CLOUDWATT
M. Cédric Prévost, directeur de la sécurité et de la qualité des programmes
26 février 2014
Cloudwatt est un des deux clouds créés dans le cadre des investissements d'avenir, avec trois actionnaires principaux, Orange, Thales et la Caisse des dépôts, qui a pour mission de développer une infrastructure informatique en nuage pour fournir des offres de stockage et de capacité de traitement d'un certain nombre d'applications de manière fluide et performante.
En qualité de directeur de la sécurité de Cloudwatt , je suis certain que mettre des données dans le nuage informatique (le cloud ) augmente le niveau de sécurité .
Il y a eu énormément d'évolutions dans l'informatique et les télécommunications, ces quinze dernières années, et le nuage représente, d'une certaine manière, l'aboutissement de ces différentes évolutions technologiques.
Aujourd'hui, maîtriser un système d'information à l'intérieur d'une entreprise devient très complexe et nécessite des compétences extrêmement variées parce que les utilisateurs veulent accéder, à n'importe quel moment, à l'ensemble de leurs applications, à partir de leur smartphone , en nomadisme, quand ils sont à l'étranger, en conférence, etc.
Le modèle du système d'information de l'entreprise, qui auparavant était tourné vers lui-même et maîtrisé par des responsables de l'informatique présents dans l'entreprise depuis plusieurs années, a complètement éclaté. Désormais les données de l'entreprise sont tournées vers l'extérieur . Les utilisateurs vont sur Internet, sur leur compte Facebook tout en travaillant sur leur logiciel de comptabilité et en échangeant des courriels avec leurs collègues d'un côté et leurs amis de l'autre.
Est alors apparu un mélange complet entre la sphère professionnelle et la sphère privée dans une vision complètement tournée vers le monde extérieur.
Les compétences nécessaires pour sécuriser correctement ce type d'infrastructures ne sont plus à la portée de la majorité des entreprises . Les TPE et les PME, voire certaines grandes entreprises, ne peuvent disposer d'un service informatique qui a toutes ces compétences.
Un opérateur de nuage dispose d'équipes d'exploitation disponibles sept jours sur sept et vingt-quatre heures sur vingt-quatre ainsi que d'équipes spécialistes de sécurité en charge de la construction du système informatique de l'infrastructure du nuage et dans la supervision au quotidien de son bon fonctionnement.
Globalement, pour la grande majorité des infrastructures, Cloudwatt a correctement réalisé, bien pensé des solutions modernes qui respectent les bonnes pratiques de l'hygiène informatique et de la sécurité offrant ainsi une bien meilleure sécurisation que l'informatique classique d'une entreprise.
En 2013, des spécialistes de la sécurité ont publié des statistiques sur les attaques principales sur les systèmes d'information. 98 % des attaques réussies et rendues publiques ont utilisé des vulnérabilités dont les correctifs étaient connus et exploitables depuis au moins trois ou six mois en moyenne. Mais il n'y avait pas eu de mises à jour effectuées à temps.
Tout simplement, les équipes internes n'avaient pas réussi à tenir le rythme des mises à jour de sécurité des systèmes d'information alors que les failles en étaient connues.
Dans un espace homogène, par exemple en France, cela a du sens de localiser les données . Cela a probablement moins de sens dans des espaces aux réglementations rigides non homogènes. Cela permet de garantir que les règles juridiques qui s'appliquent aux données restent homogènes et que, s'il y avait un problème avec les fournisseurs, le client saurait avec quelles armes il devrait se battre et vers qui se tourner.
À titre d'exemple, dans l'Union européenne, les notions de propriété des données, de responsabilité, diffèrent d'un État à l'autre. Mais quand on met ses données chez un opérateur de nuage français, allemand, italien ou espagnol, l'utilisateur est responsable des traitements réalisés sur ses données tandis que, auprès d'un opérateur américain, en vertu de la législation américaine, l'Américain devient propriétaire des données donc, indirectement, il y a transfert de responsabilité .
