Il est difficile de répondre par oui ou par non à cette intéressante question quand on appréhende la complexité du Cloud mais aussi celle du chiffrement. Il semblera à un public, non expert en technologie du Cloud, mais néanmoins conscient de l’obligation de sécuriser son Information, et, d’après toutes les enquêtes, la sécurité est la première appréhension qui freine encore le saut dans le nuage, qu’une réponse affirmative aille de soi. Dans la mesure où l’organisation, ou le particulier, n’ont plus la souveraineté sur le stockage et le traitement, de leur Information, lorsque tout se passe dans un nuage, oui, de toute évidence il faut chiffrer tout ce qu’on met dans le Cloud. Alors, pourquoi n’est-ce pas si simple de répondre à cette question Et si on le souhaitait, est-ce possible de tout chiffrer?
Pas un mais "des" types de Clouds
Il existe trois modèles de services du Cloud : l’IaaS pour bâtir des architectures réseaux et systèmes, le PaaS pour les développeurs et le SaaS pour les utilisateurs. Il n’y a pas, à mon sens, une réponse unique pour l’ensemble de ces modèles. Si l’organisation maîtrise un certain nombre de facteurs dans la gestion de son Information avec l’IaaS, elle en maîtrise beaucoup moins avec le PaaS et presque rien avec le SaaS, juste les informations qu’elle y injecte et celles qui en ressortent.
Il existe d’autre part quatre modèles de déploiement, le Cloud privé où l’organisation est la seule utilisatrice, le Cloud mutualisé utilisé par plusieurs organisations mais en nombre limité et donc connu au moins par le prestataire du Cloud, le Cloud public pouvant être utilisé par tout le monde et ouvert sur l’Internet et enfin le Cloud mixte qui se situe entre le Cloud mutualisé et le Cloud public.En associant chacun des trois modèles de service à chacun des quatre modèles de déploiement, cela donne douze modèles différents qui mériteraient pour chacun, une réponse spécifique pour ce qui est de tout chiffrer. L’exercice serait intéressant mais cet article serait trop long.
Pour rester concis, je dirai qu’un Cloud privé, côté confidentialité de l’Information qui s’y trouve et qui y est traitée, n’apporte ni n’enlève rien à ce qui existait déjà dans l’organisation, avant qu’elle n’utilise ce type de Cloud. Si les informations n’étaient pas chiffrées avant que l’organisation passe à un Cloud privé, il n’y a pas de raison que ces informations soient d’avantage chiffrées maintenant qu’elle utilise ce Cloud.
La question commence à se poser avec le Cloud mutualisé puisque l’organisation n’est plus toute seule sur les serveurs où est contenue son information. En principe, en tout cas sur le contrat qui définit les rôles et les prestations et lie le prestataire du Cloud à son client, l’étanchéité est garantie entre tous les clients. Mais nul n’est à l’abri d’une vulnérabilité cachée, par exemple dans les couches basses du système de virtualisation, qui rendrait le système poreux. Alors là oui, il est préférable de chiffrer les informations qui doivent rester confidentielles et aussi les données "à caractère personnel" protégées par des lois et des réglementations. A la question "peut-on mettre des informations confidentielles dans le Cloud ?" on peut répondre que tout dépend du niveau de confidentialité attendu pour ces informations. Si ce sont des données classifiées, de niveau confidentiel défense, ou plus encore, secret défense, déjà qu’il ne peut être question de les mettre dans un réseau qui pourrait être ouvert à ceux non habilités à en prendre connaissance, à plus forte raison il ne peut être question qu’elles soient hébergées et traitées dans un Cloud, que ces données soient chiffrées ou en clair.
Les données dites "à caractère personnel" sont soumises à des réglementations particulières, nationales ou régionales. Par exemple de telles données, utilisées dans un pays européen, ne doivent pas quitter le territoire européen, sauf exceptions ou permissions, qu’elles soient chiffrées ou qu’elles soient en clair. Comme le Cloud Computing ne connait pas vraiment de frontières, sauf précautions et assurances spéciales prises par les prestataires de Cloud, le cyber espace peut représenter une menace pour les données, et entrainer des complications juridiques pour ceux qui les gèrent. Le chiffrement, dans ce cas là, n’apporte pas une solution miracle.
Les autres catégories : Cloud mixte, et Cloud public d’autant plus, nécessitent soit de chiffrer soit de ne pas mettre d’informations confidentielles ou de données à caractère personnel dans le Cloud. Mais cela entraine des problèmes de gestion de clés que nous allons également aborder. suite page 2