Les principaux fournisseurs de solutions d'informatique en nuage disposent d'infrastructures plus sécuritaires que la plupart des PME québécoises. Cependant, les nuages ne sont pas à l'abri des pirates, dont les navires n'écument plus seulement les mers, mais s'attaquent maintenant aux cieux.
Selon le Montréalais Michael Calce, alias Mafiaboy, aucun serveur n'est totalement à l'abri, et l'informatique en nuage ne fait pas exception. Pire, les pirates informatiques s'intéressent d'autant plus aux services d'hébergement en nuage, comme Amazon Web Services ou Windows Azure, qu'une immense quantité d'information y est entreposée.
Il est toutefois possible de diminuer les risques en prenant des précautions et en adoptant des solutions conformes à ses besoins en matière de sécurité.
L'erreur est humaine
La sécurité informatique, qui est un enjeu pour le moins technique, a cela de particulier que le facteur humain est probablement sa composante la plus importante. Christophe Jolivet, président de la firme de conseils en sécurité informatique PR4GM4, explique d'ailleurs qu'il existe trois principales façons de s'introduire dans un système, dont deux sont du ressort de l'être humain.
" Premièrement, un pirate peut exploiter une vulnérabilité de votre système ; ensuite, il peut profiter d'une mauvaise configuration de votre système pour y entrer ; finalement, il peut manipuler vos employés pour obtenir d'eux leur mot de passe. "
Ainsi, si le client qui opte pour l'informatique en nuage n'a pas le plein contrôle sur l'aspect technique, il peut toutefois s'assurer de la vigilance de ses employés.
La formation en entreprise est ainsi très importante lorsqu'on adopte une solution d'informatique en nuage. " Lors de nos formations, on incite les employés à ne pas choisir des mots de passe faibles (voir les conseils ci-contre) et à changer leurs mots de passe régulièrement ", explique Cédric Vergé, président d'EasyCloud.
Des imprudences dans la gestion d'un serveur en nuage peut également être à l'origine d'une fuite. " Lorsqu'on loue des serveurs virtuels auprès d'Amazon, on est soumis aux mêmes règles de base de sécurité qu'avec n'importe quel serveur physique ", prévient Hugo Bouchard, dont l'entreprise, Intellicloud Technologies, représente notamment Amazon Web Services.
Une question de normes
Avant de choisir un fournisseur, il importe de vérifier s'il a obtenu l'une des deux principales certifications en matière de sécurité. La plus répandue chez les fournisseurs de logiciels en nuage est la norme américaine SAS 70, qui ne porte pas précisément sur la sécurité, mais sur le respect des procédures de toute nature. Google Apps et Box.net sont certifiés SAS 70.