Cloudwatt travaille énormément avec l'ANSSI et la CNIL . En effet, l'ANSSI est un acteur majeur en matière d'expertise. De plus, avant de rejoindre Cloudwatt , j'ai passé dix ans au ministère de la défense puis ai occupé les fonctions de DSI à la Présidence de la République, donc j'ai eu l'occasion de côtoyer énormément l'ANSSI. J'ai vu un certain nombre d'attaques et ai pris l'habitude de m'appuyer sur l'ANSSI et son expertise pour m'aider à contrer ces attaques.
Maintenant, je profite des possibilités de travailler avec l'ANSSI pour évaluer les infrastructures mises en place par Cloudwatt et tenter d'obtenir ses qualifications sur des points permettant d'offrir des garanties de sécurité plus importantes. On est en train de voir comment mettre en place une certification, un label car il y a beaucoup d'offres de nuage à qualifier pour obtenir un nuage sécurisé . L'ANSSI réunit des groupes de travail sur ce thème. La finalisation de ces travaux devrait avoir lieu dans quelques jours.
Cloudwatt s'est fortement investi autour de l'ANSSI pour éditer des règles permettant de guider les clients dans les offres de nuages qui sont nombreuses. D'ailleurs, tout le monde se dit fournisseur de nuage même si ce n'est pas vraiment le cas . Il y a un véritable besoin à édicter un certain nombre de règles pour qualifier la qualité, en termes de sécurité au-delà de la confidentialité, il s'agit aussi de la disponibilité et de l'intégrité des données.
Cloudwatt suit beaucoup les travaux de la CNIL avec laquelle il entretient des relations directes sur les données personnelles mais il a aujourd'hui relativement peu d'échanges portant sur les données.
Enfin, le cadre réglementaire résulte tant de la loi relative à l'informatique, aux fichiers et aux libertés que du règlement européen qui est en train d'être revu et à propos duquel on ne sait pas trop quand et comment il va aboutir.
La différence entre hébergement et offre de stockage dans le nuage réside dans les services qui sont fournis. Chez Cloudwatt , les services sont facturés à l'usage ; le stockage des données ou l'utilisation des applications ne sont pas facturés au client s'il n'en fait pas usage puisqu'il n'y a pas eu utilisation du stockage ou de la puissance de calcul. À l'inverse, chez un hébergeur, que vous utilisiez ou non le serveur, vous payez. C'est un peu la différence entre un péage d'autoroute qui ne coûte que lorsqu'on circule alors que l'assurance de l'automobile doit être payée qu'on utilise ou non la voiture. Évidemment, globalement, si tous les clients venaient chez Cloudwatt et n'utilisaient rien, il y aurait un problème.
De plus, si vous réservez la puissance de cinq serveurs chez un hébergeur et que vous ayez besoin de cinq de plus, il ne peut pas toujours vous donner satisfaction alors que, chez Cloudwatt , même si vous en voulez cinquante de plus, potentiellement, vous pourriez les avoir.
C'est plutôt la manière dont on gère le nuage qui fait la différence avec l'hébergement. Quand vous êtes hébergeur, vous allez réserver des serveurs pour un client et, à partir de là, le client accèdera à ces serveurs. L'opérateur de nuage considère que tous les serveurs sont pareils et, à l'instant où vous voulez une machine pour exécuter quelque chose, vous prenez cette machine et on vous l'attribue ; cela est fait de manière complètement dynamique par une sorte de chef d'orchestre qui s'assure que, lorsque le client demande quelque chose, cela fonctionne. Tout cela est parfaitement cloisonné. On s'assure que telle machine récupérée par un client n'interfère pas avec une autre.
Pour le stockage , c'est exactement la même chose. Le client, à tout instant, peut arrêter d'accéder à ses données mais peut néanmoins continuer à être intéressé par les services, par exemple pour faire de l'archivage. Il n'y a que lui qui puisse accéder à ses données, même s'il ne le fait pas. En fait, les données restent découpées en petits morceaux.
