Nous continuons à voir beaucoup de DSI, d’entreprises ou d’administrations farouchement opposées à l’idée d’avoir leurs données et leurs applications stockées et opérées dans un cloud public Google, Microsoft ou Amazon, et qui préfèrent continuer à investir massivement en terme de matériels, de logiciels et de ressources humaines pour faire tourner, surveiller, maintenir en conditions opérationnelles ces infrastructures. Ces mêmes entreprises ou administrations brandissent souvent l’argument du Cloud souverain français ou européen pour justifier de leur intérêt futur, un jour peut-être, pour le basculement de leurs infrastructures dans un Cloud public. En parallèle nous assistons parfois à des formations en cybersécurité où l’obscurantisme le dispute à la culture de la peur. Mais qu’en est-il vraiment ? Quel écart entre les mythes diffusés par ceux qui ont intérêt à le faire et la réalité ?
Cybersécurité – La sécurité de nos données en danger sur Google, Microsoft, Amazon et autres clouds publics. Mythes ou réalités ?
La performance des clouds publics vue d’un utilisateur intensif
Nous sommes utilisateurs de clouds publics depuis notre création en 2008. Et nous utilisons aujourd’hui pour 99,9% de nos besoins les clouds publics de Google, Dropbox, Amazon, Microsoft, OVH et Netexplorer. Ces deux derniers sont des produits de sociétés françaises hébergeant leurs données en France. L’ensemble de nos données et de nos applications sont dans le cloud. Notre infrastructure SI se résume à quelques boîtiers telecoms pour gérer nos liaisons WAN et notre réseau LAN et WLAN. Factuellement, en 12 ans, nous n’avons jamais eu à nous plaindre de ce choix : aucun incident de disponibilité, 1 ou 2 incidents de perte de données seulement (liés au processus de départ des consultants) et en revanche depuis 12 ans nous accédons à nos données de n’importe où dans le monde, de n’importe quel type d’ordinateur, tablette ou smartphone, nous avons du totaliser plusieurs centaines de montées de versions sur tous les services que nous utilisons avec quasiment aucun impact et que du positif. Bref un confort et une performance inégalables pour des coûts très faibles en tout cas sans commune mesure avec ce que nous devrions payer si nous hébergions et devions assurer le maintien en conditions opérationnelles de ces mêmes services sur nos propres infrastructures.
Il est important bien sûr de mentionner cet élément de contexte, puisque celui-ci biaise aussi notre point de vue, et nous fait sauter au plafond plus que bien d’autres consultants lorsque nous interagissons sur des sujets numériques avec nos clients qui ne vivent pas tous, loin s’en faut, dans le même contexte et n’ont pas la même histoire que nous.
Les biais cognitifs de nos clients
Nos clients également ont des biais cognitifs lorsqu’ils évaluent la pertinence d’utiliser des clouds publics. Le premier de ces biais concerne les coûts de MCO et d’évolutions des infrastructures, logiciels support et logiciels métiers. Ces coûts sont souvent mal évalués soit parce qu’ils ne prennent pas en compte le shadow IT, soit parce que, et c’est souvent le cas dans les administrations publiques, le coût des ressources humaines internes n’est pas pris en compte ou de manière très partielle, soit parce que ce coût est évalué pour des niveaux de performance très médiocres et n’ayant parfois rien à voir avec ce que permettent les clouds publics type Google, Amazon, Microsoft. Nous ne pouvons pas les en blâmer, il est en effet difficile d’imaginer ce que cela représente de n’avoir aucun incident de disponibilité en 12 ans quand certains de nos clients sont « habitués » à en avoir toutes les semaines. On s’habitue à tout… malheureusement.
Le second biais cognitif est celui des risques de sécurité. Nos clients partent souvent d’un postulat qui est : mes données ne sont pas en sécurité avec une société américaine qui héberge et duplique mes données partout dans le monde. Nous pensons que ce postulat est faux dans l’immense majorité des cas, car les grands fournisseurs de clouds publics que sont notamment Google, Microsoft et Amazon, d’une part sont soumis à des cyberattaques incessantes qui les obligent à être toujours au top du top en terme de sécurité et d’autre part c’est leur intérêt premier, leur réputation est en jeu, que d’être plus performant que n’importe qui d’autre face aux cyberattaques. D’ailleurs un article récent de Positive Technology montre qu’en moyenne cela prend 30 minutes à un Hacker de pénétrer dans l’infrastructure locale d’une organisation. Inutile de dire que ce nombre est proche de l’infini pour des organisations telles que Amazon, Microsoft ou Google.
