Les nuages font rêver
Mais où sont-ils en réalité ? De quoi sont-ils faits ?
-Tu es dans les nuages.
– Ce n’est pas moi, ce sont mes données. Elles y sont en sécurité. Je peux les faire redescendre quand je veux.
– Descends donc de ton petit nuage…
– Mais qui donc habite les nuages ?
– Les nuages sont habités par de méchants et monstrueux géants, les Grands Affamés de Financements Mystérieux (GAFAMs ou Gaffamés). Les Gaffamés espionnent les terriens et profitent de leur position dans les nuages pour pomper sur terre le jus de données et en fabriquer une boisson magique, capable de donner pouvoir et richesses à ceux qui la possèdent.
Contes et légendes de l’Internet
Informatique en nuage
Descendons donc de nos petits nuages pour voir ce qui se cache dans le nuage.
Définitions
Nous nous interrogions dès 2011 sur l’apparition de ce terme marketing désignant l’externalisation de services informatiques : Cloud computing, juste du buzz? Rappelons les définitions officielles de ce terme :
- Le J.O. du 6 juin 2010 définissait l’informatique en nuage comme le « mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de
services fournis par un prestataire. », en notant qu’il s’agit d’une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. - Gartner, pour sa part, définissait le Cloud Computing comme « un style d’informatique dans lequel des capacités informatiques évolutives et élastiques sont fournies en tant
que service à des clients externes à l’aide de technologies internet ». - La CNIL apporte pour sa part une définition intéressante en notant la multiplicité des équipements utilisés : Le cloud computing (en français, « informatique dans les nuages ») fait référence à l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Les applications et les données ne se trouvent plus sur un ordinateur déterminé mais dans un nuage (cloud) composé de nombreux serveurs distants interconnectés.
- L’ANSSI en donne la définition suivante dans le référentiel d’exigences SecNumCloud : modèle de gestion informatique permettant l’accès via un réseau à des ressources informatiques partagées et configurables. Ces ressources sont attribuées à la demande et parfois en libre-service.
- L’incontournable Wikipédia définit le cloud computing, en français l’informatique en nuage (ou encore l’infonuagique au Canada), comme l’accès à des services informatiques (serveurs, stockage, mise en réseau, logiciels) via Internet (le « cloud » ou « nuage ») à partir d’un fournisseur.
Nous notions en 2011 que l’on pourrait finalement définir très simplement le Cloud Computing comme la « location en ligne de services informatiques », ou, encore plus simple, comme « l’informatique à la demande ».
Le « nuage » ne serait ainsi qu’un terme pseudo-poétique pour désigner l’ensemble des services hébergés à distance par des prestataires. Entreprises et particuliers sont ainsi déchargés de multiples tâches de gestion et d’administration des matériels, logiciels et réseaux par des FSN (Fournisseurs de services numériques).
Dématérialisation ou multiplication des matériels ?
Le terme de dématérialisation est beaucoup employé pour désigner l’informatisation croissante des entreprises, intégrant le recours au Cloud. Ne nous y trompons pas, l’immatérialité du nuage n’est qu’une illusion. Le nuage est composé de serveurs, processeurs et disques durs, reliés entre eux par des câbles qui n’ont rien d’immatériel. Entre le nuage et l’équipement de l’utilisateur final, les données empruntent les multiples chemins de l’Internet via câbles et routeurs. Les données et communications téléphoniques reçues sur le smartphone proviennent de l’antenne relais la plus proche, elle-même reliée au réseau par des câbles bien matériels.
Contrairement à ce qu’on pourrait croire avec tous les discours sur le virtuel ou le nuage (cloud), l’Internet est très concret. Même si on utilise des ondes radio, il faut des émetteurs et des antennes, des choses physiques, et qui ont du être installées, puis maintenues.
Stéphane Bortzmeyer – Cyberstructure – L’Internet, un espace politique
Les gafamés essaient bien de nous faire croire à l’immatérialité du nuage en s’appuyant sur des textes de loi créant la confusion. Le Cloud Act (“Clarifying Lawful Overseas Use of Data Act” or “CLOUD Act”) de 2018 formule ainsi un principe d’extraterritorialité, laissant croire que le nuage n’est plus localisable… Cette loi permet aux autorités américaines d’accéder aux données où qu’elles soient stockées, dès lors que le prestataire est une entreprise américaine, implantée ou non sur le sol des États-Unis.
Les équipements de réseaux mobiles : un business contrarié par les enjeux de souveraineté via @LaTribune https://t.co/OvU3tYAIE6
— Jonathan Chan 💡📣 (@ChanPerco) July 22, 2022
Les datacenters ne sont pas à l’abri d’accidents physiques, ils peuvent être victimes d’incendie et sont sensibles à la chaleur. https://www.linformaticien.com/magazine/cloud/59942-les-fortes-chaleurs-font-planter-google-et-oracle.html
— Eqinity (@eqinity) July 22, 2022
99 % des communications intercontinentales transiteraient par des câbles sous-marins. Les câbles sous-marins peuvent être coupés, accidentellement ou non.
New #dataviz! The Earth’s submarine fiber optic cable network, visualized in #RStats with #rayrender.