En revanche, si jamais le client a besoin de stockage, à partir du moment où il clôt son compte sans emporter ses données, il peut les récupérer à tout moment. Il dispose même généralement d'environ un mois pour cela après la clôture officielle de son compte. En effet, il arrive que le client ne fasse pas attention, c'est pourquoi Cloudwatt ne ferme pas immédiatement l'accès après la clôture du compte.
En fait, les données sont automatiquement dupliquées pour en conserver l'intégrité et en améliorer les performances . Quand on supprime des données, on supprime toutes les duplications ; aujourd'hui, chaque donnée est copiée trois fois .
Quand on utilise un serveur web , ce sont plusieurs serveurs qui sont mobilisés car la requête est redirigée vers un autre serveur et donc, dans ces cas-là, le client va demander que les machines qui remplissent le même rôle ne soient pas physiquement les mêmes afin assurer la continuité du service.
Le centre de stockage des données, le data center , de Cloudwatt, est situé en Normandie ; d'autres embryons de centres de stockage sont en Île-de-France. Avoir un seul data center n'offre pas assez de garanties pour le client.
Les machines et les racks sont fabriqués par Cloudwatt même si Orange est actionnaire.
Cloudwatt a un capital de 225 millions d'euros, dont 100 millions d'euros ont été apportés par Orange , 50 millions d'euros par Thales , et 75 millions d'euros dans le cadre des investissements d'avenir portés par la Caisse des dépôts.
Créé le 6 septembre 2012, Cloudwatt réalise près d'un million d'euros de chiffre d'affaires et plusieurs centaines de millions d'euros sont espérés en 2017 mais ce sera vraisemblablement légèrement inférieur.
En 2013, le marché mondial du nuage numérique ou Cloud est estimé à 130 milliards de dollars. En Europe, on est très loin d'avoir atteint les 40 milliards d'euros et même les 20 milliards d'euros. Le marché européen décolle avec six ou sept ans de retard.
Dans les entreprises, les personnes ne sont pas assez, voire pas du tout, formées à la sécurité informatique. À titre personnel, j'estime que, au sujet du numérique, la majorité des gens est extrêmement naïve, soit elle sous-estime en fait très largement les véritables menaces soit elle n'a en tête que les entreprises stratégiques, comme celles du secteur nucléaire, mais la situation ne se présente plus du tout de cette façon.
En réalité, depuis cinq à six ans, les menaces constatées proviennent de hackers qui tentent de casser les systèmes pour le plaisir. Par ailleurs, n'importe quelle société possédant des informations, des brevets un petit peu sensibles, peut devenir la cible potentielle de ses concurrents . Elle peut même être la cible d' États , ce qui a été parfaitement illustré par l'affaire Snowden. Plus personne ne peut nier aujourd'hui que, en ce domaine, le gouvernement nord-américain s'est donné pour mission d'aider ses propres entreprises. La France doit faire exactement la même chose.
Il ne faut pas imaginer que la menace ne pèse que sur les grands groupes ou les grands groupes de défense ; toutes les entreprises sont des cibles de choix. Mais leurs personnels ne sont pas sensibilisés à l'hygiène informatique . C'est ainsi que, généralement, ils travaillent dans les trains, les avions, devant la machine à café de la pépinière d'entreprises où nombre de personnes ne se connaissent pas ; les conversations professionnelles se poursuivent dans ces lieux alors que 95 % des gens autour d'un groupe qui parle de son travail sont des inconnus .
Aujourd'hui, le réseau Wi-Fi est fiable et ce n'est pas l'aspect le plus inquiétant. À ma connaissance, les techniques de sécurisation du Wi-Fi ont un niveau de sécurisation similaire à celui des réseaux mobiles et, en fait, la sécurisation des échanges dépend du niveau de sécurisation du serveur . Si votre messagerie d'entreprise n'est pas chiffrée, alors il ne faut pas se connecter ni sur le Wi-Fi d'hôtel ni sur votre Wi-Fi à la maison et pas plus sur le Wi-Fi de l'entreprise s'il est en clair.
