Alors que les questions de sécurité informatique n’ont jamais été aussi vives, le Pentagone américain envisage de placer certaines données classés et particulièrement sensibles dans le cloud. Le ministre de la Défense considère plusieurs options pour y parvenir, la sécurité jouant un rôle crucial dans tous les cas.
La sécurité dans un contexte particulièrement riche
L’année 2013/2014 a été marquée par deux types d’évènements singuliers qui ont largement modifié la manière dont le grand public considère la sécurité informatique. D’une part, les révélations d’Edward Snowden, qui ont littéralement placardé la manière dont les agences de sécurité américaine (NSA en tête), espionnent et surveillent les communications mondiales. D’autre part, le nombre croissant d’attaques contre les réseaux des structures professionnelles et gouvernementales en vue d’en aspirer de précieuses informations.
La participation des grandes entreprises américaines à la chasse aux données personnelles des utilisateurs étrangers a très largement modifié la manière dont beaucoup considèrent les solutions de type cloud. La promesse d’une utilisation globale simplifiée est tenue, mais elle n’est plus le seul critère : la sécurité des informations confiées à ces prestataires et leur respect de la vie privée comptent désormais autant, voire davantage, pour une partie des utilisateurs.
C’est ainsi que l’on a pu voir dernièrement Apple rebondir sur ce créneau en ouvrant une section dédiée au respect de la vie privée sur son site officiel. Une lettre ouverte du PDG Tim Cook indiquait comment Cupertino gérait les données personnelles, notamment sur le fait qu’elles n’étaient pas exploitées à des fins publicitaires, ce qui est le cas chez Microsoft et Google. De même, l’annonce d’une surveillance des communications en Corée du Sud a provoqué le départ de plus de 1,5 million de personnes de Kakao Talk vers Telegram pour y profiter des sessions sécurisées de conversation.
Le Pentagone souhaite placer des données sensibles dans un cloud particulier
C’est dans ce contexte « tendu » que le Pentagone, le puissant ministère américain de la Défense, a mis en ligne la semaine dernière un important document dans lequel il réfléchit à la possibilité de publier dans le cloud des documents frappés du sceau « Impact de niveau 6 ». Il s’agit du plus haut niveau de sensibilité d’une information classée secret-défense. Par exemple, une majorité des documents dérobés à la NSA par Edward Snowden étaient signalés comme « IL6 » (« Impact level 6 »).
Le document est préparatoire et se penche sur les pistes d’un tel mouvement qui, dans sa finalité, permettrait des échanges simplifiés d’informations entre certains services. Il pave la voie vers un appel d’offres, et des entreprises comme Amazon (EC2) ou Microsoft (Azure) seront probablement sollicitées pour fournir des propositions en phase avec les prérequis. Et ces derniers sont nombreux, comme on l’imagine facilement.
Deux solutions envisagées...
On ne peut profiter en effet des technologies du cloud aussi simplement que tout un chacun lorsqu’on est le Pentagone, comme le signale Information Week. La DISA (Defense Information Systems Agency) réfléchit ainsi à deux pistes principales :
- Data Center Leasing Model (DCLM) : le fournisseur de la solution loue directement des serveurs au sein des infrastructures du DoD (Département de la Défense). Il installe donc sa solution sur les CDC (Core Data Centers), l’ensemble restant donc sous surveillance rapprochée de l’État.
- On-Premise Container Model (OPCM) : l’entreprise fournit directement un package matériel et logiciel sous la forme d’un conteneur, qui est ensuite placé dans des locaux du DoD. L’aspect surveillance et contrôle reste à peu près le même que dans la première solution.
Le document explique que les deux solutions sont à pied d’égalité dans la mesure où les informations « de niveau 5 et 6 » résideront physiquement « dans, ou à côté, des centres de données du DoD ».
... mais toutes deux sous étroite surveillance
On peut donc voir que ce que le Pentagone considère ne correspond pas à l’idée première qu’on pourrait se faire d’un envoi dans le cloud. Il n’est pas question en effet de placer ces informations dans EC2, Azure ou d’autres solutions dans leur forme classique, c’est-à-dire de les héberger dans des infrastructures pour lesquelles le DoD n’aurait que peu de moyens de contrôles. En outre, les critères de sécurité de ces informations, caractérisées avant tout par leur potentiel de dangerosité, sont nécessairement très différents de ceux apposés sur les utilisateurs classiques de ces solutions.
Si de telles données devaient fuiter, le Pentagone considère que les conséquences seraient « extrêmement graves ». Pourtant, la position du Département a largement évolué au cours de l’année. En janvier, un rapport indiquait que les considérations sur l’utilisation du cloud pour les données de niveau 3 à 5 étaient encore seulement à l’état de brouillon. Dix mois plus tard, le ministère considère sérieusement la possibilité d’utiliser de telles solutions pour le stockage des données les plus sensibles.
