En anglais, l’expression «grimper sur le cloud numéro 9» est l’équivalent de notre «grimper au septième ciel». Dans la réalité, le cloud computing n’est pourtant pas vraiment un paradis pour les données.

Le cloud dans son incarnation physique, ce sont des datacenters (fermes de serveurs) dans lesquels sont stockés et transitent des téraoctets de données personnelles et professionnelles. Des bâtiments parfois dix fois plus grands qu’un terrain de football et soumis à des risques en tout genre: incendie, inondation, effraction non virtuelle… Ou hacking des données, virtualisation (un serveur peut héberger plusieurs machines virtuelles), attaques en déni de service (surcharge du réseau) dans le cyberespace. Bref, mieux vaut oublier le risque zéro quand on décide de faire migrer ses données dans les nuages.

Pour Emmanuelle Olivié-Paul, directrice associée de la société d'études Markess, qui réalise depuis dix ans un baromètre des prestataires du cloud, «le concept de sécurité varie d'une entreprise à l'autre. Mais partout les organisations gèrent du risque». Avec plus ou moins de moyens : d'après Markess, Google n'investirait pas moins de 500 millions de dollars (442 millions d'euros) par trimestre dans ses datacenters. Tous les fournisseurs mettent en avant leur respect des normes internationales ISO et leurs systèmes de redondance (les données sont répliquées dans plusieurs datacenters). Mais malgré ces efforts financiers et techniques, les prestataires sont bien conscients de leurs faiblesses. «Le cloud est une perpétuelle leçon d'humilité. Penser qu'il n'y aura jamais de problèmes est illusoire», affirme Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France.

«Humilité». Même constat chez son concurrent français OVH : «Il s'agit de mesurer le risque en industrialisant un processus de sécurité à tous les niveaux», estime Alban Schmutz, chargé de développement stratégique et des affaires publiques. Chez le prestataire nordiste, chacun des dix-sept datacenters en opération est équipé de trois arrivées électriques dont l'une pour les groupes électrogènes, prêts à prendre le relais en cas de panne de courant.

Microsoft, lui, a ajouté des batteries pour un redémarrage en dix minutes, le temps de lancer les énormes moteurs diesels des générateurs. Dans les centres du géant américain, les entrées et sorties sont très limitées et les personnels équipés de dispositifs biométriques. Fini les hangars remplis de machines vissées sur des faux planchers : Microsoft utilise désormais des conteneurs qui peuvent contenir de deux à quatre mille serveurs. «Nous ajoutons des milliers de serveurs en permanence dans une logique de sas étanche. Un camion arrive, décharge le conteneur dans une zone isolée, puis une grue prend le conteneur et le place au bon endroit. L'humain ne rentre plus dans le datacenter», détaille Bernard Ourghanlian. Un moyen de réduire au maximum l'éventualité d'un sabotage in situ.

Deuxième niveau de risque : les échanges via les diverses applications de messagerie pour les particuliers ou sectorielles pour les entreprises (relation client, comptabilité, logistique, etc.). C’est en empruntant les réseaux que les hackers viennent piocher adresses mails, numéros de téléphone et photos de stars dénudées. Les équipes dédiées à la sécurité des hébergeurs scrutent en permanence les flux pour détecter les comportements anormaux et réagir en conséquence.

Plus sûr. Outre leur protection, les prestataires doivent aussi rassurer leurs clients sur la confidentialité des informations qu'ils stockent. Depuis Edward Snowden, on sait que des agences gouvernementales comme la NSA ne se gênent pas pour accéder aux données des datacenters situés sur le sol américain. «La localisation géographique des serveurs a une influence directe sur la protection des données, car les législations diffèrent largement selon les pays», rappelle Alban Schmutz. En Europe, la confidentialité est nettement mieux protégée que dans le reste du monde. Pourtant, en dépit des risques qui menacent cette informatique déportée, mettre ses données dans le cloud serait plus sûr que les garder dans son ordinateur. «Le modèle a fait ses preuves. Mes messages sont plus en sécurité chez Google que chez moi», avance Emmanuelle Olivié-Paul. «Le niveau de sécurité de notre cloud est bien supérieur à celui de nos clients qui conservent leurs données en interne», ajoute Bernard Ourghanlian. Le ransomware par exemple, logiciel malveillant qui crypte les données d'un disque dur et les libère contre paiement, dernière menace en date, vise les ordinateurs et n'a pas (encore) atteint le cloud.