Avez-vous confiance dans la confidentialité du Cloud ?

[Gordon Fowler]

Avez-vous confiance dans la confidentialité du Cloud ?
Google fait certifier la confidentialité des Google Docs par des organismes indépendants


Google, Amazon ou Salesforce.com se livrent bataille dans le Cloud. Mais ces prestataires ont un point commun : la question de la confidentialité est toujours plus ou moins esquivée.

Le constat est certainement moins vrai pour Microsoft qui d'une part propose un Cloud hybride (et donc permet de garder la main en local sur ses données sensibles) et d'autre part qui a admis qu'en cas de demande de la part de la justice américaine, ses data-centers seraient ouverts au FBI.

Une transparence tout à l'honneur de l'éditeur qui permet aux décideurs de bien prendre conscience que la localisation du stockage de leurs données, même dans le Cloud, est cruciale.


Datacenter de Bing Maps par Robert Scoble

De leur côté, quand on les questionne sur le sujet, Amazon et Google bottent poliment en touche.

La réponse de Moutain View est souvent la même : ces problématiques de confidentialité ne se posent plus. En substance, seules les entreprises « du passé » seraient encore inquiètes.

« On s'engage contractuellement au respect de la confidentialité de celles-ci », nous déclarait cependant Laurent Lasserre, Directeur Commercial Google Entreprise France. Qui ajoutait presque instantanément que tout comme pour le hors-ligne « c'est une question que nous n'avons pratiquement plus ».

Même argument pour Eric Haddad, le tout nouveau Directeur France de Google Enterprise : « de plus en plus de clients vont franchir le pas, il y a beaucoup de choses qui se résolvent et les blocages que des décideurs pouvaient avoir disparaissent ».

Souvent, également, les interlocuteurs glissent du délicat sujet de la confidentialité à celui plus confortable de la sécurité, sur l'air de « nos data-centers sont plus sécurisés que les vôtres ». Ce qui est certainement vrai dans 99% des cas, mais qui ne répond pas véritablement à la question initiale.

De son côté, Adobe, qui se lance lui aussi dans le Cloud (mais sur des données un peu moins critiques), a une position intéressante très peu tranchée. « La question n'est pas de savoir si le Cloud va s'imposer ou pas. Il va s'imposer. Les coûts des infrastructures sont trop élevés pour les entreprises et les développeurs », déclarait ainsi récemment Ben Forta à Developpez.com, « moi ce que je pense c'est que le Cloud force aujourd'hui les gens à se poser des questions qu'ils ne se posaient pas avec leurs propres serveurs. La sécurité, la confidentialité, la disponibilités, la réplication des données, toutes ces questions ne les préoccupaient pas vraiment. Avec le Cloud ils se les posent, et c'est très bien ».

Avant de conclure dans un sourire : « en revanche je n'ai pas les réponses à toutes ces questions ».


Ben Forta, Photo Developpez.com

Bien que, en résumé, la confidentialité ne soit plus un problème pour lui, Google a néanmoins décidé de donner des gages supplémentaires. L'entreprise ne communique toujours pas sur la méthode ou les technologies qu'elle met en place pour la garantir, mais elle vient de faire certifier ses Google Apps par des organismes tiers indépendants sur le sujet.

« Aujourd’hui, et depuis le mois d'août 2011, nous sommes heureux de pouvoir annoncer à nos clients que les Google Apps ont passé avec succès deux nouveaux tests qui touchent aussi bien la confidentialité des données, que leur intégrité ou leur accessibilité » annonce Google Enterprise sur son blog français.

L'initiative est à la fois louable et tout à fait bienvenue.

Elle pourrait mettre fin à la querelle entre ceux qui affirment que nombre d'acteurs français sont encore réticents à ce type d'outils justement à cause de la confidentialité, et ceux qui disent le contraire (« les clients français sont des précurseurs, notre pays est un des marché les plus dynamiques d'Europe », déclare par exemple Eric Haddad).