Une prise de conscience généralisée
Cette évolution de la situation est intéressante quand elle est mise en lumière avec la manière dont les États-Unis considèrent l’état actuel de la sécurité informatique pour ses agences et infrastructures. RT.com indiquait par exemple la semaine dernière que Beth Cobert, du White House Office of Management and Budget, abordait le cas des « menaces grandissantes de cybersécurité ». Le gouvernement américain réfléchit ainsi intensément à une révision assez générale de ses procédures de sécurité, notamment pour tout ce qui touche aux agences civiles. Le DHS (Department of Homeland Security) va ainsi mener « des analyses régulières et proactives » des systèmes en vue de vérifier que toutes les données sont protégées correctement, et ce, sans l’accord préalable des agences concernées.
Il y a quelques jours, le député républicain Mike Rogers, qui préside l’important House Intelligence Committee (qui avait rappelé à l’ordre plusieurs fois la NSA l’année dernière), exposait un avis particulièrement critique sur le niveau global de sécurité des réseaux américains. Selon lui, les États-Unis ne sont « pas préparés si le gouvernement fédéral décide de se lancer dans une action offensive ou perturbatrice, même en réponse [à une autre attaque] ». Il s’inquiète particulièrement du fait que le gouvernement ne possède que 15 % des réseaux, les 85 % restants étant détenus par le secteur privé. En d’autres termes, si les États-Unis devaient subir de vastes attaques informatiques, les dégâts seraient nombreux. Et les récents piratages d’entreprises, notamment de JP Morgan, vont dans ce sens.
C’est donc dans ce contexte tendu que le Pentagone devra faire son choix. On imagine aisément que les piratages, l’affaire Snowden et les défis permanents des cybermenaces ont amené le DoD à prendre bonne note du climat dangereux actuel pour les données sensibles.
Commentaires (24)
Surement la meilleur solution pour mettre en lieu sûr les rapport sur Roswell ou l’assassinat de Kennedy ^^
Pas de bras, pas de chocolat.
Pas de terrorisme, pas de guerre, pas de lois liberticides, ni de lobotomie.
Bel effet de levier proposé , encore une fois.
*China and Russia approved this*
" />
“Il s’inquiète particulièrement du fait que le gouvernement ne possède que 15 % des réseaux, les 85 % restants étant détenus par le secteur privé. En d’autres termes, si les États-Unis devaient subir de vastes attaques informatiques, les dégâts seraient nombreux. Et les récents piratages d’entreprises, notamment de JP Morgan, vont dans ce sens.”
" /> JP Morgan).
Le ministère de la défense (novlangue du ministère de la guerre…) pourrait nationaliser le réseau?
J’y crois moyen, a moins avis ils vont juste utiliser l’argent du ministère (donc l’argent publique) pour protéger le cul des grands groupe privés (puisque c’est eux les cibles) qui ne sont pas foutu de mettre plus de 0.24% de leur chiffre d’affaire dans la sécurisation de leur infrastructure (
/mode paslulanews Si le Pentagone met ses données dans le cloud, c’est que ça doit être sécurisé
" />
C’est tellement gros qu’on dirait un pot de miel
" />
Du moment qu’ils ne mettent pas de photo de gens à poil
Je croyais que le principe du cloud était de virtualiser son infra un peu partout sur la planète afin de maximiser les bénéfices de la redondances de l’hébergement ?
S’ils font ça, c’est que leurs données ne valent pas un clou (d). Que des ragots sans importances…
Journée(s) porte(s) ouverte(s)
" />
" />
D’abord ils tentent naivement de faire croire que le cryptage d’Apple est pour eux une source d’inquiétude, puis ils surfent sur le mot “cloud” (pour parler de simples data center, data warehouse…)
Si ce n’est pas dans la continuité de la campagne de séduction pour calmer les esprits et tenter de restaurer la confiance…,voir redorer le blason du “cloud”.
Ne pas oublier que derrière ces deux petits noms “cloud” et “cryptographie”, se cache une industrie de plusieurs centaines de milliards qui bénéficie en majorité aux firmes et à l’économie US.
Ce serait un étonnant paradoxe mais si la NSA se lançait dans le business de la sécurité il se placerait certainement dans le top des meilleures boîtes en la matière.
Si il y a bien une société qui doit connaître le plus large éventail de failles (et y contribuer) ou connaître moults moyen de percer et casser de la secure c’ est bien la NSA.
Bon après, c’ est sur que demander à un voleur pro de venir sécuriser sa maison c’ est peut être pas la solution la plus idéale dans la pratique…
Joli leurre.
Allez-y faites comme nous, on met nos données dans le Cloud : puisque le Pentagone le fait vous pouvez bien le faire !
(ils s’y connaissent en sécurité eux , hein !)
Après le directeur du FBi qui critique les méthodes de chiffrement d’Apple et Google, maintenant c’est le tour du Pentagone de faire de la pub, afin de restaurer la confiance dans le cloud et les sociétés américaines….. il ne faudra pas compter sur moi.
Ca veut dire quoi mettre leur données dans le “cloud” ? Qu’avant ils stockaient leur documents sur disquette et clé USB ?
elles ne doivent pas être “si sensibles” que ça leurs données pour qu’ils SE PERMETTENT
de les mettre sur un lieu “aussi sûr” que le Cloud ?
(chiche : qu’ils mettent les données d’Obama ?
“le Kennedy”, on s’en fout !!! )