La signature pour assurer l’intégrité et l’authenticité
Quand vous confiez vos données à un Cloud, vous demandez que seuls les utilisateurs autorisés puissent en prendre connaissance. La confidentialité, mise en œuvre par le chiffrement, remplit cette demande. Mais rien ne prouve que les données, même chiffrées, n’ont pas été modifiées. Justement, le chiffrement peut également assurer cette fonction de vérification de l’intégrité et aussi celle de la vérification de l’authenticité des données confiées au Cloud. L’authenticité est la preAuve que les données ou les programmes de traitement de ces données créés par une personne ou une organisation, sont bien celles de cette personne ou de cette organisation.
Le mécanisme de la signature électronique, basé sur le calcul d’empreintes et sur les mécanismes de chiffrement permet de garantir l’intégrité et l’authenticité des informations et des programmes qui les traitent. J’apporterai une réponse un peu à côté de la question posée : "Oui, il faut tout signer ce qu’on met dans le Cloud". Bien sûr, la signature électronique apporte aussi son lot de difficultés techniques : Gestion des clés de chiffrement, génération des certificats électroniques, signature par une autorité de confiance, mais, à mon sens, plus on perd la gouvernance de ses informations et de leurs traitements, plus on a besoin de prouver l’intégrité et l’authenticité de ce qu’on récupère venant du Cloud.
Le VPN pour sécuriser les échanges
Jusque là, nous avons évoqué seulement le chiffrement des informations stockées et manipulées dans le Cloud. Il est une question qu’il ne faut surtout pas oublier : "Faut-il chiffrer tous les canaux d’échanges des informations entre le Cloud et l’utilisateur ?".
Quel que soit le Cloud, du Cloud privé ou Cloud public, quel que soit le modèle SaaS, PaaS ou IaaS, la réponse est "oui". Bien entendu il faut utiliser le chiffrement pour assurer la confidentialité, l’intégrité et l’authenticité (et également la non répudiation) de ce qui transite entre le prestataire de Cloud et son client.
Pour se faire, la technique du VPN (Virtual Private Network, ou Réseau Privé Virtuel) apporte une bonne solution. Parmi les VPN possibles, si l’utilisateur accède à l’information par son navigateur, le protocole SSL (Secure Socket Layer) est de toute évidence la solution qui s’impose. Aucune connaissance technique n’est nécessaire pour utiliser le VPN SSL. Tout navigateur est un client SSL prêt à l’emploi, sans qu’il soit nécessaire pour l’utilisateur d’en avoir conscience. Simplement l’adresse Web, par laquelle vous accédez à vos informations, commence pas "https" et non par "http" et il y a un cadenas fermé sur lequel, en cliquant deux fois, vous obtenez, entre autres renseignements, l’autorité de confiance qui a signé le certificat électronique du serveur par lequel vous accédez à vos informations.
Avec cela, vous êtes quasi certains, je ne compliquerai pas ces explications en évoquant certaines attaques comme celle du "man in the middle", que les informations qui transitent entre vous et le prestataire de Cloud, ne seront ni lues, ni modifiées durant le transfert. Donc, pour répondre à la question posée : "Oui, évidemment, il faut utiliser un VPN pour toutes les transactions entre le Cloud et vous". Le VPN SSL offre à l’utilisateur l’assurance qu’il s’adresse bien à son prestataire de Cloud. Il faut aussi que le Cloud s’assure, de son côté, de l’identité/authenticité de l’utilisateur avant de lui accorder les ressources, et là encore, en général, cela fait appel à des fonctions de chiffrement mais qui sont en dehors du sujet traité et on peut espérer que tout prestataire de Cloud met en jeu un mécanisme d’identification/authentification rigoureux, sinon d’autres que vous pourraient accéder à vos données.