Les révélations sur les méthodes d’espionnage de la NSA, méritent-elles de mettre en suspend l’adoption d’une stratégie cloud computing ?

Depuis les révélations des techniques d’espionnage de la NSA par Edward Snowden en juin 2013, non seulement un sentiment de « panique » a envahi les différentes instances européennes et mondiales mais également un sentiment d’insécurité concernant nos données personnelles.

Ces révélations ont pour ma part eu le mérite de souligner soit :

  • La naïveté de nos gouvernements et de nous-mêmes
  • L’hypocrisie des différents gouvernements sur les techniques d’espionnage
  • La mémoire sélective (cf SWIFT)

Pour rappel, l’espionnage des USA contre les autres Etats n’est pas nouveau et les gouvernements des différents pays n’y sont pas étrangers.
En effet, sa naissance remonte à la fin des années 40 à la suite des accords secrets UKUSA entre les USA et le Royaume-Uni qui aboutiront à la création du réseau « Echelon » en 1971.

Par la suite différentes révélations surviendront telles que l’interception des communications internationales d’importants militants et chefs de file de l’opposition à la guerre au Viêt Nam par la NSA ou encore le rôle de la NSA dans l’espionnage économique révélé en 1999 dans un rapport du Parlement Européen intitulé « Développement des technologies de surveillance et risque d’abus dans l’information économique ».

Cependant, la surveillance de masse de la part de la NSA s’est accentuée depuis les évènements tragiques du 11 septembre 2001 et la mise en place de la loi Patriot Act signée le 26 octobre 2001 par Georges W. Bush.

Bien avant les révélations d’Edward Snowden, un scandale concernant l’espionnage des transactions financières mondiales a été dévoilé en 2006 par le New York Times. Depuis 2001, la société SWIFT (Society for Worldwide Interbank Financial Telecommunication) basée en Belgique, transmettait à la CIA et au Département du Trésor des Etats-Unis les données concernant des millions de transactions financières. Par ailleurs les banques centrales belge, néerlandaise et suisse étaient au fait des activités de la CIA depuis 2002.

Malgré l’atteinte aux données personnelles,  aucune charge n’a été retenue contre la société SWIFT. Il a été jugé qu’elle n’avait pas d’autre choix que de divulguer les informations aux USA. De plus, afin d’éviter d’autres incidents similaires dans le futur, un accord SWIFT a été signé en juin 2010 pour une durée de 5 ans renouvelable entre l’Union Européenne et les USA. La transmission des données financières est donc de nouveau possible selon les termes de cet accord qui garantit une meilleure protection des données personnelles et une utilisation liée uniquement à la lutte anti-terroriste.

Enfin, le point final de la stratégie de surveillance globale des USA a été le vote du FISA Amendments Act de 2008. Cet amendement en vigueur jusqu’en 2017 permet la surveillance électronique des étrangers en dehors du terristerritoure des USA avec comme finalité la possibilité de surveiller tout type de communications électroniques, les fournisseurs d’accès à Internet n’étant plus les seuls visés.

A cela, je pourrai rajouter que :

  • A l’heure actuelle 99% des communications mondiales (Internet et téléphonie) passent par les câbles sous-marins (environ 260). Les USA et le Royaume-Uni ont accès à environ 25% de ces câbles et de plus possèdent un droit de veto pour la mise en service de nouveaux câbles en Atlantique ou dans le Pacifique.
  • A partir de septembre 2014, la NSA devrait mettre en service un nouveau Datacenter situé dans l’Utah (100 000 m2) capable de stocker 100 années de trafic Internet.
  • Seulement 5% des documents pris par Edward Snowden ont été rendus publics à l’heure actuelle.

Les différents exemples ci-dessus sur l’espionnage des USA n’ont pas pour but de rendre « paranoïaque » toute personne sur l’utilisation d’Internet sur smartphones, tablettes ou ordinateurs mais simplement de faire un constat sur les dispositifs légaux actuels d’espionnage.

Par ailleurs, la stratégie de la France en termes d’espionnage par le biais de la DGSE ne doit pas être occultée. Ce n’est pas dans la tradition française d’émettre des alertes concernant les méthodes d’espionnage employées. Cependant selon un article du quotidien « Le Monde » publié le 4/07/2013, la même méthode serait utilisée en France.
La DGSE, grâce à ses différentes antennes d’écoute en France et Outre-Mer ainsi qu’en utilisant son supercalculateur et les câbles sous-marins parviendrait à surveiller la totalité des communications en France et vers l’étranger. Les données collectées se limiteraient aux métadonnées dans le but d’effectuer une cartographie des différents liens entre les individus.

schéma espionnage DGSE

Cet état de fait concernant la stratégie d’espionnage des USA et de ses alliés (Royaume-Uni, la Nouvelle-Zélande, l’Australie et le Canada), et de la France, ne doit pas avoir d’impact, à mon avis, sur la mise en place d’un Cloud par une entreprise.

