Petit guide des pratiques pour bien protéger ses documents dans le cloud

Atlantico : Pour les Caisses d’Epargne, le futur se trouve dans un coffre... numérique dont elles annoncent lancer en système à collecte automatique de données en septembre 2013. Comment cela fonctionne-t-il et en quoi est-ce novateur par rapport aux services de cloud computing déjà existants ?

Guillaume Plouin : La collecte automatique existe déjà chez certains comme Digiposte, le service de coffre de La Poste. Son principe est le suivant : vous autorisez le coffre-fort à « entrer » en votre nom chez votre banquier ou votre opérateur téléphonique pour collecter vos relevés en version numérique. Le coffre interroge régulièrement le système pour aller collecter les factures en format pdf et les stocker par catégories (énergie, banque, téléphonie…) dans un endroit unique.

Un autre service assez innovant  mérite d’être mentionné : MoneyDoc. Ce dernier collecte les factures, en lit le contenu pour ensuite établir une courbe des diverses dépenses. En plus de la collecte, on en retire également de la valeur.

Le changement réside plutôt dans le fait que les banques s’emparent du système, ce qui est générateur de confiance. A l’inverse, les gens peuvent être réticents à confier des données confidentielles à une startup, ce qu’est MoneyDoc. La Poste ou les Caisses d’Epargne, dans l’inconscient collectif, sont des acteurs qui rassurent, même s’ils ne sont pas les plus innovants en la matière. De plus, le fait qu’ils proposent un espace de stockage de documents ressemble fort à ce qu’ils font depuis plusieurs siècles.

Il est également intéressant de noter que de nouveaux outils apparaissent, permettant d’autoriser la collecte automatique, sans avoir à donner de mot de passe. C’est la technologie « Oauth », qui malheureusement est encore peu intégrée dans les systèmes français. On pourrait comparer cela à une procuration, donnant droit au prestataire d’accéder uniquement à ses relevés bancaires, par exemple.

La logique étant la même que pour un coffre-fort physique, peut-on se permettre de stocker ses données dans cet unique endroit ? Un dysfonctionnement ou un piratage pourrait-il entraîner leur disparition définitive ?

C’est une des problématiques du cloud en général. Ma recommandation serait d’utiliser deux services cloud qui collectent automatiquement les données. Si l’un des deux connaît un problème, on a toujours une deuxième copie. De plus, l’automatisme est un avantage, puisqu’on oublie facilement de collecter manuellement les différents relevés.

Lorsqu’on supprime un fichier sur le cloud, celui-ci disparaît-il totalement, ou bien en reste-il des traces ?

Cela est variable selon les fournisseurs. Lorsqu’on efface un fichier, la suppression réelle peut prendre plusieurs semaines, car les jeux de sauvegarde sont multiples. Certains acteurs grand public ont des politiques particulières : chez Facebook, le fait de désactiver son compte ne permet pas de supprimer les données. Il faut regarder de manière attentive les conditions générales d’utilisation de chaque prestataire.

Quelles sont vos recommandations pour bien choisir son prestataire parmi ceux qui existent actuellement ? Vaut-il mieux avoir recours à un service payant ou certaines versions gratuites sont-elles tout aussi sécurisées ?

Chez ces prestataires, il faut surtout un système d’authentification renforcé lorsqu’on accède à ses documents. Certains acteurs transmettent un mot de passe par SMS pour vérifier que vous êtes bien la personne qui tente d’accéder. Les « grands » américains proposent cela : Google, Facebook, Twitter… Ce n’est pas encore le cas de La Poste. Le critère de choix central reste le système de « procuration » que j’évoquais précédemment.

Certains services sont gratuits, d’autres sont payants à partir d’un certain nombre de données. Il en existe encore d’autres qui sont liés à notre propre banque, compris ou non dans les services que celle-ci propose. Généralement, un espace de stockage limité est proposé gratuitement. D’autres, comme MoneyDoc, lancent un service gratuit dans un premier temps, pour ensuite le rendre payant.

Pour un meilleur contrôle du devenir de ses données personnelles, faut-il privilégier un fournisseur de service français ? Le cloud connaît-il des frontières ou est-il accessible partout, que ce soit par nous ou par des intrus ?

Des startups françaises hébergent leurs services chez des fournisseurs comme Amazon. Donc même si vous vous adressez à une entreprise française, en arrière-plan, vous avez recours aux services techniques d’un fournisseur américain. Ce n’est pas le genre d’information qu’on obtient facilement. Les acteurs du cloud américains ont un plus haut niveau de maturité, les données sont mieux sécurisées sur le plan technique. En revanche, ils sont soumis à a législation PRISM, dont on parle beaucoup en ce moment. Mais ces problèmes d’espionnage concernant très probablement tous les clouds du monde, il ne s’agit pas d’un critère différenciant.

En tant que particuliers nous n’avons pas grand-chose à cacher. Compte tenu de l’utilité de ces services, on peut raisonnablement accepter le risque que le contenu soit lu par la DGSE ou la NSA. De toute façon, les garanties de confidentialité n’existent pas, on voit bien que Barack Obama n’a nullement l’intention d’arrêter d’espionner les citoyens au moyen de ces services.

Pour mettre toutes les chances de son côté, a-t-on intérêt à conserver ces informations également sur son propre disque dur ?

La meilleure sécurité reste d’utiliser simultanément deux clouds différents. A domicile ou sur son ordinateur, la sécurité est très mauvaise, on n'est jamais à l'abri d'un incendies ou d'un vol.

Propos recueillis par Gilles Boutin