Les révélations d’Edward Snowden, en juin, sur le programme de surveillance Prism ont divulgué au public les techniques d’écoute à grande échelle de la NSA, l’agence nationale de renseignement américaine. Une réalité dont les entreprises doivent tenir compte dans le choix d’une solution cloud.
Entre 35 et 45 milliards de dollars, c’est le chiffre d’affaires que pourraient perdre les géants américains du cloud computing à la suite du scandale Prism. Selon le think tank Cloud Security Alliance, les entreprises canadiennes, et surtout européennes, pourraient bien se détourner d’un Google et autre Microsoft… Depuis les révélations d’Edward Snowden, elles ont la certitude que la NSA (National Security Agency) surveille leurs échanges et peut, potentiellement, transmettre des informations à leurs concurrentes nord-américaines.
Ces révélations n’ont pas réellement surpris les experts en cybersécurité, ni les grandes entreprises. Dès 1995, le réseau Echelon de la NSA faisait parler de lui avec l’interception, par les Américains, de l’offre d’Airbus à l’Arabie saoudite pour un contrat de 6 milliards de dollars. Forts de cette information, Boeing et McDonnell Douglas avaient fait une contre-offre et empoché le marché. Avec Prism, ce qui a surpris les experts, c’est l’ampleur du dispositif.
L’agence dispose d’accès aux datacenters de Microsoft, Yahoo!, Google, Facebook et Apple, pour ne citer que les plus grands. Même un chiffrement SSL (protocole cryptographique) basique ne résiste pas à ses supercalculateurs. Désormais, toutes les entreprises peuvent se considérer comme potentiellement sur écoute, même la plus petite PME qui loue quelques dizaines de boîtes aux lettres chez Microsoft ou qui choisit la bureautique en ligne de Google.
Haro sur le Patriot Act
Cette prise de conscience remet sur le devant de la scène les fournisseurs nationaux. « Merci Prism, merci la NSA ! » s’est exclamé Octave Klaba, lors de l’OVH Summit, la première conférence pour les utilisateurs de l’hébergeur français. Numéro 3 mondial du secteur, OVH a enregistré un succès sans précédent pour son offre d’hébergement de messageries : « En France, il y a entre 500 000 et 600 000 boîtes mail Microsoft Exchange, a précisé le fondateur d’OVH. 10 % sont hébergées sur notre infrastructure. »
Alors que le service avait été bâti pour les SSII partenaires d’OVH, ce sont les patrons de PME qui se sont rués sur l’offre. Même succès pour Hubic, le service d’hébergement de fichiers du français. Lancé en mars 2012, ce service, directement concurrent des Box et Dropbox américains, compte déjà 200 000 clients. Une belle réussite ! Et quand OVH a voulu prendre pied en Amérique du Nord, son fondateur a préféré s’installer au Québec : « Nous voulions être en Amérique du Nord, mais pas aux États-Unis pour ne pas avoir à nous conformer au Patriot Act », a précisé Octave Klaba.
Adoptée par le Congrès américain à la suite des événements du 11 septembre 2001, cette loi donne accès à l’ensemble des données d’une entreprise américaine sur simple ordonnance d’un juge. « La réglementation canadienne, plus proche de la réglementation européenne en termes de protection des données personnelles, nous convenait mieux et correspondait mieux aux desiderata de nos clients », a-t-il expliqué.
Quand les big data entrent en scène
Ni Amazon Web Services (AWS), ni Google, ni même Microsoft, pourtant très actifs commercialement en France, ne disposent de la moindre infrastructure technique dans l’Hexagone. Non seulement ces fournisseurs sont soumis au Patriot Act, mais en souscrivant à leurs offres, les entreprises ont l’assurance que leurs données seront stockées à l’étranger. Une aubaine, notamment pour Numergy et Cloudwatt, les deux services de cloud souverain français. Cloudwatt s’appuie sur Orange et Thales, tandis que Numergy réunit SFR et Bull. Chacun des projets dispose d’un financement de 75 millions d’euros de la Caisse des dépôts.