La sécurité est et sera de plus en plus importante au niveau des réseaux informatiques. Les différentes affaires d’espionnage ont permis une prise de conscience de la part des acteurs de l’informatique qui était nécessaire. La surveillance des États n’est pas le réel problème pour les entreprises car si les USA, la France ou toute autre nation souhaitent obtenir des données, ils y arriveront que les données soient sur le Cloud ou à l’intérieur de l’entreprise. Les affaires décrites précédemment le démontrent et, dans un autre registre, le cas du virus stuxnet développé conjointement par les Etats-Unis et Israël pour s’attaquer aux centrifugeuses Iraniennes et ainsi ralentir leur programme nucléaire en est la preuve la plus évidente.

En effet, la bonne question à se poser est : Suis-je plus protégé sur mon réseau personnel que sur le Cloud ?

Sachant que la grande majorité des cyber-attaques proviennent de hackers engagés par des sociétés concurrentes ou des indépendants revendant ensuite les données collectées, cette question est primordiale pour toute entreprise ou même particulier souhaitant passer au Cloud Computing. En effet, quelle entreprise peut affirmer à l’heure actuelle avoir la maturité suffisante au niveau de la sécurité de son SI pour se protéger  ? Selon une étude publiée en 2013 par Barracuda Networks, Cenzic Inc, et l’Institut Ponemon, 3 entreprises sur 4 en France ont été piratées durant les deux dernières années et 80% d’entre elles ne le savent même pas.

Suivre les évolutions en terme de sécurité informatique est un luxe que peu de sociétés peuvent se permettent à part peut-être les fournisseurs de Cloud qui s’ils veulent prospérer vont devoir être proactifs sur le sujet. La plupart des entreprises ne disposent pas d’un budget suffisant leur permettant d’assurer correctement leur sécurité informatique. Selon une étude du cabinet PAC, un minimum de 5% du budget informatique total serait nécessaire pour s’assurer une bonne protection mais celui-ci est plutôt de l’ordre de 3% voire quasi-nul pour les PME.

Le passage au Cloud publique permettrait aux entreprises de laisser ce sujet sensible à leurs fournisseurs de Cloud qui ont tout intérêt à ce que leurs clients soient en sécurité chez eux. Ces fournisseurs ont d’ailleurs les moyens d’engager les meilleurs experts en sécurité informatique et d’être ainsi en permanence au niveau de l’état de l’art.  Le Cloud permettrait donc une meilleure protection pour la majorité des entreprises (PME) qui la plupart du temps sont des sous-traitantes de grandes compagnies et donc pouvant posséder des informations sensibles. Le Cloud avec les contrats de service associés représente dans ce cas un avantage non négligeable pour ces entreprises.

La mise en place du Cloud permettrait aux entreprises de bénéficier de la sécurité du réseau de leur fournisseur et  de se concentrer uniquement sur la sécurité des données en utilisant des logiciels de cryptographie.

Le passage au Cloud ne doit donc pas être vu comme un risque pour l’entreprise mais plutôt comme un moyen d’améliorer son efficience opérationnelle. Avec le Cloud, la direction informatique n’est plus assimilée à un centre de coût mais à un centre de profit lui permettant de se replacer au centre de la création de valeur.

De nos jours, une entreprise peut-elle se permettre de passer à côté d’une solution permettant de gérer l’obsolescence de son parc informatique, améliorer la maîtrise de son budget informatique, réduire le temps de livraison pour de nouvelles infrastructures, produits et d’adopter une démarche agile (DevOps, Continous Delivery).

Pour ma part, le réel challenge  est surtout d’ordre organisationnel car il nécessite de revoir les processus, de faire évoluer les métiers au sein de la DSI et donc de fortement communiquer sur le changement.Une société estimant son organisation assez flexible pour sauter le pas ne devrait pas s’en priver.

En 2013, 80 % des sociétés ayant fait faillite n’étaient pas présentes sur Internet.Pour une société, savoir vivre avec son temps et être proactive sont des avantages concurrentiels décisifs face à la concurrence afin de surperformer et se détacher.

One thought on “Les révélations sur les méthodes d’espionnage de la NSA, méritent-elles de mettre en suspend l’adoption d’une stratégie cloud computing ?”

  1. Nathalie says:

    Bonjour,

    Un bel article, bien argumenté. En effet, le recours au Cloud pour une PME ou une TPE ne peut qu’entraîner une amélioration de la sécurité, car cela permet à ces structures de bénéficier des compétences et du matériel mis à disposition dans des datacenter professionnels et sécurisés. Le prochaine révolution est donc bien celle de la gouvernance de l’IT au sein de ces entreprises, avec le recours à davantage de services externalisés.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *