Rechercher

L’utilisation d’un nuage demande une analyse approfondie des risques

L’essor des mégadonnées (ou données massives) et le développement de l’informatique en nuage vont de pair: de nombreuses applications utilsent ainsi des infrastructures en nuage pour traiter efficacement les données générées par les appareils mobiles. Les entreprises trouvent dans cette nouvelle approche un modèle technique et économique leur permettant de mettre rapidement en place de nouvelles applications analysant de gros volumes de données. Elles ne sont, toutefois, pas les seules à tirer parti de ce potentiel: les particuliers et les institutions publiques sont aussi toujours plus nombreux à le faire.

L’utilisation d’un nuage demande une analyse approfondie des risques

L’informatique en nuage permet à de nombreuses applications de se partager la même infrastructure. Cela n’apporte pas que des avantages économiques, mais rationalise aussi l’utilisation des ressources.

Qu’entend-on exactement par informatique en nuage, infonuagique ou encore «cloud computing»? Du point de vue technique, cette approche se fonde sur la virtualisation des serveurs, une méthode qui permet de dissocier les ressources en matériel des services logiciels. De la sorte, plusieurs utilisateurs de nuages peuvent, par exemple, disposer de leurs propres serveurs virtuels logés dans le même serveur physique. Pour que la virtualisation soit efficace, il faut des architectures qui soient capables de relier un grand nombre de serveurs entre eux et des techniques susceptibles d’augmenter rapidement la performance des serveurs et des réseaux. La virtualisation permet d’attribuer les ressources des serveurs à différents niveaux: les infrastructures telles que les serveurs virtuels et les supports de stockage («Infrastructure as a Service», IaaS), les plateformes comme les bases de données ou les serveurs web («Platform as a Service», PaaS) et, en dernier lieu, les applications comme les messageries ou la gestion de documents («Service as a Service», SaaS).

Acquérir des ressources supplémentaires au gré des besoins


La virtualisation donne aussi lieu à de nouveaux modèles d’affaires, ce qui constitue la véritable innovation de l’informatique en nuage. Les serveurs peuvent ainsi être loués en fonction des besoins («pay per use»), ce qui permet aux entreprises de transférer des coûts d’investissement sur les coûts d’exploitation et d’acquérir des ressources supplémentaires au gré de leurs besoins: lors de pics – par exemple pour les applications qui doivent traiter soudainement un grand nombre d’accès –, elles se procurent rapidement des ressources en grande quantité, puis s’en défont dès qu’elles n’en ont plus besoin. On appelle cette propriété de l’informatique en nuage l’élasticité. De nombreux utilisateurs partageant les mêmes ressources physiques, les coûts administratifs et techniques par serveur diminuent considérablement, ce qui génère un effet d’échelle. L’efficience croissante de l’informatique en nuage n’apporte pas que des avantages économiques, mais rationalise l’utilisation des ressources (en particulier de l’électricité, le principal facteur de coûts de l’informatique de nos jours). Autant dire que l’informatique en nuage peut contribuer à la durabilité des technologies de l’information.

Néanmoins, l’informatique en nuage n’est pas toujours l’option la moins chère. En effet, pour les applications qui requièrent le stockage de grandes quantités de données, l’élasticité des infrastructures n’est pas nécessairement déterminante. En outre, les transferts de gros volumes de données que ces applications impliquent sont très onéreux et laborieux sur des réseaux externes. Dans ces cas, les solutions locales classiques gardent tout leur attrait.

Qu’en est-il de la sécurité?


Les atouts manifestes de l’informatique en nuage ne doivent pas cacher les problèmes potentiels, liés indubitablement aux nouveaux risques en matière de sécurité et aux questions juridiques.

En effet, le nuage pose de nouveaux risques d’ordre technique, qui résultent du partage des infrastructures. Il est ainsi impossible d’exclure que le programme d’une application puisse extraire des informations confidentielles contenues dans celui d’une autre application en réalisant des analyses statistiques approfondies. En outre, les plateformes informatiques en nuage n’étant pas toujours compatibles techniquement entre elles, il est impossible de changer de fournisseur sans supporter des frais considérables (captivité).