Un discours Cybersécurité ambiant qui entretient la peur et la confusion
Nous avons eu la chance d’assister à des formations et des sensibilisations en cybersécurité. Nous pensons que celles-ci manquent cruellement d’arguments factuels. Sous le couvert de l’argument « non divulgation d’informations pouvant représenter un risque de sécurité », des amalgames sont faits, des informations sans aucun moyen de vérifier leur qualification sont diffusées, des raccourcis parfois complètement faux sont réalisés et on demande à l’auditoire de croire sur parole le formateur.
Concernant les clouds publics des GAFA américains, un des argument qui est quasi-immédiatement sorti est le Cloud Act. Alors que celui-ci n’a pas tout à voir avec le Cloud, loin de là, puisque dans le cas présent le mot Cloud est un acronyme qui signifie : Clarifying Lawful Overseas Use of Data Act. Bref, pour faire simple et rapide, le Cloud Act est avant tout une facilité juridique pour un fournisseur de services de contester la fourniture de données demandées par une administration américaine (par exemple le FBI qui demanderait à Amazon de récupérer des données d’une société française qui utiliserait les services de stockage d’Amazon). C’est donc autant un bouclier qu’une faille de sécurité. A noter que le Règlement Général sur la Protection des Données européen protège contre le Cloud Act puisqu’un fournisseur de service peut contester la demande de données s’il estime que cette demande viole le RGPD ou d’ailleurs toute autre réglementation en vigueur dans le pays concerné par ces données. A titre d’exemple, Google s’est engagé à prévenir ses clients qui feraient l’objet d’une demande de données de la part du gouvernement américain.
Le seul risque de sécurité qui vaille en général la peine d’être évalué quand on parle d’un Cloud public tels que ceux évoqués c’est le risque de coupure du service en cas de guerre ouverte, entre les Etats-Unis et l’Europe par exemple. Ce risque n’est pas nul et il doit être traité mais il peut généralement l’être facilement compte tenu notamment de sa faible probabilité. De plus c’est un risque qui peut être facilement mis sous surveillance : un état de guerre entraînerait des tensions en amont qui devraient permettre de se préparer à l’avance et de circonscrire ce risque. L’autre risque concerne les documents classifiés où l’on peut comprendre que pour des documents confidentiel défense ou secret défense il soit raisonnable de se passer des services d’un cloud public d’une société étrangère.
En conclusion
Nous pensons que la transformation numérique du monde passera par l’utilisation de cloud publics et qu’il est illusoire d’attendre la création d’un Cloud souverain français ou européen pour prendre le train en marche. Si la France ou l’Europe arrivent à bâtir ce cloud souverain tant mieux et le plus tôt sera le mieux, mais ce n’est qu’une bataille parmi d’autres et perdre une bataille n’a jamais fait perdre la guerre. Il y a bien d’autres sujets que les services « Infrastructure as a Service » ou les services de stockage dans la transformation numérique du monde.
Desole Eric mais je ne suis pas d’accord avec un certain nombre de points que vous mentionnez.
1. Le cloud act n’est pas un bouclier pour protéger les clients contre le FBI mais exactement l’inverse puisqu’en fait il fait obligation au provider de NE PAS informer le client.
2.Je suis d’accord que la mise en cloud des données de paie ne pose pas de vrai problème de confidentialité. j’en suis moins certain quand il s’agit de la best and final offer d’un important contrat.
3. Il y a effectivement conflit de droit entre le cloud act et le RGPD et la récente décision de la CJUE sur le privacy shield le confirme. Ce n’est pas une raison pour considérer que le point de vue américain est meilleur. Dans ce droit, Cambridge analytics est regrettable dans le notre, il est répréhensible. C’est une différence majeure de mon point de vue (mais je suis pret à en discuter)
4. Je ne suis pas d’accord sur le fait que le risque peut etre mis sous surveillance. Cela me rappelle les discours sur le traimement des pandémies avant qu’on ne la voie en vrai. La réalité est que, si un problème cyber commençait à paralyser le monde, le gouvernement US réquisitionnerait les ressources américaines pour sauver en priorité leur industrie et je consièrec cela comme juste et logique. Le précédent des masques devrait nous servir de leçon. Cela ne veut pas dire que le risque est rédhibitoire, mais encore une fois, il vaut mieux ne mettre loin de soi que des données dont on peut se passer pendant quelques jours ou quelques semaines.
Bonjour Philippe. Oui je suis d’accord qu’il faut être vigilant. Sur votre point 2 également c’est ce que j’ai voulu exprimer en prenant le point de vue caricatural des informations classifiées. Mais cela s’étend évidemment à d’autres données sensibles.
Pour illustrer plus avant mon propos, je trouve l’article d’Alan très intéressant. https://blog.alan.com/tech-et-produit/pourquoi-nous-hebergeons-sur-aws