À l'inverse, si vous disposez d'un canal de chiffrement, ce qui est aujourd'hui quasiment la règle, vous pouvez vous connecter sur le Wi-Fi car la sécurité est portée par votre application .
Cloudwatt aborde la sécurisation de bout en bout, que les échanges passent par des Wi-Fi d'aéroports, personnels, ou d'entreprises.
Il y a des récurrences de changement des clés de chiffrement en suivant notamment les recommandations de l'ANSSI, très scrupuleusement. Très régulièrement, environ tous les deux ans, ses exigences montent de niveau en fonction de la menace technologique ou des vulnérabilités qui ont été découvertes. Il existe des règles claires.
Déjà, si les quarante règles de base de l'informatique étaient suivies, on économiserait 95 % des attaques informatiques constatées aujourd'hui .
Une éducation totale reste à faire pour inculquer une certaine vigilance. Mieux vaut rater une information pour privilégier la sécurité que de cliquer pour ouvrir un document dont on n'est pas sûr . D'autant que les attaques aujourd'hui sont beaucoup plus sophistiquées. Avant, les attaques étaient purement des attaques techniques, des virus, etc. ; aujourd'hui, les seules attaques qui fonctionnent, sont des attaques très sophistiquées qui exploitent des vulnérabilités techniques et ont recours à de l'ingénierie sociale, à des sites web corrompus, etc .
À ce jour, Cloudwatt n'a pas été victime d'attaques massives mais, quotidiennement, des attaques ont lieu du fait de personnes qui essaient de casser des mots de passe ce qui se détecte relativement facilement. Cloudwatt n'a pas subi non plus d'attaques en déni de service. En revanche, il se prépare à en subir parce qu'on est convaincu que cela ne peut manquer d'arriver même si on n'en connaît pas le moment.
Les attaques en déni de service généralement ne volent pas de données mais cassent le service en empêchant les clients d'y accéder. Ce sont des attaques en aveuglement. Beaucoup de dispositifs de surveillance comportementale ont été mis en place. La sécurité dans le nuage, c'est une sécurité dynamique.
Avant, on construisait des sortes de châteaux forts pour protéger l'informatique alors que, aujourd'hui, on en est plutôt à répartir partout au sein de l'architecture des modèles de chien de garde qui tournent de manière aléatoire au cas où quelqu'un serait parvenu à rentrer et, donc, on a comme des chiens partout et on est à l'écoute de n'importe quel aboiement qui permet d'aller vérifier s'il se passe quelque chose.
Chez Cloudwatt , nous sommes une centaine ; 70 % des personnes ont des profils techniques comme celui d'ingénieur système et les 25 % autres - pourcentage en train de décroître - constituent la couche administrative, l'encadrement.
Entre les sociétés analogues et Cloudwatt , la concurrence est très frontale. Il existe trois acteurs américains principaux dont Amazon qui est le leader du marché et dont le chiffre d'affaires est supérieur à celui des quinze concurrents qui le suivent dans le classement. Amazon a démarré il y a sept ans et c'est lui qui a créé le marché du nuage. Il a trois ans d'avance sur tous les autres. Personne ne pensait que ça allait marcher.
Lorsqu' Amazon s'est lancé, il a été obligé de surdimensionner ses effectifs, de les multiplier par dix pour absorber les pics de vente de Noël. Puis l'idée a germé d'utiliser les 90 % de cette capacité qui étaient inutilisés en la mettant à la disposition d'entreprises. Ses concurrents principaux sont les trois grosses sociétés américaines mais il y a aussi des concurrents sur le marché français, comme Numergy , le second nuage souverain, OVH et un peu Orange. On constate que, actuellement, la concurrence se fait entre les acteurs européens et les acteurs américains qui ont une stratégie très claire consistant à étouffer le marché en baissant les prix pour éviter l'émergence de concurrents européens .
