WikiLeaks jette le trouble sur le ‘cloud computing’

La diffusion massive, par WikiLeaks, d’informations « confidentielles Défense » provenant de la diplomatie américaine continue d’avoir des répercutions inattendues.
En cherchant – et en réussissant en grande partie – à neutraliser les hébergeurs de serveurs, véhiculant ces données « brûlots », l’administration américaine a montré combien il était facile pour les hébergeurs de services de ‘cloud computing‘ de prendre leurs distances et se défaire, en un clin d’oeil, de leurs responsabilités et engagements sur la sécurisation des données.  Cf notre article : ‘Amazon boutte WikiLeaks hors des Etats-Unis‘

Le site WikiLeaks.org ayant été fermé, ses fondateurs continuent de faire héberger les informations sur divers sites, dont au moins un en France (il s’agirait d’OVH, selon la presse américaine) mais également en Allemagne (.de), en Finlande (.fi) et aux Pays-Bas (.nl). Et à noter que le serveur en Suisse (.ch) reroute en réalité vers la Suède…

Cette affaire WikiLeaks soulève à nouveau la question du rôle de l’enregistrement non contrôlé auprès du ministère du Commerce américain, sur une liste appelée ‘Safe Harbor‘.
Une récente mission de contrôle a montré, il y a quelques mois, que sur les 1.597  inscrits sur cet enregistrement Safe Harbor, seuls 348 seraient effectivement légitimes et conformes aux critères exigés.

A Bruxelles, la commissaire européenne Neelie Kroes a annoncé la semaine dernière, que de nouvelles règles allaient être mises en place concernant la protection des données et le « cloud computing ».

Les spécialistes du sujet estiment qu’il faudrait que les Etats-Unis et l’U.E. trouvent un terrain d’entente sur le rôle et la finalité de cet enregistrement comme « Safe Harbor ». Ce qui n’est pas gagné d’avance, vu l’écart d’appréciation qui existe entre l’Amérique et l’Europe sur la notion de « vie privée » (‘privacy’).

En France, outre la réaction du ministre Eric Besson, qui croit possible d’empêcher tout hébergement d’informations diplomatiquement indésirables, certaines instances s’interrogent depuis quelque temps déjà sur le fonctionnement et la sécurisation du ‘cloud computing‘.
Ainsi, l’ANSSI (Agence nationale pour la sécurité des systèmes d’information) vient de publier un guide à ce sujet. Il prévient les administrations et les entreprises sur les risques du ‘cloud computing’ et sur l’externalisation informatique en général.
Ce rapport de synthèse met en garde. Il invite les intéressés à « demeurer prudent », constatant que l’offre actuelle n’apporte pas toujours «  garanties suffisantes en matière de sécurité».
L’instance indépendante recommande d’élaborer avec les prestataires un PAS ou « plan d’assurance sécurité« . Un tel document doit permettre, selon elle, d’établir contractuellement les engagements des hébergeurs s’agissant de la sécurisation des données qui leur sont confiées.