5 min read

Le cloud et la sécurité de nos données

Le cloud et la sécurité de nos données

La plupart du temps, le cloud "grand public" est perçu comme une boîte magique où nos fichiers sont à l'abri. On nous vend de l'agilité, de la mobilité et de la simplicité. Mais qu’est-ce que le cloud, au fond ? Ce n'est rien d'autre que l'ordinateur de quelqu'un d'autre. Et ce simple constat change tout.

Le Cloud : De quoi parle-t-on vraiment ?

Le cloud se décline sous trois formes principales selon vos besoins :

  • Le SaaS (Software as a Service) : C’est le plus courant (Gmail, Office 365, Dropbox). Vous utilisez une application en ligne sans rien gérer ou vous mappez un lecteur sur votre espace de stockage distant.
  • Le PaaS (Platform as a Service) : Destiné aux développeurs, il offre les outils pour créer des applications sans s'occuper des serveurs.
  • Le IaaS (Infrastructure as a Service) : C’est la location de serveurs "nus", de stockage et de réseaux. Vous gérez tout, du système d’exploitation aux données.

L'avantage est indéniable : on accède à ses fichiers partout, on paye à l'usage, et on peut étendre son stockage à l'infini sans acheter de nouveaux disques durs physiques.

Attention : Synchronisation n’est pas Sauvegarde

C'est ici que l'illusion commence. Le cloud grand public est avant tout un espace de stockage synchronisé. Ce que vous ajoutez, modifiez ou supprimez le sera aussi dans le cloud, instantanément. C'est pratique pour retrouver ses données à l'identique sur tous ses supports, mais si perdez vos fichiers sur votre PC, ils le seront aussi dans le cloud. Une historisation peut cependant être possible, mais ce n'est pas toujours le cas par défaut. Google Drive ou OneDrive, par exemple, proposent un historique de 30 jours, mais ce ne sont pas des solutions de sauvegarde.

Une véritable sauvegarde, elle, doit être incrémentale. Cela signifie que le système ne se contente pas de copier le fichier actuel, il garde une trace des versions précédentes. Si vous faites une erreur ou si vous êtes victime d'un ransomware, vous pouvez remonter le temps. Sans historique, la synchronisation est un piège. Vous pouvez par exemple programmer une sauvegarde de vos données importantes, 1 fois par jour, avec un historique de 90 jours (3 mois). Si un problème survient, vous aurez perdu 1 journée de travail dans le pire des cas, mais pas plus.

La sécurité : Le fournisseur n'est pas votre garde du corps

Une règle d'or à comprendre : dans le cloud, la responsabilité est partagée. Le fournisseur (AWS, Google, Microsoft) est responsable de la sécurité du "contenant" (les serveurs, l'électricité, le réseau). Mais vous êtes seul responsable du "contenu" (vos données).

Vos données ne sont pas protégées par défaut. Le fournisseur peut techniquement y accéder, des pirates peuvent les voler, et plus grave encore, elles sont soumises à des lois qui vous dépassent.

L’ombre des lois américaines : Le Cloud Act et la souveraineté

Si vos données sont hébergées chez un acteur américain, ou même chez une filiale européenne d'une entreprise américaine, elles tombent sous le coup de législations intrusives :

  • Le Patriot Act et le Cloud Act : Ces lois permettent aux autorités américaines d'exiger l'accès à vos données, peu importe où elles sont stockées physiquement dans le monde.
  • FISA (Foreign Intelligence Surveillance Act) et les National Security Letters (NSL) : Des outils qui permettent une surveillance sans mandat judiciaire classique, souvent dans le plus grand secret.
  • Le spectre de PRISM : Ce programme de la NSA, révélé par Edward Snowden, nous a appris que des "backdoors" (portes dérobées) pouvaient être imposées aux géants du web pour siphonner l'information.

