Même si le concept est séduisant, les grandes entreprises, et plus particulièrement les institutions financières, restent circonspectes vis-à-vis du cloud computing et la sécurité des données est la principale raison qu'elles invoquent pour justifier cette frilosité. CipherCloud leur apportera bientôt une réponse, avec une solution adaptable à toutes les plates-formes de cloud.
Le produit de la startup est une appliance virtuelle, à déployer sur un serveur de l'entreprise, qui va transformer à la volée et en toute transparence les informations sensibles émises et reçues depuis l'application hébergée dans les nuages, et ainsi rendre celles-ci inutilisables en dehors des "murs" de l'organisation. Pour prendre un exemple, lorsqu'un utilisateur saisit le nom d'un client dans l'application (via son navigateur web), il est converti par l'appliance en une chaîne de caractères dénuée de sens avant d'être transmis aux serveurs et, inversement, lorsque l'utilisateur accède à ce client (toujours dans son navigateur), la conversion inverse est appliquée pour lui restituer le nom d'origine.
Deux types de transformation sont proposés : soit le chiffrement des données (en utilisant des "clés" qui restent confinées sur les serveurs internes), soit la "tokenisation", qui consiste à gérer des tables de correspondance entre les données "réelles" (qui restent donc à l'intérieur de l'entreprise) et celles qui sont effectivement enregistrées dans l'application. Ce dernier mode, plus lourd à gérer, permet non seulement de protéger les informations sensibles mais également de respecter les réglementations en vigueur dans certains secteurs, qui interdisent leur "export" hors des frontières.
Le principe de la solution de CipherCloud n'est pas aussi simple qu'il y parait car il doit fonctionner sans aucune modification dans les applications, et c'est là que réside toute l'expertise de la société. Par exemple, les fonctions de tri, de recherche ou de sélection disponibles dans la plupart des logiciels doivent être préservées, même sur les données chiffrées ou "tokenisées".
CipherCloud annonce la disponibilité de sa solution pour mars, d'abord pour la plate-forme de CRM (Customer Relationship Management) de SalesForce. Comme le rappelle un article de ComputerWorld, la société n'est pas seule sur ce créneau : Vormetric a ainsi récemment dévoilé un système similaire, pour le cloud d'Amazon, tandis que Voltage Security et Navajo Systems se sont également positionnées. Cette multiplication d'acteurs est la réponse naturelle aux attentes de nombreux clients et les spécialistes du cloud (SalesForce et Amazon en tête) n'hésitent pas à en assurer la promotion auprès de leurs prospects hésitants...
Toutes ces solutions offrent en effet des arguments convaincants pour profiter des avantages du cloud sans avoir à en assumer tous les risques. En revanche, il ne faut pas perdre de vue qu'elles ne sont pas sans défauts. Tout d'abord, elles ont un coût (de 5 à 20 USD par utilisateur pour CipherCloud). Ensuite, elles nécessitent des infrastructures internes, parfois lourdes (notamment dans le cas de la "tokenisation"), qu'il faut donc gérer et administrer. Enfin, elles réduisent la flexibilité, par exemple en interdisant un accès nomade "simple" aux applications.
L'ensemble de ces paramètres doit être pris en compte avant de se lancer. Mais il ne fait nul doute que l'équation restera favorable au cloud dans de nombreux cas...