En attendant, l'Agence Spatiale Européenne a tranché la question en donnant raison à Laurent Lasserre. L'entreprise de très haute technologie sur un secteur ô combien sensible et confidentiel a décidé d'utiliser les Amazon Web Services.


Et vous ?

Que pensez-vous de la confidentialité dans le Cloud ? Est-ce un critère qui vous parait (encore) pertinent ?

[Thorna]

Ha ben... Est-ce qu'on demande aux gens s'ils ont confiance dans la confidentialité du SI de leur entreprise ? En général, non, parce qu'ils ne se posent pas trop la question, ou parce qu'elle est sensée leur apporter tout le "confort" nécessaire à ce sujet.
Alors, pourquoi pose-t-on cette question au sujet du Cloud ? Parce qu'on imagine la réponse et que cette réponse n'est pas aussi positive que dans le cas ci-dessus... et avec raison : il suffit de lire le texte pour se rendre compte que les questions à se poser sont nombreuses et que les spécialistes "n'ont pas toutes les réponses" (sic), sinon qu'ils s'empresseront de fournir toutes les données confidentielles nécessaires à la moindre demande d'un obscur juge de Conté.
Ajoutons, pour faire bonne mesure, les 0.07% de perte jugés raisonnables (sinon le Cloud serait mort le jour où Amazon a connu quelques problèmes) et concluons comme tout le monde : vite, dans le cloud !

Citation:

Envoyé par Gordon Fowler

« moi ce que je pense c'est que le Cloud force aujourd'hui les gens à se poser des questions qu'ils ne se posaient pas avec leurs propres serveurs. La sécurité, la confidentialité, la disponibilités, la réplication des données, toutes ces questions ne les préoccupaient pas vraiment. Avec le Cloud ils se les posent, et c'est très bien ».

Si les gens ne se les posaient pas, c'est peut-être qu'ils jugeaient ne pas avoir besoin de se les poser... ou parce que les responsables SI avaient bien noyé le poisson... ou bien fait leur boulot ! Comme je suis optimiste de nature, je vote pour la dernière raison. Mais c'est quand même une bonne chose (pour l'informatique) que les gens finissent par se poser cette question, même si ce n'est pas bon à terme pour le cloud.

[chaplin]

On mettra toutes nos données sur le Cloud, puis chaque accès sera facturé indexé sur le coût de l'electricité ... l'énergie comme les emprunts toxiques de Dexia qui ont plombé les comptes de commune quand le taux d'intérêt a flambé de 3.5% à 16%/an.

[DonQuiche]

Concernant les données, il y a une question redondante qui se pose avec plus d'acuïté concernant le Cloud : où sont stockées les données ? Dans quel pays. Car Google et compagnie fourniront *évidemment* les données à la justice américaine ou aux services d'espionnage américains quand ceux-ci le demanderont (officiellement pour l'une, officieusement pour les autres). C'est une parfaite évidence, il en a toujours été ainsi et il faudrait vraiment être demeuré pour penser qu'il en ira autrement.

[fregolo52]

Perso, pour la confidentialité, je m'inquiète plus du piratage que des Agences de Renseignements.

Pour le moment, j'hésite beaucoup à avoir à disposition mon scan de ma Carte d'Identité, permis ... sur Google Docs.

Je pense que la NSA et autres agences ne demanderont pas l'autorisation à Google, elles auront y accès tout simplement. C'est déjà le cas pour la crypto des données, elles savent casser facilement les clés.

[Bart-Rennes]

Le cloud, le rêve de tous les pirates, un concentré de donnée sur une seule attaque

[Bluedeep]

Citation:

Envoyé par fregolo52

C'est déjà le cas pour la crypto des données, elles savent casser facilement les clés.

Tu as des sources à l'appui de ton affirmation ?

[Mat.M]

Citation:

Envoyé par Gordon Fowler

[B][SIZE="4"]
De son côté, Adobe, qui se lance lui aussi dans le Cloud (mais sur des données un peu moins critiques), a une position intéressante très peu tranchée. [I]« La question n'est pas de savoir si le Cloud va s'imposer ou pas. Il va s'imposer. Les coûts des infrastructures sont trop élevés pour les entreprises et les développeurs »

« moi ce que je pense c'est que le Cloud force aujourd'hui les gens à se poser des questions qu'ils ne se posaient pas avec leurs propres serveurs.

