, sont similaires et relativement interopérables, ce qui facilite les transitions. « Mais si vous développez une application trop spécifique à un fournisseur sans respecter des standards, il est évident que vous n’aurez pas autant de flexibilité », précise M. Derrier.