Amazon Web Services : offensive du géant du Cloud sur la DSI
Le message est sans ambiguïté : après avoir séduit les développeurs et les start-up à la recherche d'une infrastructure flexible, Amazon Web Services, leader mondial du Cloud public, met le cap sur les DSI 'traditionnelles'. A l'occasion d'une étape parisienne de son AWS Summit, l'activité Cloud du cyber-commerçant a multiplié les messages calibrés pour les DSI. Après avoir souligné que 70 % du CAC 40 était déjà utilisateur des services maison, Werner Vogels, le directeur technique d'Amazon.com (en photo ci-contre), a martelé : « le Cloud est défini par un certain nombre de bénéfices par rapport à une architecture traditionnelle. Et le Cloud privé n'en possède aucun ». Clairement, une façon d'inciter les directions informatiques françaises, très tournées vers le Cloud privé, à s'interroger sur leur stratégie.
Mais, sans surprise, le géant de Cloud a, hier, axé l'essentiel de son offensive sur la sécurité. Une priorité attendue après la succession de révélations d'Edward Snowden sur les écoutes de la NSA américaine, révélations qui, d'après plusieurs études, pourraient détourner les entreprises européennes des fournisseurs américains. Stephen Schmidt, directeur de la sécurité d'AWS, a ainsi tenu à rassurer les DSI en mettant l'accent sur trois axes complémentaires de la sécurité dans le Cloud : la visibilité, l'auditabilité et le contrôle.
La question des accès des admin AWS
« Si vous ne maîtrisez pas ce que possédez au sein de vos infrastructures, comment le sécuriser ?, lance à la salle le dirigeant d'AWS, pointant le manque de visibilité des DSI sur les infrastructures on-premise. Dans le Cloud, toutes les interactions sont automatisées, enregistrées et mises à votre disposition ». Le fournisseur met également à disposition de ses clients un service baptisé Trusted Advisor, permettant de monitorer les infrastructures et, surtout, de recevoir des alertes de sécurité quand des mises à jour sont nécessaires, ainsi que CloudTrail, assurant un suivi de l'utilisation réelle des droits d'accès accordés aux employés.
Stephen Schmidt insiste également sur les limitations d'accès des personnels d'AWS aux données des entreprises clientes. Un autre facteur d'inquiétude des DSI vis-à-vis des prestataires de Cloud. « Avant l'embauche, nous étudions le background de chaque personne, y compris ses antécédents financiers. Et ces profils sont réétudiés régulièrement. Chaque accès d'un de nos employés doit être validé par un manager. Et revalidé après 90 jours sinon il est automatiquement révoqué. Quand un employé change de fonction, tous ses accès sont automatiquement révoqués », énumère le responsable sécurité.
En complément de ces bonnes pratiques, AWS souligne les multiples options de cryptage qu'il propose. « Le chiffrement des données peut être totalement automatisé - c'est alors aussi simple que de cocher une case dans un menu -, utilisé en mode mixte - le client contrôle alors les clefs - ou géré entièrement par le client - qui crypte en interne avant de transférer les données dans le Cloud », résume Stephen Schmidt (en photo ci-contre).
Un coffre-fort pour protéger les clefs
Dans un entretien avec la rédaction, Stephan Hadinger, directeur des solutions d'architecture chez AWS France, souligne également une autre option offerte depuis environ 1 an : l'emploi de HSM (Hardware Security Module), matériel permettant de créer, stocker et contrôler l'usage des clefs de cryptographie. « Nous travaillons avec des partenaires comme SafeNet et Trendmicro qui chiffrent toutes les données y compris les volumes de boot et proposent une option pour gérer les clefs de chiffrement en dehors du Cloud. Le HSM permet d'aller un cran plus loin, avec un boîtier dédié pour un client permettant de protéger ses clefs. » En cas d'attaque (physique ou logique), les HSM sont en effet conçus pour détruire les clefs. « Même en cas de requête d'un gouvernement, nous sommes dans l'incapacité de fournir les clefs », assure Stephen Schmidt. Dans l'offre de datawarehouse de AWS, l'option HSM est ainsi proposée sous forme de simple case à cocher (même s'il s'agit bien d'une location d'un ou plusieurs boîtiers dédiés). Seuls bémols : les HSM sont issus d'un unique fournisseur (Safenet) et sont logés dans le Cloud d'AWS (même si l'entreprise peut aussi héberger un boîtier dans son datacenter, en réplication).
Couplées à des fonctions comme la fédération d'identités, le Cloud privé virtuel (VPC) ou DirectConnect (connexion fibre directe à AWS), ces multiples options montrent la volonté d'AWS de pénétrer les entreprises traditionnelles. Avec de premiers scénarios d'usage autour des développements et des tests ou des PRA (plans de reprise d'activité), où le modèle économique du Cloud fait mouche. « Pour les PRA, nous pouvons déployer un modèle veilleuse où les applications sont dormantes, avec des VM éteintes pour lesquelles on n'a rien à payer. Seules les bases sont répliquées. Lors de la mise en production, en quelques minutes, l'environnement complet est prêt à fonctionner », décrit Stephan Hadinger. Qui parle d'une économie d'au minimum un facteur dix par rapport à une infrastructure dédiée.
Reste évidemment la principale lacune d'AWS aux yeux des DSI français : l'absence de datacenter dans l'Hexagone (pour l'Europe, les infrastructures se trouvent à Dublin). Selon le dernier Cloud Index de Pierre Audoin Consultants (PAC), datant de décembre dernier, 39 % des entreprises françaises demandent que le datacenter de leur fournisseur soit situé dans l'Hexagone. A ce jour, AWS dispose seulement de 3 points en présence en France (2 à Paris et 1 à Marseille) afin d'accélérer l'accès aux contenus statiques de son Cloud (une infrastructure de Content Delivery Network - CDN - baptisée CloudFront, qui place en cache des éléments statiques afin de réduire la latence).
En complément :
Lire notre dossier : Comment garantir la sécurité du Cloud public
Sur le même thème
Voir tous les articles Cloud