 |
Par Nelson Dumais
|
Mardi, 15 novembre 2011
Nuage et sécurité informatique
(Las Vegas) Il est impossible de parler du Nuage (lire mon article d'hier) sans se faire répondre que les enjeux de sécurité informatique et la fiabilité du réseau Internet y sont vus au travers de lunettes roses. En fait, ces deux points sont les mamelles de la grogne anti-nuage. Et si le réseau plante, et si des terroristes s'y infiltrent ? Je me suis donc fait un devoir de questionner à ce sujet différents porte-parole de CA Technologies.
 Qui c'est, CA Technologie ? C'est une des plus importantes fabricantes de logiciels au monde et son siège social est à Islandia en banlieue de New York. Sauf exception, ses produits fonctionnent dans des ordinateurs centraux (mainframes), ainsi qu'en environnement distribué, virtualisé et infonuagique. Quant à ses clients, ils font presque tous partie de la désopilante fraternité Forbes Global 2000. Ce qui signifie que CA Tech dessert la grande entreprise, quelle que soit son architecture informatique même si, depuis l'an dernier, elle pousse très fort vers le Nuage. Cela pour vous faire remarquer qu'on y a la taille, les produits et la clientèle qui interdisent de dire n'importe quoi.
Chez ces gens, la sécurité informatique a force de dogme. Des experts s'y affairent, des gens que la VP Lina Liberti (photo ci-après) qualifie de «control freaks». Pour elle, la sécurité est le résultat d'une bonne relation d'affaires avec un fournisseur de services infonuagiques. Après avoir établi ce qui pouvait être placé sur le Nuage, ce qui devait demeurer à l'interne, p. ex. sur un Nuage privé, le client a peaufiné des règles inviolables quand aux accès, aux employés, aux appareils utilisés. Puis, de concert avec son partenaire-fournisseur, il a fait le tour du réseau en scrutant chaque petit jalon, question de s'assurer que la sécurité y était optimale.
 «Ça ne sert à rien de confier ses données à un impartiteur infonuagique (fournisseur de services Cloud) réputé sérieux sur le plan sécurité si, au point de départ, il y a plein de failles dans notre propre environnement. Il y a 20 ans, continue la VP, quand on a sorti les données des ordinateurs centraux pour s'en aller en mode Client/Serveurs (informatique distribuée), plein de gens ont émis des craintes quant à la sécurité. Mais là où les responsables ont bien fait leur devoir, il n'y a eu pas plus, pas moins, de problèmes de sécurité qu'avant.»
C'est un fait qu'il y a toujours eu des problèmes de sécurité et qu'il y en aura toujours. Dans son allocution de dimanche, le P.D.G. Bill McCracken a même affirmé que le réseau Internet au complet sera éventuellement frappé et fermé le temps qu'on ne le remette en marche. Sauf qu'on ne sait pas quand cela se produira. Auquel cas, quel que soit le modèle informatique utilisé, ça pourra être la pagaille. Il faut simplement s'y attendre et minimiser les risques en appliquant chez soi les meilleures pratiques de sécurité informatique.
 Il est possible de bien choisir ses fournisseurs de services infonuagiques. Par exemple, CA Tech entretient une place d'affaires, Cloud Commons, où tout le monde, clients, fournisseurs de logiciels ou hébergeurs peuvent se parler et se jauger. Par exemple, il sera possible de s'assurer que les fournisseurs aient la classification SAS 70, une sorte de reconnaissance ISO leur conférant tout le sérieux nécessaire. Toutes ces entreprises spécialisées ont des plans de relève.
D'insister Mme Liberti, le danger ne se retrouve pas aggravé à cause du nuage. Aucun mode informatique n'est vraiment épargné. «Des bandits fouinent partout pour percer les défenses et, ces temps-ci, ils s'intéressent particulièrement à l'ingénierie sociale, c'est-à-dire à la possibilité de s'infiltrer par le biais des employés». Ceux-ci disposent désormais d'un bric-à-brac de bidules mobiles avec lesquels il leur arrive de travailler. Les responsables informatiques essaient de tout prévoir, mais il leur arrive d'en échapper. Il faut les comprendre, il y a désormais des données partout, sous toutes sortes de formes et certaines mériteraient d'être conservées et protégées. Tout un casse-tête ! Si grâce à ce débridement, un bandit réussit à s'infiltrer, il va tout faire pour dénicher le mot de passe de l'administrateur du réseau. On peut imaginer la suite. Or ici, on n'est pas sur le Nuage, on est dans l'entreprise.
 Le truc ? «Établir des politiques claires. D'un côté, résume la VP, il y a l'information, celle qui nous importe et celle qui est moins stratégique. D'un autre, il y a les serveurs infonuagiques et les serveurs maison. Il faut en arriver à une balance: plus l'info est importante, moins on la place sur le Nuage, moins elle est essentielle, plus on la pousse sur le Cloud.»
Plusieurs porte-parole de CA Technologies m'ont parlé de chiffres qu'ils avaient vus - l'un deux va me les faire parvenir par courriel, m'a-t-il juré - des chiffres démontrant qu'en ce qui a trait au temps morts, ces moments terribles où le système d'entreprise est planté, l'infonuagique n'avait rien à envier aux autres modes informatiques. Grosso modo, c'es kif-kif !
Fait intéressant, au travers de tous ces bouleversements, le bon vieil ordinateur central, alias le «mainframe» est en train de reprendre du service. IBM est même en train de le positionner comme serveur infonuagique par excellence ou «Cloud in a Box». C'est le cas, par exemple, du modèle Z114.
Voici un sujet passionnant sur lequel je vais vous revenir sous peu. Mais pas ce matin, je manque cruellement de temps.
|
