Le modèle du cloud est devenu un vrai levier pour la collaboration avec les partenaires. Dans celui-ci, les entreprises louent un service informatique accessible par Internet, sans avoir à se préoccuper de l’installation, de la maintenance ou de la gestion des ressources, ces opérations étant prises en charge par le fournisseur.
Aisés à déployer, immédiatement opérationnels et dotés de nombreuses fonctionnalités pour le partage d’informations, les services cloud séduisent les entreprises.
Parmi les applications SaaS les plus populaires, les solutions collaboratives sont en bonne place. Les entreprises sont de plus en plus nombreuses à basculer leurs plates-formes internes vers le cloud, migrant par exemple la messagerie, la bureautique ou des portails de type Sharepoint.
Certaines adoptent même de nouveaux outils uniquement en mode SaaS pour faciliter les échanges avec des tiers, tels DropBox ou Google Drive.
Néanmoins, il subsiste quelques freins à une adoption plus large, liés pour l’essentiel à la sécurité et à la conformité. Selon une enquête menée par Gigaom Research en mars 2015, la sécurité reste ainsi la principale préoccupation des décideurs IT, 65 % des répondants reconnaissant que la sécurisation des connections à leurs applications cloud est un enjeu pour eux.
Ces inquiétudes sont liées à plusieurs facteurs : d’une part, en faisant le choix d’une plate-forme cloud, une entreprise renonce, de fait, à sa maîtrise sur les données associées, qui sortent de son périmètre de sécurité pour être confiées à un tiers.
D’autre part, elle ne connait pas de manière précise le lieu où seront stockées ses données, les grands fournisseurs de cloud indiquant au mieux la zone géographique concernée.
Enfin, dans ces conditions, l’entreprise n’est pas toujours en mesure de s’assurer que son usage du cloud est conforme aux législations en vigueur.
Difficile par exemple de déterminer si des données personnelles peuvent être conservées dans une application cloud, si l’on ne sait pas où elles seront stockées et comment elles seront protégées.
Dans ce contexte, il est d’autant plus essentiel de bien évaluer les enjeux en matière de sécurité. En effet, selon le type de solution utilisé, les problématiques décrites précédemment n’auront pas le même impact.
Dans le cas des solutions IaaS, qui visent principalement à fournir de la puissance de calcul ou de l’espace de stockage, le contrôle des informations reste assez simple à mettre en œuvre, le périmètre étant relativement circonscrit.
Dans le cas du PaaS, où l’entreprise cliente cherche non plus simplement des ressources machines mais des plateformes prêtes à l’emploi, avec un système d’exploitation et des services d’administration clef en main, il est généralement possible de redéployer les solutions de sécurité utilisées en interne sur ces serveurs distants.
En revanche, quand il s’agit de la couche applicative avec les offres SaaS, la situation se complique : l’entreprise n’a alors accès qu’aux fonctionnalités du logiciel choisi, et celui-ci n’est pas toujours bien sécurisé.
Comment s’assurer dans ce cas de la sécurité des données qui vont transiter sur cette application ? La solution réside dans le chiffrement des données grâce à une clef. Néanmoins, se pose alors la question de la personne à qui confier cette clef. Deux options sont alors possibles :
- Confier la clef à un administrateur système: laisser cette responsabilité aux mains d’une seule personne est dangereux à double titre, d’une part, car ce collaborateur peut quitter la société, d’autre part, car la protection de l’ensemble des données sensibles dépend alors du degré de confiance que l’on place en cette personne. Rappelons qu’Edward Snowden était administrateur au sein de la CIA avant de divulguer des informations de la NSA en 2013…
- Responsabiliser les collaborateurs à l’origine des données: en tant qu’auteurs, ceux-ci sont les plus à même de déterminer si une information est sensible ou pas. En leur confiant cette responsabilité, l’entreprise transmet également le message que la vigilance est l’affaire de tous et peut éduquer ses salariés à la protection des données.
En misant sur la responsabilisation de chacun, des situations à risques classiques auront moins de chance de se produire : le cas, plus courant que l’on ne pense, du stagiaire qui se fait démarcher par de faux profils sur les réseaux sociaux, puis accepte des documents vérolés provenant de ces contacts, n’entraînera pas de lourdes conséquences pour l’entreprise, les données sensibles étant chiffrées.
De son côté, un collaborateur aura moins de chances d’évoquer des informations confidentielles à portée d’ouïe d’inconnus (devant la machine à café, au restaurant…) s’il est directement chargé de leur protection.