Face à cela, l'Europe tente de réagir avec des solutions dites "souveraines" comme S3NS (Thales s'appuyant sur Google Cloud) ou Bleu (Orange et Capgemini s'appuyant sur Microsoft Azure). Plus récemment, l'AWS European Sovereign Cloud a vu le jour. Mais attention au mirage : tant que la technologie de base reste américaine, le lien juridique avec la maison-mère reste un point d'interrogation majeur pour la protection de vos actifs stratégiques. Précisons que dans la pratique, si Google ou Microsoft, n'ont pas accès aux données, aux logs ou aux clés, même si un juge américain (ou une agence fédérale) exige des données via le Cloud Act, Google/Microsoft ne peuvent pas techniquement y accéder. C’est ce qu’on appelle une impossibilité technique opposable. Par contre il n'est pas impossible, que Google/Microsoft soient contraints par un juge ou une agence américaine de modifier leur système (logiciel/matériel) pour permettre un accès avec l'interdiction d'en parler (gag order).

Le chiffrement : Votre seule véritable défense

Pour reprendre le contrôle, il n'y a qu'une solution : le chiffrement.
On distingue deux types essentiels :

  1. Le chiffrement en transit : Les données sont cryptées pendant qu'elles circulent entre votre PC et le serveur (le fameux HTTPS).
  2. Le chiffrement au repos : Les données sont cryptées une fois stockées sur les disques du fournisseur.

Mais attention : si c'est le fournisseur qui possède la clé de chiffrement, il peut "ouvrir" vos fichiers s'il y est contraint par la loi. Chiffrer vos données avant de les envoyer est la seule méthode réellement fiable.

  • Exemple avec AWS S3 : Vous pouvez gérer vos propres clés (SSE-C) pour que même AWS ne puisse pas lire vos fichiers.
  • Exemple avec rclone : C’est un outil formidable qui permet de créer un "overlay" de chiffrement sur n'importe quel cloud. Vos fichiers sont cryptés sur votre machine avant même de quitter votre connexion internet. Dans le cloud, le pirate (ou le fournisseur) ne verra que du bruit numérique illisible.

Le cas particulier des données en traitement

Il est courant que vos données soient traitées par une application ou un service dans le cloud, lors de cette étape, vos données devront forcément être lisibles, rendant leur déchiffrement obligatoire. Votre fournisseur ou un pirate pourra donc lire vos données s'il a accès à la partie concernée. Le calcul multipartite sécurisé (SMPC), le chiffrement totalement homomorphe (FHE) et le chiffrement fonctionnel (FE) sont parmi les pistes les plus sérieuses pour résoudre le problème de la confidentialité des données en traitement, mais restent des solutions, très coûteuses ou immatures.

Les alternatives cloud françaises et européennes

Au‑delà des offres “de confiance” opérées avec des technologies américaines, il existe en France et en Europe un écosystème solide de fournisseurs réellement souverains, c’est‑à‑dire hors juridiction extraterritoriale comme le Cloud Act. Ces acteurs proposent des infrastructures certifiées, souvent qualifiées SecNumCloud par l’ANSSI, et garantissent un contrôle complet des données, du code et des opérations. Parmi eux, on retrouve OVHcloud, 3DS Outscale, Clever Cloud, Scaleway, ou encore NumSpot, une initiative 100 % française construite sur des briques open source européennes. Ces solutions couvrent l’IaaS, le PaaS, parfois le SaaS, et offrent une alternative crédible pour les organisations qui recherchent une véritable souveraineté technique et juridique, sans dépendance à un fournisseur américain. Elles constituent aujourd’hui le socle d’un cloud européen plus résilient, plus transparent et mieux aligné avec les exigences réglementaires locales.

Conclusion

Le cloud est un outil puissant, mais il ne doit pas être utilisé avec naïveté. La CNIL est d'ailleurs très claire : le chiffrement doit être piloté par l'utilisateur pour garantir une confidentialité réelle.

Ne faites pas une confiance aveugle aux infrastructures, aussi sécurisées soient-elles en apparence. Soyez l'architecte de votre propre sécurité : sauvegardez de manière incrémentale, maîtrisez vos clés de chiffrement, et gardez à l'esprit que la souveraineté numérique commence par les outils que vous choisissez d'utiliser.

Aucune solution parfaite n'existe pour le moment avec la technologie disponible. Chiffrer, sauvegarder, contrôler et garder ses données dans sa juridiction est probablement la meilleure chose à faire aujourd'hui, la cyber criminalité et la géopolitique sont, plus que jamais, à prendre en compte.

Sources et références

Ma'ndien KAKEZ

Ma'ndien KAKEZ