Les principaux problèmes sont, toutefois, liés à la sécurité des données qui, dans le nuage, sont généralement exposées à trois types de risque:

  • Le fournisseur utilise les données, avec ou sans autorisation, et les analyse par exemple à des fins d’insertion d’annonces publicitaires.
  • Des délinquants lancent des attaques contre les systèmes du fournisseur, tant de l’extérieur que de l’intérieur. Les récentes affaires de vol de données sensibles – mots de passe en particulier – témoignent de la gravité de ce problème.
  • Des organismes gouvernementaux se procurent un accès aux données. L’affaire Snowden, qui a dévoilé les activités de surveillance tous azimuts auxquelles se livrent les services secrets américains, ne révèle certainement qu’une petite partie du problème.


Il ne faut, cependant, pas oublier que les serveurs locaux sont souvent exposés aux mêmes risques. Il serait faux de supposer que la gestion de la sécurité des données y est nécessairement meilleure que sur le nuage.

Aspects juridiques: de nombreux points d’interrogation demeurent


Si la sécurité et la protection des données dans le nuage posent des problèmes si épineux, c’est en raison de la complexité de la situation juridique. D’une part, l’utilisation du nuage est régie par les lois de différents pays. D’autre part, les législateurs peinent à suivre le rythme des progrès techniques et à s’adapter aux nouvelles réalités. Les incertitudes et les risques que cet état de fait engendre inquiètent les utilisateurs, qui manifestent par ailleurs de la méfiance envers les acteurs de l’infonuagique. Parmi les problèmes classiques, citons l’externalisation des activités des fournisseurs. Ainsi, Dropbox utilise les infrastructures web d’Amazon. Au bout du compte, les inter-dépendances contractuelles et les réalités juridiques qui en résultent sont pratiquement opaques pour les utilisateurs et même pour les experts.

Cette situation juridique pose de graves problèmes aux instituts de recherche et aux universités qui veulent utiliser les ressources du nuage. S’ils interprètent strictement les dispositions légales, à l’instar de celles qui régissent l’échange de documents internes, il leur est pratiquement impossible d’utiliser les plateformes en nuage publiques. Cela pénalise gravement l’efficience de leur travail, par exemple dans le domaine de la rédaction collaborative de documents ou de l’utilisation de plateformes mobiles. Les services fournis au personnel et aux étudiants qui reposent sur des plateformes en nuage situées à l’étranger constituent un cas particulièrement épineux, étant donné que des données personnelles sont transmises. L’une des solutions consiste à parvenir à un accord avec les fournisseurs afin que le traitement des données ait lieu dans le pays concerné uniquement. C’est d’ailleurs la teneur de la convention que Microsoft et les institutions éducatives suisses ont signée récemment Cet accord spécifie le pays européen où les données peuvent être hébergées, ainsi que les possibilités de contrôle. Il mentionne également que la Suisse est le for juridique en cas de différent. . Cette approche est non seulement laborieuse, mais peut aussi nuire à la performance, par exemple lors de l’utilisation des réseaux sociaux.

Le nuage, cible de la cybercriminalité


C’est particulièrement la question de la guerre de l’information (cyberguerre) qui préoccupe les pouvoirs publics dans le domaine de l’informatique en nuage. Ce terme englobe l’espionnage, à des fins tant politiques qu’économiques, et les attaques dirigées contre des infrastructures cruciales. La guerre de l’information est actuellement une réalité, comme le montrent les tensions récentes entre la Chine et les États-Unis dans ce domaine. L’utilisation de ces armes à des fins politiques et économiques est une pratique plus ou moins avouée de nombreux pays. Dans ce contexte, le nuage constitue une cible, notamment pour accéder à des informations confidentielles. Il peut également servir de relais pour lancer des attaques contre d’autres infrastructures, comme les transports ou l’énergie.

Nous nous trouvons là devant un conflit qui oppose la préservation des intérêts fondamentaux de l’État à l’avantage concurrentiel que procure le recours au nuage. Si la modification du cadre légal et l’adoption de bonnes pratiques sont essentielles à cet égard, elles ne sauraient toutefois résoudre le problème à elles seules. La question est de savoir dans quelle mesure un État est disposé à investir pour disposer de ses propres infrastructures en nuage et pour préserver celles existantes – comme les réseaux – afin de ne pas dépendre de l’étranger. Avant de consentir les investissements nécessaires, il faut analyser soigneusement les domaines vitaux.

