Accueil Cybersécurité Déploiement G Suite : Airbus répond aux critiques quant à la sécurité...

Déploiement G Suite : Airbus répond aux critiques quant à la sécurité de ses données

Airbus a démarré le déploiement de la suite bureautique G Suite de Google auprès de ses 130 000 collaborateurs. Un déploiement qui pose de multiples questions quant à la protection des données du champion européen. Airbus est venu répondre lors du Google Cloud Summit 2018, qui s’est déroulé à Paris le 5 juin.

En mars 2018, Airbus annonce son choix de déployer la Google G Suite comme solution de collaboration du groupe. Potentiellement 130 000 personnes vont utiliser le service Cloud Google au quotidien. Une décision qui a fait couler beaucoup d’encre, notamment en termes de protection des données alors que ‘avionneur européen fait face à l’américain Boeing sur tous les grands contrats, et est aussi très présent sur les marchés militaires.

Google a donné des assurances quant à la localisation des données d’Airbus

Airbus a opéré son choix entre Office 365 et Google G Suite, estimant qu’il n’existe pas d’alternatives européennes crédibles face aux plateformes américaines. L’une des critiques majeures portées à la solution Google porte sur la localisation des données, car si Google possède bien des ressources de stockage en Europe, rien n’empêche l’Américain d’héberger des blocs de données de ses clients européens aux Etats-Unis ou dans n’importe lequel de ses datacenters. « Faire ce pas a été un challenge pour nous car nous avons beaucoup de contraintes. Ce qui a été important fut d’avoir un accompagnement et une proactivité dans le choix de la solution de la part de Google » a expliqué Alan Zaccardelle, Program Manager for Security chez Airbus lors d’une conférence sur le Google Cloud Summit de Paris.

Alan Zaccardelle, Airbus
Alan Zaccardelle lors du Google Cloud Summit 2018

« La localisation des données était un point important pour nous et, de par l’architecture et le mode de fonctionnement de Google, la donnée est découpée en de multiples morceaux, chiffrée et éclatée sur l’ensemble des datacenters avant d’être reconstruite. C’était un sujet problématique lorsqu’on souhaite savoir où se trouve physiquement la donnée. Nous avons pu aborder ce point avec Google et nous sommes sereins. Beaucoup de travail a été mené sur ce volet localisation des données et nous savons que Google va fournir une géolocalisation de la donnée. Ce n’est pas encore officiel, mais on sait que cela va arriver. »

Google meilleur que les éditeurs de solutions antivirales et d’antispam

Si, pour beaucoup, confier des données à Google, c’est se prêter au risque de voir ses données lues par les algorithmes de Google, l’expert en sécurité s’est livré à une mise au point : « Beaucoup de gens voit Google comme une entreprise qui vend de la donnée personnelle or il y a le domaine grand public d’un côté et le domaine entreprise de l’autre « . Si Google analyse les contenus des messages et des fichiers des utilisateurs de comptes gratuits, ce n’est pas le cas pour les utilisateurs payants qui ne sont pas ciblés par la publicité. C’est même, selon Alan Zaccardelle, un atout fort de la plateforme Google en termes de sécurité : « L’un des avantages du Cloud, c’est que Google fait déjà beaucoup de choses pour le grand public. A la différence des données des entreprises, Google analyse l’ensemble des données du grand public, fait tourner du Machine Learning sur cette masse d’informations et est ainsi capable de traiter les emails frauduleux, détecter les fichiers de malware, les tentatives d’extorsion de fond, etc. Lorsqu’on souscrit à G Suite, on bénéficie de cela sans que notre donnée soit à disposition de Google. Google s’appuie sur un échantillon d’un milliard d’utilisateurs, une volumétrie bien supérieure à celle d’aucun éditeur de solutions de sécurité du marché, ce qui donne à Google des performances d’antispam bien supérieure. Google est en capacité de détecter des campagnes d’attaques 5 heures avant que les éditeurs puissent fournir les signatures pour leurs outils. » Opter pour une sécurisation des emails et stockages de fichier managée par Google va aussi alléger le travail des équipes internes : « Pour comparer à notre architecture actuelle, nous disposons de solutions antispam, un antivirus pour la messagerie, un antivirus sur les serveurs, un antivirus au niveau des postes de travail, du browsing, une sandbox, autant de solutions qu’il nous faut maintenir et opérer dans la durée. Avec G Suite, nous avons une offre de solutions antispam, antimalware, de l’authentification forte sur les accès. Nous avons su amener des fonctionnalités supplémentaires, notamment sur l’analyse conditionnelle à l’accès et la classification de la donnée. »

G Suite, un moyen de lutter contre le Shadow IT

Si Airbus a demandé et reçu des assurances de la part de Google quant à la sécurité de ses données, ce choix de G Suite a été avant tout business : « Le choix d’une telle solution est dicté par un choix de stratégie d’entreprise, et il faut placer le business et les utilisateurs au centre de ce choix car il est inutile de choisir un outil si les utilisateurs ne s’immergent pas dans la solution. » Pour Alan Zaccardelle, fournir aux utilisateurs une plateforme performante est un moyen de lutter contre le Shadow IT et reprendre la main sur des données qui pouvait sortir du périmètre du SI officiel : « Avec le Shadow IT, les gens vont vers des solutions qui permettent de partager facilement des  données sous forme de fichiers attachés, par exemple. Cela représente un risque majeur pour l’entreprise, car lorsque les processus internes sont trop complexes, les utilisateurs trouvent des moyens plus pratiques en externe. G Suite offre une simplicité et se concentre sur l’expérience utilisateur. » Avec G Suite, la DSI n’aura plus à gérer les problèmes liés aux espaces de stockage pour les utilisateurs puisque le stockage est illimité sur les comptes entreprise G Suite, de même que les utilisateurs bénéficient du versioning des documents créés avec la suite Google. En outre, même lorsque les données sont partagées entre utilisateurs, celles-ci ne circulent pas, et la DSI garde son contrôle sur les contenus.

