Sécurité des données: Risques liés au passage dans le cloud
Sacha Briggen
Directeur chez Intus Data AG à Volketswil
Comment les données stockées sur un nuage numérique s’évaporent-elles ?
Je suis un sportif amateur passionné. Je fais donc probablement partie de ce genre de personnes qui sont déjà à la salle de sport à 6h30 du matin, alors que d'autres se retournent une dernière fois dans leur lit. Convaincu que de meilleures données, si elles sont utilisées correctement, permettent de prendre de meilleures décisions, je tiens un registre numérique de mon entraînement. Pendant des années, j'ai été un utilisateur enthousiaste de Runtastic. Il y avait une application pour chaque objectif : une pour le vélo de course, une pour le VTT. L'application de jogging comprenait également une fonction permettant de surveiller mes progrès en ski de fond. Cette gamme de produits était complétée par ce que je considérais comme une solution web attrayante. Le rapport qualité-prix était fabuleux. Je dis bien « était ». Car ensuite, la vente a eu lieu. Adidas s'est emparé de cette jeune entreprise à succès. Pour les investisseurs, c'était certainement une affaire en or. Pour l'acquéreur, une tentative payante de remédier à son propre échec à mettre en place un écosystème numérique. Une situation gagnant-gagnant classique. Sauf pour moi, utilisateur. Car Adidas a pris la décision stratégique de se concentrer, à l'avenir, exclusivement sur les joggeurs.
De conserve avec la restructuration, la maintenance des applications qui me concernaient a été supprimée. Pis encore : la solution web a été mise complètement hors service. Et ce avec un délai de préavis d'une bonne semaine. Dès le jour fatidique, il n'était plus possible d'y accéder. Fini les problèmes. Ceux qui ont été assez rapides ont tout de même pu exporter leurs données dans un fichier CSV (Comma-Separated Values) et espérer les réimporter un jour, quelque part. Oui, je suis un sportif amateur ayant certaines ambitions. Cette expérience n'est rien de plus qu'une histoire ennuyeuse qui peut tout au plus être ressortie lorsque les sujets de conversation usuels sont épuisés, entre la poire et le fromage. Pas véritablement un événement marquant, tout au plus une anecdote… Mais que se passerait-il si un scénario similaire se produisait avec mes propres données d'entreprise, essentielles à ma survie ?
Quelle est la valeur de mes données d’entreprise ?
Subitement, plus aucun accès aux données les plus importantes de l'entreprise, stockées dans le cloud. Une vision d'horreur absolue. Toutes les opportunités de vente, les données contractuelles, les commandes et factures en cours, les tickets d'assistance, les prestations fournies et bien d'autres choses encore se trouvant tout au plus dans une structure CSV désincarnée.
Si tant est qu'une exportation était encore possible avant le shutdown. Comment puis-je retrouver la documentation relative aux entretiens avec les clients, à leur environnement système et à toutes les connaissances enregistrées dans le cadre des assistances et dépannages ayant eu lieu ? Cela peut paraître banal, mais les données informatiques sont effectivement le nouvel étalon-or, les diamants de Golconde. Même si l'on ne dispose «que» des siennes et non de celles de la moitié du monde comme Google, Facebook ou Amazon. Le sujet est généralement mis en avant lorsqu'il s'agit de savoir ce que ces entreprises comptent faire de «mes» données personnelles. C'est aussi une question importante et souvent négligée. Les données de mon entreprise représentent pour moi la moitié de mon monde – voire plus.
Combien de temps survivra mon entreprise sans ses données ?
Revenons à notre «pire scénario possible» de panne totale. Si vous n'avez jamais vu de fichier CSV, je vous conseille d'effectuer vous-même une exportation à partir d'une solution web que vous utilisez. La plupart d'entre elles proposent une telle fonction et le fichier peut être facilement ouvert dans Excel. Si vous avez quelques dizaines de milliers d'entrées réparties dans différents tableaux, cela devient vite très compliqué et fastidieux au possible. Toute la logique du programme de votre ancienne solution a disparu – vous ne voyez plus que des données, des données et encore des données. Et même une petite entreprise se retrouve rapidement en présence de dizaines de milliers d'entrées, à titre d’information. La bonne nouvelle, c'est que ces données peuvent généralement être réimportées dans un système cible. Peut-être que l'une ou l'autre information utile, mais pas forcément nécessaire, sera perdue. Vous pourrez vivre avec cela. Si le scénario est pire ? Il vous faudra du temps, croyez-moi. Combien de temps concrètement, me direz-vous ? Cela dépend de différents facteurs. Ce qui est sûr, c'est que vous devrez d'abord évaluer une nouvelle solution. Le fournisseur devra analyser vos données et probablement écrire l'un ou l'autre script de migration. Ensuite, vous devrez vérifier la migration, ce qui peut prendre du temps selon la quantité de données concernées. Il vous faudra ensuite prendre la peine de vérifier si tous les contrats ou abonnements ont été transférés chez les bons clients. En effet, vous ne voulez pas vous rendre compte, au moment d'établir une offre urgente, que votre structure d'articles a été partiellement dénaturée et que les rabais ne sont plus correctement attribués. En un clin d'œil, quelques semaines se sont déjà écoulées avant que vous ne puissiez à nouveau travailler plus ou moins comme d'habitude et satisfaire les demandes de vos clients.