1 argumentation très marketing et commerciale
2 c'est contestable : je me vois mal faire de la retouche d'image "on-line" ou alors je n'ai rien compris..
le Cloud Computing c'est exécuter des applications en ligne sur des serveurs distants.
Donc il va falloir une formidable déploiement de moyens et d'infrastructure côté prestataires de service
En plus c'est faux ce que dit ce Ben Forta parce que les serveurs en entreprise ne servent pas à faire de l'applicatif en ligne mais seulement comme entrepôts de donnée ou serveurs de fichiers...

Citation:

Envoyé par DonQuiche

Concernant les données, il y a une question redondante qui se pose avec plus d'acuïté concernant le Cloud : où sont stockées les données ? Dans quel pays.

peut-être au Canada...un grand hébergeur Français du nord de la France va installer des serveurs là-bas en raison du climat...
je peux le dire car ils ont lancé une campagne de recrutement..

[kdmbella]

Que pensez-vous de la confidentialité dans le Cloud ? Est-ce un critère qui vous parait (encore) pertinent ?

il est certain qu'avec le Cloud on perd quelque peut la main sur nos données et ce qui est encore plus dangereux c'est que des Agences étatiques pourront y avoir accès sous divers prétextes ou allors se tailleront des lois sur mesure pour. Donc en conclusion pour moi le Cloud a juste un avantage économique mais le prix à payé c'est la confidentialité

[el_slapper]

Le cloud me semble indispensable pour une activité nouvelle et mal capitalisée : sans visibilité sur le volume d'activité d'un futur proche, sa scalabilité offre une flexibilité indispensable au créateur d'entreprise, voire à l'entreprise mature qui lance une nouvelle activité.

Par contre, pour une activité mature portée par une entreprise mature, quel est l'avantage? J'ai beaucoup de mal à voir en quoi une grande banque(par exemple) gagnerait quoi que ce soit à ne pas avoir se serveurs à l'abri, en interne. Sécurité? Confidentialité? Temps de Réponse? Capacité? Prix(d'achat ou d'usage)? Sauvegardes? (je ne sais pas, hein, je pose juste les questions, des fois que quelqu'un puisse apaiser mes doutes avec autre chose que du blabla marketing).

[fregolo52]

Citation:

Envoyé par Bluedeep

Tu as des sources à l'appui de ton affirmation ?

J'aurais dû approfondir.
C'est surtout lié aux entreprises (de crypto) US.
ex : http://fr.wikipedia.org/wiki/Crypto_AG
www.anonymat.org/archives/nsa.htm

En d'autres termes : point d'entée, faille ...

Y'a pas de fumée sans feu.

PS : j'ai appris ça il y a 10 ans, mais je pense que c'est toujours d'actu

[chaplin]

Citation:

Envoyé par Mat.M

peut-être au Canada...un grand hébergeur Français du nord de la France va installer des serveurs là-bas en raison du climat...
je peux le dire car ils ont lancé une campagne de recrutement..

Je note un point intéressant, les contraintes techniques engendrent des contraintes environnementales.

Si une boîte informatique est intéressée pour faire un bain thermal au dessus d'un Datacenter, je suis partant.

Je n'en reviens pas qu'à l'aube d'une crise énergétique majeure mondiale, on n'ai pas de démarche éco-environnementale !

[magellan94]

Je suis réticent concernant le cloud, et ce pour plusieurs aspects fondamentaux.
1) Les prestataires sont des entreprises.
Ce qui veut dire que, fondamentalement:
- Elles fléchiront en cas d'injonction d'une quelconque administration locale (d'où une sensibilité inacceptable à la fuite de données dans certains secteurs sensibles)
- Elles peuvent, comme toute société, disparaître corps et biens, ce qui sous-entend alors un risque potentiel pour les quitter rapidement en cas de crise (Nota: oui c'est de la parano... mais un hébergeur qui fait faillite, ça existe)

2) Et la sécurité?.
Là, je suis encore plus perplexe: plus c'est complexe, plus c'est perméable. Typiquement, plus il y aura de services, plus il y aura de failles potentielles dans les systèmes cloud... avec les risques que cela pourrait provoquer. Au surplus, il y a certaines choses que j'estime inacceptable de mettre en ligne, probablement parce que j'ai la culture de certains clients TRES regardants avec la sécurité de l'information.