Pour se différencier de leurs concurrents américains, outre la localisation de leurs datacenters, l’un comme l’autre misent sur une sécurité de très haut niveau de leurs infrastructures. Cloudwatt s’appuie sur un géant de la défense, Thales, pour disposer d’une infrastructure ultrasécurisée, tandis que Numergy a pu compter sur Bull pour mettre en place une sécurité de nouvelle génération, basée sur une approche big data. L’idée n’est plus seulement de se protéger contre les attaques classiques, mais de contrer les attaques ciblées. Un virus déjà connu va être détecté par les logiciels antivirus, car il figure dans leurs bases de virus. A l’opposé, une attaque ciblée est spécifiquement conçue par un gouvernement ou une organisation criminelle pour s’infiltrer dans le système informatique d’une entreprise bien précise. Aucun antivirus ne la détecte et, si elle est menée suffisamment intelligemment, elle peut s’infiltrer peu à peu sur les serveurs de l’entreprise et, au bout d’un certain temps, donner le contrôle de ses machines à l’attaquant.
« Pour déjouer ces tentatives de recueil de renseignements, nous avons mis en place ce qu’on appelle un centre de sécurité de seconde génération », explique Thierry Floriani, responsable de la sécurité des systèmes d’information (RSSI) de Numergy. « Outre le fait d’installer des équipements de sécurité classiques comme des pare-feu et des sondes, nous avons mis en place une approche de type “big data”. L’objectif est de détecter les attaques APT [Advanced Persistent Threat, ou menaces persistantes avancées, ndlr], toujours très ciblées, qui sont particulièrement prisées des gouvernements. » Pour déjouer cette dernière catégorie d’attaques, Numergy stockera l’ensemble des événements réseaux pendant une durée d’au moins un an, puis lancera ses logiciels d’analyse sur cette masse colossale d’informations pour y déceler les infimes traces de comportements anormaux annonciateurs d’une attaque. L’approche demande beaucoup de ressources de calcul, ce qui explique notamment le rôle de Bull dans l’entreprise.
Une prise de conscience très progressive
Pour autant, ces efforts peuvent-ils convaincre les entreprises françaises, déjà prudentes vis-à-vis du cloud computing, à franchir le pas ? « Depuis Prism, les gens s’intéressent davantage à nous. Nous recevons plus de demandes d’études de la part de partenaires, on leur apporte une vraie garantie, mais les projets cloud prennent du temps », reconnaît Thierry Floriani.
Convaincre les PME de porter leur informatique dans le cloud risque de se révéler difficile. Déjà, avant que le scandale n’éclate, les directions informatiques plaçaient la sécurité et la confidentialité de leurs données au premier rang des freins liés au cloud computing. Ce thème est cité par près de trois directeurs informatiques sur quatre dans l’étude T-Systems datant de mi-2012. Pour autant, ce concept de sécurité est très relatif, comme le souligne Pascal Vieville, responsable du marché professionnel d’Orange France : « Lorsqu’on vient leur proposer les services cloud Orange, bien souvent les PME nous répliquent que leurs serveurs ne risquent rien chez eux. Jusqu’au jour où, dans un cabinet d’expert-comptable, la femme de ménage a débranché accidentellement les serveurs, et une TPE s’est fait cambrioler et voler ses machines avec les sauvegardes… »
Les cloud souverains sont maintenant opérationnels. Leurs commerciaux vont miser sur le « made in France » pour convaincre les PME de monter dans le cloud sans passer sous l’oeil indiscret de la NSA.
Cet article est extrait du n°6 d’Alliancy, le mag – Découvrir l’intégralité du magazine
Photo : DR
Lire aussi : Prism – Trois questions à… Patrick Starck, Cloudwatt