Section 2. Les risques stratégiques des atteintes à la confidentialité des données : atteinte à la souveraineté et atteinte à l’intégrité
Lorsqu’il est question de Cloud Computing, il convient de s’intéresser aux risques de perte de gouvernance lorsqu’une entreprise ou un pouvoir public fait appel à ces services pour traiter les données personnelles en leur possession. L’utilisation des services les plus célèbres de Cloud Computing implique une certaine opacité sur la localisation ou encore les modalités de traitement des données. Et bien qu’il ne soit pas exclu qu’une entreprise ou un pouvoir public utilise un service Cloud dont il a la pleine gouvernance, cela n’est pas représentatif de l’immense majorité du marché.
L’utilisation de Cloud Computing implique différents risques sécuritaires dus à la perte de maîtrise sur les données. Il convient dans un premier temps de s’intéresser aux typologies de risques relatifs au Cloud Computing ( A ), avant de voir des applications concrètes de failles sécuritaires dans des services Cloud ( B ).
A. Typologies de risques relatifs au Cloud Computing
Dans un rapport de 2009, L’European Network and Information Security Agency (ENISA) a identifié trente-cinq risques pour le cloud computing 67 .
Ces risques sont regroupés en quatre catégories :
- Risques organisationnels et politiques : tous les risques liés à la gestion du cloud, à son interopérabilité, aux respects de conformité, etc. ( §1 ) ;
- Risques techniques : tous les risques liés à l’utilisation d’un cloud : interception des données en transit, attaques, etc. ( §2 ) ;
- Risques légaux : tous les risques liés au plan légal comme le changement de juridiction des données, etc. (voir section 1) ;
- Risques non spécifiques au cloud : ensemble des risques courants dans les systèmes informatiques comme la gestion du réseau (congestion, utilisation non optimale), la perte ou compromission de logs, etc.
§1. Risques organisationnels et politiques
Le Cloud computing en tant que pièce centrale de l’espace numérique moderne est sujet à convoitise par des acteurs étatiques et non étatiques qui cherchent à l’exploiter à leur avantage. La cyberconflictualité désigne une situation où les acteurs sont des États-puissances désireux d’exploiter l’espace numérique à leur profit 68 .
Symbole de l’ampleur de cette cyberconflictualité ces dernières années, on observe que de nombreux Etats se sont dotés de structures chargées de surveiller les ingérences numériques étrangères. En 2015 l’Union Européenne crée l’East StratCom Task Force 69 consacrée à la lutte contre les manipulations en provenance de Russie. Aux Etats-Unis c’est le Global Engagement Center qui a pour mission de détecter et contrer la propagande étatique et non-étatique et les manœuvres de désinformation visant à influer sur la stabilité des Etats-Unis. En France c’est le service VIGINUM qui est chargé de la protection contre les ingérences numériques étrangères.
67 ENISA. Benefits, risks and recommendations for information security. European Network and Information Security Agency. November, 2009.
68 GERMAIN (G.), MASSART (P.), « Souveraineté numérique », Etudes, 2017/10, pp. 45-58.
69 European Union External Action, « Questions and Answers about the East StratCom Task Force », 27 octobre 2022.
Cette cyber propagande se fonde très largement sur la captation massive de données personnelles pour cibler le plus efficacement possible les campagnes d’influence. Des scandales comme Facebook-Cambridge Analytica 70 ou le programme PRISM ont démontré que les services Cloud étaient une clé de voûte en matière de surveillance et d’influence étatique. La cyber propagande prend une tournure plus inquiétante à l’heure de la multiplication des conflits prenant place dans le monde réel mais également dans le cyberespace. L’exemple le plus récent reste celui de la Guerre entre la Russie et l’Ukraine lors de laquelle la captation de données est un enjeu clé pour la prise de décision, dans le but de savoir comment l’adversaire va réagir.
Ces risques organisationnels et politiques se créent en partie sur le fondement de risques techniques, qui sont exploités et détournés pour permettre la captation d’informations.
§2. Risques techniques
Le cloud computing repose sur un ensemble de technologies préexistantes 71 le rendant donc sensible aux vulnérabilités de chacune de ces technologies. Ainsi, certains risques sécuritaires sont inhérents au fournisseur Cloud, notamment lorsque les données ne sont pas codifiées avec leur transfert vers le Cloud. Ils dépenderont alors des méthodes de gestion des accès mises en oeuvre par le fournisseur, de la robustesse des méthodes d’authentification, du camouflage des données 72 ou encore de journalisation.
D’autres risques sont liés à la connexion réseau entre l’utilisateur et le service Cloud, si l’authentification à un des points d’extrémité de la communication n’est pas fiable, un tiers peut avoir accès aux données et applications dans le cloud. Une liaison de communication non cryptée présente le risque que les données transférées soient lues de façon non perceptible.