3) La haute disponibilité? WABON?!
Déjà qu'on assiste régulièrement à des soucis de respect des contrats des ISP (débit, disponibilité...), il serait, à mes yeux du moins, difficile de ne pas craindre un blocage total des entreprises trop adossées au cloud en cas de problème réseau sévère.
J'ajoute, qu'en plus de la solution cloud, s'ajoute la quantité phénoménale de bande passante qui sera utilisée par ces systèmes déportés. J'imagine la grande "joie" au moment de la facture de bande passante pour l'usage de paint et consoeurs... Difficile à quantifier? Pas anodin surtout!

J'ai franchement la crainte que le cloud soit un peu la bulle internet des années 2010, à savoir de belles idées, des concepts très intéressants, mais pas assez matures ni vraiment utilisables par le commun des entreprises, avec une chute monumentale dans la foulée, faute d'offrir des solutions viables à coûts raisonnables.

[ZiGoM@r]

Depuis l'effondrement de l'URSS, il est de notoriété publique que les agences de renseignements occidentales concentrent la majorité de leurs efforts sur les entreprises étrangères. Donc effectivement, la perte de contrôle des données que représente le Cloud peut s'avérer dangereuse, ce dont les entreprises œuvrant dans des secteurs stratégiques sont parfaitement conscientes.
Les FAI et autres opérateurs de téléphonie mobile représentent eux aussi un danger important, et depuis bien longtemps !
Moralité : Où qu'elle soit stockée, toute donnée privée devrait être cryptée.
Aussi, les systèmes utilisé pour les produire ou pour y accéder doivent pouvoir être contrôlés et authentifiés (donc obligatoirement open-source).

Maintenant, pour le reste, la centralisation et donc les effets d'échelles que permet le Cloud optimisera grandement certaines applications, en plus de tout simplement en rendre possibles d'autres. Est-ce une raison pour ce débarrasser du web classique ou d'empêcher la décentralisation d'autres systèmes ? Rien est moins sûr.

[gangsoleil]

Bonjour,

1/ Il n'y a pas de securite dans le cloud, pour toutes les raisons precitees (acces des gouvernements aux donnees, point d'attaque unique, ...)
2/ Pour une entreprise, ca ne fait que deplacer le probleme : en supposant que toutes les donnees soient dans le nuage, il faut plusieurs connexions en beton pour y acceder. Et ca, ce n'est pas chiffre dans le cout du cloud par les vendeurs type google/amazon/adobe.
3/ Il sait que le cloud est l'avenir ? Peut-etre, peut-etre pas. Mais vu qu'il le vend, il serait bete de dire le contraire.
4/ Acceder a toutes les donnees, partout, tout le temps ? Mais quid de la mobilite ? Les commerciaux par exemple ont beaucoup de choses dans leur PC, et ne sont que peu souvent connectes. Une clef 3G ? Oui, mais pas dans les villes dont le reseau est sature, et pas a la campagne ou ca ne passe pas...

Bref, je n'aime pas le cloud qui est une bulle qui permet de vendre du vent a de vrais personnes qui vont, comme en 2000, se faire bananer de ci de la.
Attendons la prochaine bulle de 2020, je suis certain qu'elle sera l'avenir aussi.

[miaous]

perso , si je devais utiliser le cloud , j'utiliserais différent service en parallèle ( et qui n'est pas stocké dans le même pays si possible).

j'utiliserai un programme de découpage de manière à ne pas stocké tout le fichier sur le même serveur.

Je mettrai de la redondance pour pourvoir récupérer des donnés si un des service est en panne.

les donnés serait crypté avec un clé local différente sur chaque serveur
et le fichier serait crypté avec un autre clé propre.