Rayrender Github:https://t.co/iB5nWhGY7l pic.twitter.com/1FTKM0FPHr
— Tyler Morgan-Wall (@tylermorganwall) September 22, 2021
https://selectra.info/telecom/actualites/acteurs/cables-sous-marins-peut-il-y-avoir-une-coupure
Au-dessus même des nuages, la communication peut également être assurée par des satellites. Les premiers satellites utilisés à cette fin étaient des satellites géostationnaires utilisant une orbite haute de plus de 36 000 km. La communication via satellites, encore limitée, se développe aujourd’hui grâce aux satellites de basse altitude (entre 500 et 2 000 km), moins coûteux et plus rapides. Du fait de leur orbite basse, ils sont contraints de se déplacer rapidement autour de la terre et doivent donc être suffisamment nombreux pour couvrir un territoire.
Les risques d’attaque de ces satellites ne sont pas exclus. Un de leurs défauts reste la multiplication des déchets spatiaux, retombant à terme sur le plancher des vaches.
Dissipons le brouillard
Une des caractéristiques du Cloud, dans sa définition la plus générale, est, nous l’avons vu, la multiplicité des équipements utilisés associée à la non-transparence de leur localisation physique par les utilisateurs.
La prétendue dématérialisation n’est en réalité qu’un changement de support de l’information, qui reste bien stockée sur des supports physiques, de façon démultipliée, une même donnée pouvant transiter et être présente simultanément sur plusieurs équipements du réseau. Mais la plupart d’entre nous restent dans le brouillard, ne sachant pas réellement où leurs données sont stockées, par qui et sur quel support, avec quel niveau de protection, physique ou juridique.
Lire les contrats, savoir où sont stockées les données, quelle réglementation est applicable par son fournisseur, dissiper le brouillard qui entoure le nuage, telle pourrait être notre recommandation.
Cloud de confiance ?
Dissiper le brouillard, c’est bien le but du label Cloud de confiance lancé en mai 2021 par le gouvernement français, afin de renforcer la souveraineté numérique de l’État. Objectif, protéger les données les plus sensibles des administrations publiques et des entreprises stratégiques :
Le respect des exigences du référentiel SecNumCloud a pour objectif l’atteinte d’un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le commanditaire.
Ce label s’appuie sur la qualification SecNumCloud délivrée par l’ANSSI. Cette qualification existait depuis 2016 et a été complétée en 2021 dans le cadre de la mise en place de la labellisation Cloud de confiance.
Les exigences applicables au prestataire couvrent un ensemble de points que l’on trouvait déjà dans les normes de sécurité telles que celles de la série ISO 27 001 :
- politiques de sécurité et gestion du risque,
- organisation de la sécurité de l’information,
- sécurité des ressources humaines,
- gestion des actifs (équipements utilisés pour le service),
- contrôle d’accès et gestion des identités,
- cryptologie (chiffrement des données stockées et des flux, gestion des mots de passe…),
- sécurité physique et environnementale,
- sécurité liée à l’exploitation,
- sécurité des communications,
- acquisition, développement et maintenance des systèmes d’information,
- relations avec les tiers,
- gestion des incidents liés à la sécurité de l’information,
- continuité d’activité,
- conformité.
S’y rajoutent des exigences supplémentaires adaptées au contexte européen :
- établissement d’une convention de service,
- localisation des données et leur administration au sein de l’Union européenne,
- utilisation de la langue française pour les interfaces et le support de premier niveau,
- effacement des sonnées en fin de contrat,
- protection des données à caractère personnel.
La dernière section traite de l’« immunité au droit extracommunautaire ». Elle précise que le siège social du prestataire de services doit être établi dans un État membre de l’UE et énonce des règles sur la composition du conseil d’administration.
À ce jour (aout 2022), 5 prestataires ont reçu la labellisation pour certains de leur service :
| Société | Service | Date début validité label | Date fin validité |
| Cloud Temple | Secure Temple | 15/03/2022 | 15/03/2025 |
| Oodrive | Oodrive_platform avec le service Oodrive_collaborate | 17/03/2022 | 22/01/2025 |
| Oodrive_platform avec le service Oodrive_meeting | 17/03/2022 | 22/01/2025 | |
| Oodrive_platform avec le service Oodrive_share | 17/03/2022 | 22/01/2025 | |
| Outscale SAS | IaaS Cloud on Demand | 06/11/2020 | 12/12/2022 |
| OVH | Private Cloud | 02/06/2022 | 24/12/2022 |
| Worldline | Worldline Cloud Services – Secured IaaS | 22/10/2021 | 22/10/2024 |
D’autres sont en cours de labellisation. Il est donc recommandé de rester prudent en matière de choix de prestataire Cloud. La labellisation ne couvre pas tous les services d’un prestataire et demeure limitée dans le temps, comme l’est toute certification sérieuse.
Avertissement
Une prestation de services d’informatique en nuage non qualifiée peut potentiellement augmenter l’exposition du commanditaire à certains risques et notamment la fuite d’informations confidentielles, la compromission, la perte ou l’indisponibilité de son système d’information.
Ainsi, dans le cas d’une prestation non qualifiée, il est recommandé au commanditaire d’exiger de la part de son prestataire un document listant l’ensemble des exigences de ce référentiel non couvertes dans le cadre de sa prestation, afin de connaître les risques auxquels il s’expose.Référentiel SecNumCloud – Risques liés à l’absence de qualification
Choisissez le bon nuage !
Références complémentaires :
Impact du RGPD sur la sécurité de l’information
La carte mondiale des câbles sous-marins
La continuité d’activité et son management
Management de la continuité d’activité