70 L’affaire Facebook-Cambridge Analytica renvoie à l’exploitation par la société Cambridge Analytica de données personnelles de plus 87 millions d’utilisateurs de Facebook pour influencer les intentions de vote en faveur d’hommes politiques américains.
71 Ex. Serveurs, connectivités, API, applications, etc.
72 Il s’agit de dissimuler des données réelles au sein de données factices afin de fausser le volume de données réelles dans le cadre de données en production, tout en gardant la possibilité de retrouver facilement les données réelles.
Enfin, certains risques sécuritaires sont liés à l’utilisateur du Cloud. Ils peuvent provenir d’un manque de sensibilisation à la sécurité de la part des utilisateurs ou de mauvaise protection des applicatifs utilisés. C’est d’ailleurs l’une des failles de sécurité les plus utilisées grâce à des méthodes de phishing. Face à ces risques les fournisseurs de services Cloud sont pratiquement impuissants.
Ainsi, les fournisseurs de services cloud doivent pouvoir se protéger contre de nombreuses attaques : celles issues de chacune des technologies préexistantes composant le Cloud, mais également celles qui ne relèvent pas de sa responsabilité et dont ils doivent se contenter d’anticiper les conséquences sur ses infrastructures.
B. Applications concrètes de failles sécuritaires dans des services Cloud
Les attaques ciblées contre des infrastructures Cloud se caractérisent par leurs conséquences à grande échelle, notamment lorsqu’elles visent les plus grands fournisseurs. A cet égard, le botnet Zeus (dont l’objectif est le vol de données sensibles) a permis une attaque sur la plateforme de Cloud d’Amazon (IaaS et PaaS), qui par le biais de spams à très grande échelle a permis d’installer des « backdoors» sur les machines ciblées 73 .
Enfin, l’apparition du cloud computing a également conduit au détournement d’attaques connues comme celles par déni de service distribué (DDos) qui ne sont désormais plus utilisées pour bloquer un service mais pour augmenter artificiellement les ressources allouées pour le propriétaire du service par le cloud. Le but est d’augmenter considérablement les coûts d’utilisation du cloud pour le propriétaire du service afin de le mener à une faillite financière 74 .
Une étude de 2012 du laboratoire I3S 75 s’est intéressée à la mise en œuvre de la sécurité dans les bases de données cloud, afin de savoir quelles bases de données fournissaient le plus haut niveau de sécurité au travers des dix critères. Pour cette étude, ils ont comparé les bases de données libres et propriétaires les plus populaires comme Microsoft SQL, Oracle, IBM
73 KREBS (B.), « Amazon: Hey Spammers, Get Off My Cloud! », The Washington Post , 1er juillet 2008.
74 ZUBAIR (A.), SADIQ (M.), BINBESHR (F.), « Controlled access to cloud resources for mitigating Economic Denial of Sustainability (EDoS) attacks », Computer Networks, Vol 97, pp. 31-47, 2016.
75 DELETTRE (C.), BOUDAOUD (K.), RIVEILL (M.), « Cloud Computing, Sécurité et Dissimulation de Données », 7ème Conférence sur la Sécurité des Architectures Réseaux et Systèmes d’Information, 2012.
DB2, MySQL, PostgreSQL, mais également celles issues du Cloud computing comme Amazon SimpleDB, Google DataStore et Azure SQL.
D’après leurs résultats (voir annexe 4) les bases de données traditionnelles possèdent un haut niveau de sécurité. Ceci est particulièrement vrai pour les bases de données propriétaires comme Microsoft SQL et Oracle qui sont plus matures que celles proposées dans les clouds qui étaient relativement nouvelles à l’époque. Ils ont également observé que les bases de données issues du Cloud ne proposaient pas nativement la confidentialité des données qui restait à la charge de l’utilisateur. Avec les évolutions technologiques des dix dernières années, le Cloud computing a considérablement renforcé sa sécurité technique et aujourd’hui les fournisseurs de services dématérialisés disposent en général de plus haut standard en matière de sécurité que leur clientèle. La mise en réseau crée cependant des vulnérabilités potentielles supplémentaires qu’il convient de contrôler.
Il ne fait aucun doute que les risques organisationnels et politiques du Cloud représentent une menace à la gouvernance bien plus importante que les risques techniques. Pour pallier ce premier risque, les Etats européens s’intéressent depuis plusieurs années à la réalisation d’une souveraineté numérique européenne. Nous questionnerons dans une seconde partie la capacité de réalisation d’une souveraineté numérique européenne.