Situation actuelle en Suisse


En Suisse, la situation est mitigée. Un écosystème de fournisseurs s’est mis en place dans le secteur privé, tirant parti de l’image positive et de la sécurité juridique de notre pays pour proposer des services sécurisés de stockage de données, notamment dans le domaine de la finance. En revanche, les entreprises suisses se distinguent par leur prudence, les risques pour leur sécurité et les dépendances représentant à leurs yeux les deux principaux obstacles à l’utilisation du nuage.

Dans le domaine des administrations publiques, E-Government Suisse a élaboré une Stratégie d’informatique en nuage 2012–2020, qui prévoit notamment la création d’un «government cloud» pour les applications devant satisfaire à un niveau accru de sécurité www.egovernment.ch, rubriques «Mise en œuvre», «Priorités», «Cloud-computing».. Les risques et les lacunes ont fait l’objet de diverses études Par exemple: www.switch.ch/fr/uni/projects/cloud; www.satw.ch/projekte/projekte/cloud_computing (en allemand); www.ta-swiss.ch/fr/cloud-computing.. Aujourd’hui, le sujet suscite un vif débat qui ne débouche cependant sur rien de très concret. Néanmoins, Switch réalise à l’heure actuelle un projet pilote de nuage universitaire, une des premières initiatives dans ce domaine. Quant aux fournisseurs commerciaux, ils ont commencé à concevoir des services informatiques en nuage sur mesure pour les utilisateurs publics.

Tant dans le domaine public que dans celui de la recherche (voir encadré 1), il est clair que seule une collaboration à l’échelon national permettra de réaliser des systèmes d’infonuagique à des coûts raisonnables, ce qui ne sera pas une mince affaire si l’on pense à la petite taille de notre pays et à son fédéralisme.

Le prix de la souveraineté numérique


Il faut voir dans l’informatique en nuage une occasion à saisir. La Suisse ne manque d’ailleurs pas d’atouts en ce domaine: grande sécurité juridique, système d’éducation et de recherche de qualité et présence de plusieurs branches traitant de gros volumes de données, dont la finance et la pharmacie. Certes, le nuage comporte de nombreux risques, mais il ne faut pas pour autant se laisser gagner par l’hystérie. Il est en effet bien plus judicieux d’analyser soigneusement les dangers. L’objectif à long terme que représente la souveraineté numérique n’est pas pour autant un but que l’on puisse atteindre sans des investissements massifs La mise sur pied de services d’infrastructures sur le plan national est encore gérable – pour le stockage de données par exemple – tandis que la fourniture de services plus complexes, comme la gestion collaborative de documents, occasionne des frais incommensurablement plus élevés.. Ceux-ci sont essentiels en raison du caractère crucial de la matière première qu’est l’information.

Les autres conditions de la réussite sont une meilleure coordination des acteurs et le renforcement de la sécurité juridique. Si tous ces facteurs sont réunis, d’excellentes perspectives économiques s’ouvrent sous la forme d’une efficience informatique améliorée, d’une plus grande capacité concurrentielle et de nouveaux champs d’activité. L’informatique en nuage présente aussi un grand potentiel pour la qualité de vie grâce à des applications dans le domaine de la médecine ou à de nouveaux mécanismes d’interaction sociale et politique.

Proposition de citation: Karl Aberer (2014). L’utilisation d’un nuage demande une analyse approfondie des risques. La Vie économique, 10 mai.

Exemples tirés de la science

Dans la recherche et l’enseignement, trois initiatives chapeautées par l’EPF Lausanne méritent tout particulièrement d’être mentionnées:

  • l’utilisation de plateformes en nuage pour des cours en ligne ouverts à tous («Massive Open Online Courses»), qui pose des questions en matière de sécurité de données, car ces plateformes se situent actuellement aux États-Unis;
  • la mise en place d’un Swiss Research Cloud, dans le but de créer un nuage conçu pour satisfaire les besoins particuliers du stockage et de l’analyse de données scientifiques;
  • la conception d’infrastructures à haut rendement énergétique dans le centre de recherche EcoCloud, afin de freiner la forte hausse de la consommation électrique des nuages et de l’informatique en général.