Mon passé dans une grande banque suisse m'a appris qu'en cas de panne totale du mainframe, sa durée de survie aurait été de quelques jours à l'époque. Aujourd'hui, ce serait probablement quelques heures. En revanche, les systèmes sont mieux étalonnés et la probabilité d'une panne totale est plus faible. Mais cela n'a pas d'importance. Ce qui est clair, c'est que si les systèmes ne sont pas immédiatement à nouveau disponibles, la banque ne peut plus faire face à ses obligations et fait faillite. Du point de vue de l'économie nationale, il s'agit d'un problème d'importance systémique et c'est pourquoi celui-ci est méticuleusement réglementé. La plupart des PME ne font pas d'opérations à terme sur le marché monétaire, et si elles en font, ce n'est pas dans des proportions comparables à celles du monde de la finance. Mais qu’adviendrait-il si cela se passait au sein de ma propre entreprise ? Quel serait le niveau de nos réserves de liquidités pour faire face à une interruption du processus de facturation ? Quelle serait la probabilité que demain nous ne puissions plus accéder facilement à certaines données capitales ?
Recommandations de séminaires
Conseil : appliquer le processus de gestion des risques
Comment gérer les risques lorsque l'on passe au cloud ? Il vaut la peine de suivre le processus classique de gestion des risques :
- Identifier les risques
- Evaluer les risques
- Définir des mesures et les mettre en œuvre
Les solutions cloud comportent certains risques, notamment en matière de protection et de sécurité des données. En ce qui concerne la sécurité des données, qui a pour objectif de protéger techniquement la perte, la modification de données ou d'autres menaces, il convient également de prendre en compte le risque de défaillance commerciale du fournisseur.
Lors de l'évaluation des risques, on répond à la question de savoir quelle est la probabilité d'occurrence du risque et quelles seraient les conséquences si le risque se matérialisait. Même si la probabilité est très faible, les risques dont les conséquences seraient fatales et menaceraient l'existence même de l'entreprise nécessitent que l’on y prête la plus grande attention.
Les mesures doivent, dans la mesure du possible, réduire la probabilité d'occurrence. Souvent, cela n'est possible que de manière limitée et il s'agit de réduire la portée de l'impact. Par exemple, des exportations régulières, automatiques, idéalement structurées à un niveau plus élevé (par exemple sous forme de base de données) et un plan organisationnel sur la manière de procéder en cas de panne s'avèrent des plus judicieux.
Un vibrant hommage à la gestion des risques
Cet article n'a pas vocation d’être un plaidoyer contre les solutions cloud. Celles-ci offrent de très nombreux avantages et s'imposeront à long terme. Si un éditeur de logiciels ne rend pas sa solution compatible avec le cloud dans les années à venir, ce même éditeur n'aura tout bonnement aucun avenir. Cela vaut aussi pour nous. C'est pourquoi nous investissons beaucoup de ressources et de cœur dans ce sujet. Cet article est plutôt un vote en faveur d’une saine et bonne gestion des risques dans les PME. Je suis toujours étonné de voir avec quelle insouciance les décisions sont prises dans les PME, par exemple en ce qui concerne les données. J'entends rarement la question de savoir ce qui se passerait si le fournisseur devait déposer le bilan ou si, pour d'autres raisons, le système devait subir une panne prolongée. Avoir un plan clair pour de telles situations peut être décisif pour la survie d'une entreprise. J'entends souvent des entrepreneurs argumenter qu'ils sont "trop petits" pour se permettre d'avoir leur propre service informatique. C'est compréhensible, et dans de nombreux cas, il n'est pas utile d'en créer un. Malheureusement, la gestion des risques et la gestion stratégique des questions informatiques ne peuvent néanmoins pas être externalisées.
Tout entrepreneur doit aujourd'hui être en mesure de poser les bonnes questions, de vérifier la plausibilité des réponses et donc de prendre les bonnes décisions. Être entrepreneur signifie également prendre des risques. Le risque de perdre toutes ses données commerciales doit aussi être pris en compte. Dans le meilleur des cas, de nombreux risques peuvent être limités mais ne peuvent pas être complètement rayés de l'équation. Il y a une grande différence entre être conscient d'un risque et n'en prendre connaissance qu'une fois qu'il s'est concrétisé et que le désastre a eu lieu.
