Qui d’autres a accès à votre nuage?
Votre entreprise est-elle aussi une utilisatrice enthousiaste de services dans le nuage comme Dropbox, Amazon EC, Microsoft Office 365 ou Google Apps? Vous-êtes-vous dès lors déjà demandé qui d’autre a aussi accès à votre nuage?
Votre entreprise est-elle aussi une utilisatrice enthousiaste de services dans le nuage comme Dropbox, Amazon EC, Microsoft Office 365 ou Google Apps? Vous-êtes-vous dès lors déjà demandé qui d’autre a aussi accès à votre nuage?
Je ne parle pas ici ni de respect de la vie privée ni de sécurisation qui sont en général au point chez les acteurs en vue sur le marché du ‘cloud’. A ce niveau, l’on prévoit quasiment toujours une exception pour les exigences légales. Il est certes logique que vos données puissent être réclamées sur ordre judiciaire. Mais même sans un tel ordre, certaines instances gouvernementales peuvent également accéder aux données de votre entreprise stockées dans le nuage. Cela dépend de l’emplacement où votre fournisseur ‘cloud’ a juridiquement son siège central. Cela dépend aussi de l’emplacement où votre fournisseur ‘cloud’ stocke ses données. Cela vous est peut-être égal, car vous préférez ne pas vous occuper de ce genre de choses.
Mais des secrets d’entreprise sont probablement stockés dans votre nuage. L’espionnage industriel est aussi – certains affirment même surtout – l’affaire des autorités. La Chine par exemple ne tient guère compte des droits de propriété intellectuelle. Est-ce dès lors une bonne idée que de s’associer à Atos, qui a lancé récemment une co-entreprise avec la société chinoise cotée en Bourse Ufida en vue de fournir des services ‘cloud’ dans la zone EMEA (Europe, Moyen-Orient, Afrique)? La co-entreprise Yunano a certes son siège central à Paris, mais des serveurs chinois économiques seront peut-être utilisés pour stocker des données. La Chine, où les autorités peuvent explorer comme bon leur semble chaque serveur, à l’insu ou non de son propriétaire…
Les principaux fournisseurs ‘cloud’ opèrent cependant à partir des Etats-Unis, où le président Obama a en mai dernier prolongé de quatre ans plusieurs sections du tristement célèbre Patriot Act datant de 2001. La section 215 par exemple, généralement connue comme la “library records provision” et appelée officiellement “Access to records and other items under the Foreign Intelligence Surveillance Act (FISA)”. FISA autorise les autorités américaines à explorer toutes sortes de données de personnes étrangères aux ou en dehors des Etats-Unis sans que ces personnes puissent en être informées. Les entreprises américaines se voient contraintes de collaborer avec les services de sécurité et ne peuvent même pas prévenir leurs clients que leurs informations sont passées au crible.
En tant qu’entreprise européenne, mieux vaut donc réfléchir avec qui vous allez vous associer pour des services dans le nuage. Le spécialiste britannique de la défense BAE Systems est du même avis. Le service juridique de cette entreprise ne souhaite pas migrer vers Microsoft Office 365. Certains fournisseurs peuvent garantir contractuellement que les informations seront stockées uniquement sur des serveurs européens. Voilà qui incitera encore à encoder les donnés sensibles au moyen d’une solide solution de cryptage AES. Il existe divers services ‘cloud’ à cette fin. Optez cependant pour un service de cryptage qui ne tombe pas sous le coup de la loi américaine. SecureCloud de Trend Micro par exemple, qui n’est pas une entreprise américaine, mais japonaise. Ou choisissez une solution open source telle TrueCrypt. Lisez à ce propos aussi notre test de ce genre de produits dans le n° 20 de Data News.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici