Le trou de sécurité du Sony Playstation Network est une gaffe importante à cause qu’il y a beaucoup d’utilisateurs impactés. Sony va subir les contrecoups de cette gaffe monumentale. Logiquement les autres joueurs dans l’industrie ont observé cette situation et ont pris les précautions nécessaires. J’ai toutefois tendance à faire davantage confiance à un service informatique à grande échelle qu’une installation isolée et montée par un seul technicien dans une entreprise.
La panique ou la méfiance face au cloud computing ressemble étrangement à celle de la peur de prendre l’avion. Les accidents d’avion sont spectaculaires, car elles font souvent beaucoup de victimes, mais elles sont rares par rapport à tous les petits accidents d’automobile partout sur la planète. Vous avez plus de chance de laisser votre peau dans un accident d’auto que dans une accident d’avion.
Aussi, fait intéressant, la peur de l’informatique en nuage vient davantage des informaticiens que des utilisateurs. Ceux qui ont longtemps eu un gagne-pain avec le vieux modèle, ont-ils trop à perdre avec la mise en commun des services informatiques? La question se pose. Est-ce que l’argumentaire de la peur leur sert pour leur pérennité?
Soyons vigilants à ces nouveaux services, mais ne soyons pas fermés aux changements qui s’opèrent dans l’industrie. Que ce soit le logiciel libre ou la venue du cloud computing, il faut prendre le meilleur de ces nouveaux paradigmes pour mieux servir les utilisateurs.
Évitons les généralisations.
De plus, je crois fortement que les problèmes de sécurité que Sony et cie ont vécus sont lié à des erreurs de développement, à des «oublis» et surtout, à une gestion qui ne prend pas la sécurité à coeur. Combien de fois un client a dit « Ahh sa marche, pas besoin d’y toucher » ou des « Ahh ça marche, la sécurité, on mettera un norton ».
Même si c’est désolant de voir les Lulzsec, bien honnêtement, je suis content que sa arrive là. Sa va réveiller certaines personnes à vouloir investir dans la sécurisation de leurs applications, car, il faut savoir que la grande majorité des attaques qu’il y a eu avec Lulzsec ne sont que des vulgaires injections SQL, ce qui n’a rien à voir avec l’architecture où est hébergé la dite application, que sa soit en cloud ou avec un plain old datacenter local n’aurait absolument rien changé.
Je n’ai jamais partagé ton enthousiasme pour ce modèle. Le mode « full cloud » à la sauce Chromebook ne peut qu’être qu’un échec et même un danger réel quand à la sécurité des données. Tu semble oublier que les exemples comme celui du PSN se multiplient ces derniers temps : Nintendo, Dropbox, etc… sans oublier les DDOS qui ont fait tomber le site de Visa l’an dernier (en réaction à l’arrestation de Assange). Je connais personnellement des hackers qui se frottent les mains en pensant à la mine d’informations qui s’offrira à eux bientôt. Les rapports d’impôts des particuliers dans le nuage, ça va tellement bien se revendre les infos qu’il y a là-dessus. Sachant que l’usurpation d’identité est un des crimes qui connais la plus forte croissance, je crois que minimiser les risques du cloud computing n’est pas une bonne idée. Et qui celà sert-il ? Peut-être à des informaticiens qui, justement, ont tous miser là-dessus et en ont fait leur gagne pain….
La question est de comprendre ce que l’on fait avec ses propres données. Comment on les gère ? Comment on reste indépendant face à une catastrophe ? etc.
Plus les données sont concentrées et plus les chances de catastrophes majeures arrivent. La métaphore avec l’avion ne fonctionne pas. Il faudrait que ton avion transporte tous les passagers de l’année dans un seul avion.
voir aussi http://www.la-grange.net/2011/05/16/freedata/data-independence
Solution complexe apporte des problèmes complexes, j’ai d’avantage confiance a des petites solutions que je peux contrôler que des grosses patantes que nous pouvons juste espérer quelles soient sécurise
Les exemples cités par Patrice sont limités donc marginaux par rapport au nombre de fournisseurs de qualité qui existe sur le web asteurs. La comparaison se fait difficilement car on ne voit pas dans les nouvelles toutes les petites PME qui se font hacker ou qui perdent des données à cause de la négligence de leur unique informaticien de service. Au fond qu’est-ce qui est l’idéal? Le statu quo? J’ose espérer que chaque innovation est un pas en avant. Une régression ne s’est jamais vu en informatique à ce que je sache.
Quand à l’erreur de Dropbox, ils vont en souffrir car ils sont sur le point de lancer un service destiné aux entreprises. Mais, j’ai encore le sentiment que mes fichiers sont plus en sécurité là que mes anciens backups physiques sur DVD ou disque dur externe.
L’analogie de l’avion est bonne car il y a des clients qui ne sont impactés et d’autres qui ne sont pas de l’entreprise en question.
Mario, cet avis est celui d’un informaticien qui peut se permettre d’être autonome avec la technologie. La majorité des utilisateurs ne sont pas assez aguerris pour monter eux-mêmes des solutions maison. L’informatique à distance est une bonne solution. C’est un choix d’être dépendant envers une boite qui supporte ses équipements et logiciels sur place ou de faire affaire avec un service mutualisé en ligne. Le coût et une analyse de risque les font pencher de plus en plus à tout externaliser.
A chaque solution son architecture et ses risques.
Du coté sensibilité de l’information, je n’ai absolument aucun problème à laisser mes courriels chez Google, Yahoo ou Microsoft. Par contre, j’aime bien que mes informations bancaires et personnelles (ex: trucs d’impôts ou paperasse de compagnie) soient chez l’utilisateur final (la banque ou le gouvernement). Est-ce le cas? Qui sait…
Si j’enlève mon chapeau d’expert en sécurité alors c’est drôlement intéressant d’utiliser le cloud computing. Si on parle d’Amazon, j’ai une infrastructure mise en place par des pros à un bon coût. Je n’ai rien à faire sauf payer ma facture mensuelle… Pas de centre de données, pas de serveurs, pas d’électricité, pas de techniciens, moins d’assurances, etc.
Je crois qu’on s’entend pour dire que de dupliquer les efforts d’Amazon (à un coût abordable), c’est pas mal difficile voire impossible pour une PME. C’est faisable mais je pense qu’il est plus facile de donner des exemples d’architectures d’horreurs que des exemples de perfection…
Selon moi, il faudrait éventuellement une législation pour forcer les compagnies à expliquer comment les données personnelles sont hébergées et protégées. C’est ça qui compte en fait…