L’infonuagique, est-ce sécuritaire : qu’est-ce que la sécurité en fait?

Il ne se passe pas une journée où on ne parle pas de la sécurité dans les nuages. Est-ce que l’infonuagique est sécuritaire? Comment faire confiance aux fournisseurs infonuagiques et à leurs services, à leurs employés, etc.

La réponse à ces questions est tout simplement: L’infonuagique est sécuritaire. Reste à le prouver maintenant, à bâtir un argumentaire à cette réponse beaucoup trop simple! C’est ce que je vais tenter de faire dans cet article et dans d’autres qui suivront sur le même sujet, soit la sécurité des services infonuagiques.

Débutons par définir la sécurité. En mes propres mots, je vous dirais que, pour qu’il soit sécuritaire, un service technologique (système d’information) comme GMAIL, Outlook, Microsoft Azure, Amazon AWS, Spotify, votre système de paie au travail, le dossier santé d’un patient ou votre déclaration de revenu (et la liste est infinie) doit répondre au minimum à 3 critères: la disponibilité, l’intégrité et la confidentialité. Sachez qu’il en existe d’autres, mais aux fins de vulgarisation, allons-y avec ceux-ci. Cette façon de représenter la sécurité est appelée la cote DIC. Voici plus d’information sur ces 3 critères:

Disponibilité. Le système le plus utile au monde ne servirait à rien s’il n’est pas disponible au bon moment, donc à l’instant où il est important de s’en servir. Un site WEB ne servant qu’à fournir de l’information sur mon entreprise ne requiert pas le même niveau de disponibilité qu’un service de dossiers médicaux du CLSC de votre quartier. Autre exemple, la feuille de temps de mon entreprise peut être inutilisable pendant quelques heures sans avoir d’impact important sur mon entreprise. Par contre, dans cette même entreprise manufacturière, les technologies servant à faire fonctionner la ligne de production doivent d’être opérationnelles pendant les quarts de travail.

Intégrité. Les données qui alimentent un système d’information ou qui sont produites par un système doivent être exactes en tout temps. Par exemple, si l’action d’une machine industrielle est basée sur une donnée de température, cette température doit être la bonne. Un résultat de laboratoire médical doit être le bon afin de bien soigner le patient. Mais la statistique sur le nombre de visites de mon blog n’a pas besoin d’une telle précision. L’intégrité couvre aussi la notion du temps. La valeur des données sauvegardées aujourd’hui doit rester la même dans le temps. Ma déclaration de revenus 2017 doit être figée dans le temps si j’ai un jour à m’y référer en cas de contestation.

Confidentialité. Ce critère est assez simple à saisir. Les accès à des données ou à un système d’information doivent être contrôlés. Seuls les yeux qui ont le droit de voir des données doivent être autorisés à le faire. Il y a une différence énorme entre avoir accès à votre date de naissance et avoir accès à votre dossier médical. Un site WEB d’une entreprise est accessible à n’importe qui, et c’est le but du site; en revanche, la propriété intellectuelle de cette entreprise doit rester confidentielle et donc n’être accessible qu’à peu de personnes.

Vous comprenez donc que, pour chacun de ces critères, il existe différents niveaux d’impact. Au Québec, la cote DIC comprend 4 niveaux d’impact par critère. Par exemple, un service technologique ayant obtenu une cote DIC de 322 a une disponibilité élevée, mais l’intégrité et la confidentialité de son information sont jugées avoir un impact moyen. Voici un tableau venant du Secrétariat du Conseil du Trésor du Québec qui résume le tout.

https://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/securite_information/categorisation_information.pdf

Autre exemple: un système d’information ayant obtenu la cote DIC 444, donc tous les critères sont au niveau d’impact maximal, doit être accessible en tout temps, l’information qu’il contient doit être la bonne et seules des personnes autorisées doivent pouvoir y accéder, car un bris de l’un de ces critères en reviendrait à la mort d’une personne ou encore, à la fermeture de l’entreprise. En passant, je n’ai pas encore rencontré de service ayant besoin d’un 444 .

Que vient faire l’infonuagique dans tout cela? L’infonuagique apporte les bonnes mesures, c’est-à-dire les bons moyens technologiques (et autres…) afin de répondre à tous les cas de figure de la cote DIC en matière de sécurité. Et c’est là que tout se passe. En effet, le très grand nombre de services de sécurité offerts par les fournisseurs infonuagiques et les normes que leurs équipements, leurs salles de serveurs, leurs procédures et leurs employés doivent respecter me prouvent que ce que je leur confie est entre bonnes mains.

Je vous entends réfléchir… Ayant ce genre de discussion des milliers de fois, je devine vos pensées: « Oui, mais il y a eu des vols de données chez … et chez …« , « Encore, hier, le nuage de … est tombé en panne« , « Qui me dit qu’ils respectent ces normes de sécurité?« . Vous devinerez que j’ai les réponses!

Les vols de données viennent de systèmes mal protégés et cela, peu importe si ces systèmes se retrouvent dans un sous-sol d’entreprise ou dans le nuage d’un fournisseur infonuagique. On parle ici de systèmes mal construits, de manque de moyens de protection et autres manquements en sécurité de l’information. Dans cet exemple de vols de données, la multitude de services de sécurité offerts en infonuagique donnent aux gens des TI des options rarement possibles en dehors du nuage des fournisseurs infonuagiques pour bien protéger ce qui leur est confié. Il n’en reste qu’à eux de mettre le tout en place.

Oui, il y a eu des pannes en infonuagique et il y en aura d’autres. Nous en sommes informés car ces pannes font la manchette. En contrepartie, une panne informatique de l’entreprise X qui a stoppé la production pendant 4 heures, eh! bien! cette panne hors-nuage, nous n’en sommes pas informé, mais elle existe tout autant. Sachez qu’il est plus facile de bâtir des systèmes d’information tolérants les pannes dans le nuage d’un fournisseur infonuagique que dans une salle de serveur sur site. La raison est fort simple: l’offre de services en disponibilité est plus importante. Et si ce système doit TOUJOURS être accessible, le conseil que je donne toujours à mes clients est le suivant: bâtissez votre système avec le plus d’options de disponibilité possibles chez un fournisseur infonuagique et placez votre environnement de relève chez un autre fournisseur infonuagique.

« Qui me dit qu’ils respectent ces normes de sécurité? » Réponse : Les autorités de certifications. Ce sont elles qui nous informent du respect d’un fournisseur infonuagique face à une ou des normes qu’il s’est engagé de respecter. Ce sont des entreprises spécialisées en respect des normes qui font des enquêtes de conformité. Voici quelques exemples des normes en matière de sécurité.

Microsoft Azure
Amazon AWS

Oui, l’infonuagique est un endroit sécuritaire pour nos données et nos systèmes d’information. Ce premier article n’est que le début d’une suite d’articles ayant pour but de vous expliquer mon point de vue sur le sujet. Vous avez une opinion différente, vous avez des questions, faites-le moi savoir afin de pouvoir en discuter avec vous.

Luc Pâquet

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

%d blogueurs aiment cette page :