Le débat sur l'accès aux données dans les clouds et le Patriot Act sont redevenus un sujet brûlant dans le sillage des révélations sur le programme de surveillance Prism. Le gouvernement américain aurait eu accès à des données sur les serveurs de Google, Facebook, Microsoft, Yahoo, Apple et Skype.
« Je pense que cette affaire va être dommageable pour les entreprises américaines à l'étranger par rapport à la concurrence », souligne Robert Jenkins, CEO de l'entreprise suisse CloudSigma. En règle générale, l'affaire Prism et d'autres programmes auront un impact sur la confiance des gens dans l'utilisation d'Internet, constate Johan Christenson, CEO de City Networks en Suède. « Il y a beaucoup de clients qui nous interpellent pour que leurs données soient stockées en Suède. Ils ne savent pas comment faire et ne veulent pas avoir de soucis », admet le dirigeant. Il estime que cette question de confiance aurait pu être résolue d'ici 3 à 4 ans, mais avec l'affaire d'espionnage cela va prendre encore un peu plus de temps. CloudSigma et City Networks fournissent des offres IaaS.
Les concurrents américains tentent vainement de se défendre. Ainsi Amazon et Rackspace ont déclaré par mail ne pas avoir participé à Prism. L'année dernière, un membre de Rackspace , Justin Freeman pointait du doigt, « les préoccupations des entreprises étrangères sur la protection des données, qui menacent d'exclure les entreprises américaines de certains contrats ».
Des contenus plus ou moins sensibles
Les entreprises sont divisées sur la question. Ian Woodall, responsable IT chez XL Video, une société britannique qui fournit des équipements vidéos grand format pour des concerts et qui utilise Box, explique « je ne pense pas que nous soyons si important par rapport à une société travaillant dans le nucléaire ou le médical. Le fait de dire que Justin Timberlake est en tournée n'a pas vraiment d'importance ». Par contre, l'administration nationale des tribunaux suédois, une autorité qui relève du gouvernement et fait des propositions sur l'organisation des juridictions, a recommandé de ne pas utiliser les services de cloud pour le moment. Elle a commencé à classifier des données pour amorcer leur déplacement vers le cloud, mais « utiliser des services de firmes américaines seraient considérer comme un grand pas en ce moment », souligne le DSI Magnus Petzäll. Il ajoute, « ce qui a été révélé aux Etats-Unis a un effet sur notre façon de penser et pour nos prochains achats de services, nous devrons être encore plus clairs sur nos exigences en matière de sécurité ».
Un avis partagé par Jules Henri Gavetti, PDG d'Ikoula, « l'affaire Prism pose la question de la sécurité des données pour une entreprise multinationale ». Il constate néanmoins que cette affaire inquiète plus les particuliers que les entreprises, « elles ont l'habitude d'être auditées, d'avoir une politique de sécurité ».
Les écoutes, un phénomène connu
David Bradshaw, directeur de recherche sur le cloud public en Europe, indique que dans de nombreux pays européens les agences de renseignement n'ont pas besoin de s'adresser à un tribunal pour obtenir un accès aux données dans le cloud. « Je peux comprendre la sensibilité des gens sur ce sujet, mais je pense qu'ils doivent être réalistes », selon le consultant. Si les entreprises connaissaient ce point, elles seraient un peu moins préoccupées par les services des fournisseurs américains. Un sentiment partagé par Philippe Tavernier, président de Numergy « Si les entreprises en France ne savaient pas que leurs données pouvaient être espionnées par les acteurs américains, maintenant avec le scandale Prism, elles ne pourront plus dire qu'elles ne savaient pas ».
Le marché du cloud va être un peu bousculé, mais la demande est en forte croissance, selon l'analyste. Les acteurs américains commencent à s'adapter en investissant dans la création de datacenters en Europe. Ainsi, Salesforce.com prévoit l'implantation d'un centre de calcul au Royaume-Uni mis en service en 2014. David Brendshaw estime que l'angle local va donner un avantage aux fournisseurs européens, mais qu'ils devront avoir les mêmes tarifs et les SLA qu'Amazon, Google ou Microsoft.