Des utilisateurs placés sous surveillance

Si Airbus va migrer ses utilisateurs dans le Cloud, leurs activités vont être étroitement surveillées par la DSI. « La conformité joue un rôle important dans le choix de ces outils, car nous sommes soumis à des réglementations légales, notamment le RGPD, mais aussi à des autorités nationales. On ne peut mettre tout et n’importe quoi dans le Cloud sans avoir un contrôle très fin de qui accède et qui partage les données. » Les solutions Vault et eDiscovery de Google vont donner les moyens à la DSI d’Airbus de garder un œil sur le comportement des collaborateurs. « Nous devons notamment veiller à ce qu’il n’y ait pas d’effacement de données en cas de litige. Avant G Suite, nous devions activer ce type de fonctionnalités pour chaque personne individuellement, maintenant nous avons la possibilité d’activer la fonctionnalité par défaut pour l’ensemble de nos utilisateurs. L’important c’est qu’il faut aussi avoir un contrôle sur les administrateurs eux-mêmes car ils savent qui fait quoi, qui supprime des informations. Il nous fallait donc un outil qui nous donne de la visibilité sur le travail de ceux qui utilisent l’outil et Google nous apporte une capacité de monitorer les accès des administrateurs G Suite, des administrateurs Vault, avec une ségrégation des droits de même que l’accès aux logs des ingénieurs Google qui accéderaient à nos données, c’est important. » En outre, Airbus compte muscler l’authentification de ses utilisateurs en distribuant des clés USB à ces utilisateurs, mais Alan Zaccardelle n’a pas révélé l’ampleur de ce déploiement de dispositifs d’authentification forte chez Airbus.

Le rôle du DLP capital dans cette migration vers le Cloud

S’il existe des assurances données par Google, et que des mesures de contrôle prises vis-à-vis des utilisateurs sont prises, Airbus accompagne néanmoins cette migration vers le Cloud d’une stratégie de gestion de la donnée élaborée. « Des données vont rester en interne chez Airbus, notamment toutes les données relatives à la propriété industrielle, pour des données commerciales liées à des intérêts économiques et la partie militaire. » Seules les données jugées non sensibles et qui ne présentent pas un risque majeur seront stockées telles quelles sur Google Drive. Si la donnée est considérée comme confidentielle, alors celle-ci sera préalablement chiffrée à partir des propres infrastructures de gestion de clé d’Airbus avant de rejoindre Google. Ce chiffrement a néanmoins un inconvénient : les utilisateurs perdent les fonctions collaboratives dont ils bénéficient avec les fichiers G Suite natifs.

Enfin, certaines données ne seront pas éligibles au Cloud, qu’il s’agisse de Google ou tout autre service externe. Pour Alan Zaccardelle, instaurer un tel mode de fonctionnement implique une gouvernance forte de la part de la DSI vis-à-vis du stockage des données. « Le problème majeur pour une entreprise telle qu’Airbus, c’est la classification de la donnée. Pour qu’un utilisateur sache s’il peut envoyer la donnée dans le Cloud ou pas, il ne suffit pas de mettre « confidentiel » ou « internal » en bas de la page. Les données doivent pouvoir être classifiées avec un outil dédié et c’est le point-clé : si vous avez une classification interne solide s’appuyant sur une solution de DLP et un bon tagging des données, alors vous vous placez en capacité d’opérer ce « shift » vers le Cloud. »

Airbus s’intéresse aussi au Chromebook

Dernier point abordé par la présentation Google et Airbus lors de la conférence, Chrome OS et les terminaux Google Chromebook. Airbus s’intéresse au terminal Google notamment pour les utilisateurs qui n’ont besoin que du navigateur Internet et de la bureautique Word/Excel/Powerpoint, facilement remplaçable par G Suite Docs, Sheets et Slides. La solution est d’autant plus intéressante qu’Airbus reconstruit un certain nombre de ses applications « legacy » pour le Cloud et que la webification de ses applications internes rend la plateforme Chrome OS de plus en plus pertinente pour les utilisateurs qui n’ont pas besoin d’utiliser une application Windows spécifique. Néanmoins, Airbus doit déjà mener la transition de ses 130 000 salariés vers G Suite, ce qui va demander un gros travail de conduite du changement. Alan Zaccardelle évoque un scénario où le Chromebook pourrait être pertinent, celui des collaborateurs Airbus amenés à se rendre dans des pays qualifiés de sensibles, où ils sont potentiellement sujets à l’inspection de leurs devices à l’aéroport, à la douane. « Une approche sécurité serait d’utiliser un Chrome OS avec un compte utilisateur quelconque présentant une activité crédible pour les douaniers et une fois la douane passée, l’utilisateur va pouvoir faire un « wipe » de son poste et se logguer avec sa propre session afin d’accéder à toutes ses données via un VPN. Il pourra ensuite faire un « wipe » sur l’autre profil au moment de quitter le pays. »

Pour l’heure, Airbus n’en est qu’au début de la migration de ses 130 000 collaborateurs vers G Suite, mais contrairement à ce qu’on pourrait croire, Airbus espère améliorer la cybersécurité de son SI en effectuant cette migration vers le Cloud, migration qui aurait été inimaginable voici encore 5 ans.

 

Auteur : Alain Clapaud