Le sujet des noms de domaine a été porté par le ministre de l'industrie, notamment lors du dernier forum tenu à Séoul. Au niveau de Cloudwatt , le fait que l' ICANN soit une société de droit américain n'est pas de nature à nous traumatiser pour plusieurs raisons. D'abord parce que les Américains changent pas mal de discours depuis deux ans ; ils sont plus attentifs à ce que disent les autres acteurs. Les États-Unis d'Amérique commencent à entendre l'inquiétude d'être mis sous contrôle et donc ils ont vu la nécessité d'ouvrir des discussions.
Il y a trois jours, le président de l' ICANN était en France et a exposé sa vision pour sortir du droit américain et s'implanter à Genève au lieu de New York. Les noms de domaine aujourd'hui, sont une denrée essentielle au fonctionnement du web .
L' ICANN fixe les règles selon lesquelles les noms de domaine sont attribués. Si les Américains se mettaient à déraper en ce domaine, il y aurait très rapidement un contre-feu alternatif car il y a tellement de monde, tellement de services sur Internet, que personne ne peut plus se permettre de bloquer le système.
Les actionnaires de Cloudwatt ont choisi de partir d'une feuille blanche, de construire totalement leur architecture et leurs offres sur des bases modernes, à partir des meilleures pratiques de sécurité prônées par Cloud Security Alliance, qui est une association internationale, par l' ENISA , l'ANSSI, la CNIL, le CLUSIF, etc .
L'autre choix n'a pas été celui d'une certaine souveraineté franco-française car la souveraineté vue par les Allemands n'est pas la souveraineté française . Cloudwatt a plutôt souhaité donner à ses clients la maîtrise de ce qui se passe sur leurs données et le traitement de celles-ci. On garantit l'interopérabilité du système, la réversibilité n'importe quand, sans aucune autorisation. Dès que le client s'arrête d'utiliser le service, il ne doit plus rien. Troisièmement, on garantit aussi la localisation en France et donc la garantie de la soumission à la législation française et européenne . L'autre aspect de la souveraineté, c'est que l'on fabrique nous-mêmes . L'ensemble de l'architecture est construite par Cloudwatt avec des technologies « open source » . Personne ne peut nous imposer de changer tel ou tel élément, de relever des tarifs quelconques. Chacun doit maîtriser 100 % de la destinée de son système. C'est aussi cela la souveraineté.
Il n'y a pas de compagnie d' assurance qui assure le nuage. Nous avons fait en sorte que l'architecture devra empêcher que tout le système tombe en panne d'un coup. Notamment grâce à la « triplication » des données dans des endroits différents . Même si un avion s'écrasait sur un centre de données, cela ne suffirait pas à mettre à bas l'organisation du système.
À noter que nos actionnaires sont aussi nos clients.
La Poste propose aussi ce type de services mais elle peut utiliser ceux de Cloudwatt, si elle le souhaite.
Il y a aussi le label de la CNIL sur le coffre-fort électronique . Cette initiative est très intéressante car elle permet de fournir à nos clients des éléments de qualification par des tiers externes qui sont des tiers de confiance . L'ANSSI est pour nous le garant objectif pour confirmer à nos clients qu'on ne fait pas n'importe quoi. La CNIL est également un garant. Entrer dans le cadre de ce type de label, de certification, par des acteurs reconnus, est essentiel pour Cloudwatt d'autant que cela crée un vrai référencement, une vraie distinction d'avec les opérateurs américains qui ne pourront jamais garantir la même chose . En effet, leurs centres de données sont localisés aux États-Unis où toutes les exigences ne sont pas respectées.
Ainsi, il est possible de mettre en avant les offres européennes. La localisation en Europe ne pourra peut-être pas être imposée par la loi.
Mais les clients ont confiance en un certain nombre d'acteurs. La CNIL en est un et la mise en place d'un label CNIL ainsi que la sensibilisation des clients et l'évangélisation autour d'un certain nombre de points de vigilance sont absolument fondamentales. Cela permet d'éliminer un certain nombre d'offres qui ne répondent pas à ces critères. Ces labels peuvent être mis en avant par la puissance publique même s'ils ne peuvent être exigés car ce ne serait pas conforme au code des marchés publics.