Scandale Prism : une aubaine pour les acteurs clouds européens
6
Réactions
Les fournisseurs de clouds européens estiment que le scandale du programme d'espionnage Prism aidera les entreprises à choisir des alternatives locales à Amazon Web Services et Google
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Vous auriez pu sortir un autre article type :
Signaler un abus"La mise en place du Patriot Act à fait prendre conscience aux Entreprises françaises de la nécessité de sécuriser le contrôle de l'accès aux données. Ceci a permis de limiter les risques de fuite d’informations, blabla..."
Maintenant, la vraie vie :
La sensibilisation des clients sur l'opacité et les risques liés à l'exploitation de données Cloud sans contrôle, ne tient pas devant le "prix".
Quand vous expliquez que stockage de données nécessite contrôle de ces données, avec un prix en face, les réponses sont tantôt, "..vous regardez trop la télé...." tantôt " ah .. mais qu'est ce que vous voulez qu'ils fassent de mes données.."
A savoir :
Le piratage organisé de données hébergées sur des serveurs "étrangers" sont du pur fantasme journalistique.
ou, quand ils ont entendu parler de ces risques, il ( le Client) ne risque rien car ses données ne sont pas importantes.
Autre expériences, les services Cloud nécessitent un Contrôle strict de la part des Directions ou des SI, afin de limiter les fuites de document via les Clouds publics, conditions primordiales et totalement recevables.
Mais entre une dépense quelle qu'elle soit et du gratuit, ces conditions deviennent tout à coup moins prépondérantes. En attendant « on va tester les services..gratuits.."
Même la DCRI qui intervient pour sensibiliser les entreprises à ces risques se heurte à ces attitudes irresponsables.
Ce comportement bien Franchouillard, réfractaire à tout changement s'arrange bien de ces situations en hurlant au loup lorsque ces affaires deviennent publiques.
De quoi nous nous plaignons, nous. Seul un aveugle n'a pas envie de voir.
Si vous ne voulez pas que les données Cloud soient "exploitées" par des tiers, il faut les mettre dans des espaces ou le client peut exercer des droits.
Il est vrai que devant les pléthores d'offres "plus de Giga que moi tu meurs", la sécurité des données devient tout à coup très relative.
On croise les doigts en espérant que .. personne ne sache rien.
Que les entreprises basées aux USA créent des datacenter en Europe n'est pas plus une garantie. Ces entreprises resteront ce qu'elles sont.
Signaler un abusCroire que nos données sont en sécurité dans le Cloud est soit de la naïveté, soit de l'incompétence. Souvenez-vous du réseau Echelon, qui n'a pas protégé les USA contre les attentats, mais leur a servi dans les pour être informé dans les négociations commerciales (Boeing/Airbus...). La lutte contre le terrorisme a bon dos.
Le monde informatique censure les liens donc.
Signaler un abusEt parle du "cloud" ...
Quel ramassi de blaireaux ...
Moi je répondrais à Johan Christenson que si les gens ne savent pas comment faire pour stocker leur données en Suède c'est d'une part parce que la barrière de la langue est énorme, la mentalité est totalement différente et que de plus les prix sont extrêmement dissuasifs. J'habite en Suède et j'héberge mon site e-commerce en France tellement c'est cher en Suède.
Signaler un abusJe pense que l'analyse des données stockées dans le "cloud" i.e. sur des serveurs américains ne doit être une surprise pour personne. Je pense que la France a lancé le cloud francais (Orange, Thalès, Vivendi ...) pour pouvoir faire le même type d'analyses. Alors oui, "Prism : une aubaine pour les acteurs clouds européens" mais s'est s'extirper de la gueule du loup pour tomber dans celle du renard.
Signaler un abusPas exactement le même sujet mais extrêmement proche, lié, et tout aussi important si ce n'est plus.
Signaler un abusIl n'y a aucune fatalité technique (et encore moins légale) à la goinfrerie actuelle d'informations personnelles sur les "profils utilisateurs", ni à l'utilisation de vrais noms plus ou moins imposée, etc.
Et -aucun besoin d'ID unique- partagé entre les services par utilisateur.
Par contre clairement besoin d'un nouveau rôle, d'une notion de "sphère privée" ou compte pour les données clés, séparation des rôles, plusieurs organisations dans le rôle, et possibilité de déménager.
D'autre part aucune loi "défensive ou contraignante sur l'existant" ne fonctionnera.
(IDeNum : dossier repris actuellement par F Pellerin)
note : et rappelons que les aspects profils utilisateurs cela n'a rien à voir avec le "cloud"