[Bluedeep]

Citation:

Envoyé par miaous

perso , si je devais utiliser le cloud , j'utiliserais différent service en parallèle ( et qui n'est pas stocké dans le même pays si possible).

j'utiliserai un programme de découpage de manière à ne pas stocké tout le fichier sur le même serveur.

Je mettrai de la redondance pour pourvoir récupérer des donnés si un des service est en panne.

les donnés serait crypté avec un clé local différente sur chaque serveur
et le fichier serait crypté avec un autre clé propre.

Euh tu es sur que ce sera plus économique que d'avoir ta propre salle serveurs ?

[fregolo52]

Citation:

Envoyé par gangsoleil

Acceder a toutes les donnees, partout, tout le temps ? Mais quid de la mobilite ? Les commerciaux par exemple ont beaucoup de choses dans leur PC, et ne sont que peu souvent connectes. Une clef 3G ? Oui, mais pas dans les villes dont le reseau est sature, et pas a la campagne ou ca ne passe pas...

Oui mais là, tu parles d'un PC d'aujourd'hui avec un OS d'aujourd'hui. Les PC de demain auront tous Chrome OS, donc rien en local. Google tient sa logique. Ok, ce n'est pas la mienne ni celle de beaucoup d'entre nous.

Citation:

Envoyé par Bluedeep

Citation:

Euh tu es sur que ce sera plus économique que d'avoir ta propre salle serveurs ?

Tu oublies aussi les perfs.

[gangsoleil]

Citation:

Envoyé par miaous

si je devais utiliser le cloud , j'utiliserais différent service en parallèle ( et qui n'est pas stocké dans le même pays si possible).

j'utiliserai un programme de découpage de manière à ne pas stocké tout le fichier sur le même serveur.

Je mettrai de la redondance pour pourvoir récupérer des donnés si un des service est en panne.

les donnés serait crypté avec un clé local différente sur chaque serveur et le fichier serait crypté avec un autre clé propre.

Oui, donc en fait, tu n'utiliserai pas du cloud, dont le but est que tu confies toute la gestion a une entreprise externe qui fait ce qu'elle veut de tes donnees.

[magellan94]

Le concept de "scalability" pour répondre à la croissance potentielle des besoins de l'entreprise me fait souvent sourire... Pourquoi? Parce que l'immense majorité des sociétés peuvent aisément se "contenter" de performances moyennes, et au surplus se moquer des besoins de croissance en ressources processeurs.

Voyons un peu par profils...
Administratifs
La volumétrie actuelle des documents, même surchargés par des montagnes d'images/schémas est bien loin de pouvoir saturer les structures classiques de sauvegarde. Il n'est au surplus pas nécessaire de fournir des applications tierces complexes qui sortent du périmètre d'usage commun. De la bureautique, quelques logiciels propriétaires/génériques, de la messagerie... et on a bouclé les besoins. Pas besoin du cloud pour répondre à ces besoins.
Commerce
Idem à ci-dessus, mais avec une mobilité (pc portables) où la synchronisation a un sens... mais rarement mise en pratique. Au final, le commercial bosse chez le client (saisie d'infos), prend la voiture, puis revient au siège/domicile pour dépouiller ses données. Le cloud là-dedans? Loin d'être indispensable, non?
Production
Là, tout dépend: cela peut avoir un sens de louer de la puissance processeur pour certains, tout comme d'autres n'ont besoin que de données classiques circulant par le réseau.

Personnellement, je ne saurais préconiser le cloud qu'aux grosses entreprises, et pour des choses bien ciblées, mais certainement pas pour s'affranchir d'un maillage interne. Là où je serais plus à sensibiliser les sociétés, c'est sur la gestion efficace des sauvegardes en interne, sur l'organisation des documents (archivage serveur et surtout pas local comme c'est bien trop souvent le cas), et sur une meilleure information des utilisateurs concernant les médias amovibles (USB, pour la perte des médias et surtout l'apport de virus par les clés).