Que l’on évalue les offres Cloud sous l’angle technique, économique ou juridique, immanquablement la notion de confiance revient vite au premier plan. Qu’en pensent les professionnels de la cyber-sécurité ?
Force est de constater qu’il n’y a pas un Cloud mais bien plusieurs. Dès lors, vers quel nuage informatique se tourner pour stocker des données et des services numériques professionnels ? « Nous établissons une première liste d’opérateurs pouvant être désignés comme opérateurs de services essentiels », précise Philippe Loudenot, le Fonctionnaire de Sécurité des Système d’Informations des ministères sociaux. Egalement administrateur du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), il est amené à sensibiliser régulièrement les autorités sur la nécessaire prise en compte rapide de la sécurité numérique, en particulier dans un contexte de mise en application de la directive NIS (« Network and Information Security »), adoptée par le Parlement et le conseil de l’Union Européenne en juillet 2016.
Conformité n’est pas sécurité
Les données de santé des citoyens exigent, à elles seules, plusieurs équipes d’experts : « En matière de santé, tout ce que l’on peut assimiler à un Cloud public fait l’objet de certifications strictes. Ces infrastructures sont encadrées par la CNIL, par le ministère et par l’agence numérique de santé. »
La mise en conformité et les certifications rassurent mais ne suffisent pas, souligne le FSSI : « La conformité ne fait pas la sécurité. C’est une photo à un instant T montrant seulement qu’on a mis en œuvre et paramétré ce que l’on avait écrit. La cyber-sécurité n’est qu’un curseur que l’on positionne. Je reste un fervent défenseur pour que l’analyse de risques soit réalisée par les métiers. Ce sont eux qui portent le risque. Le RSSI est là pour orienter, pour faire communiquer. » A présent, le Cloud et les objets qui y sont connectés s’inscrivent dans un large univers incluant le bureau et la maison ; en effet, le maintien à domicile des patients est favorisé dans les programmes de santé. Par conséquent, les ministères sociaux doivent adapter leur stratégie de cyber-défense : « Les dispositifs biomédicaux sont des objets connectés comme les autres. Malheureusement, ces dispositifs sont vulnérables et offrent des surfaces d’attaques sur certains organismes qu’il convient de prendre en compte. De nombreux objets connectés nécessiteraient d’avoir une meilleure maturité en sécurité, dès leur conception ».
Une autre bataille importante du FSSI consiste à faire communiquer des professionnels qui ne se parlaient pas entre eux tels que les automaticiens, les juristes, les ingénieurs bio-médicaux et ceux qui s’occupent de la gestion technique du bâtiment.
Connaître ses actifs essentiels
Face à la multiplicité des offres de services Cloud, le Clusif fournit un travail d’identification et de cartographie des prestataires. Le club de la sécurité de l’information français peut ainsi évaluer la sécurité des données susceptibles d’y séjourner : « Avant de migrer vers le Cloud, il y a un premier projet à mener qui consiste à bien connaître ses actifs essentiels et à sensibiliser les utilisateurs. Ensuite, les aspects juridiques et contractuels contribuent à préciser l’offre et les modules de sécurité à retenir, des briques de chiffrement ou de contrôle d’accès par exemple », explique Henri Codron, vice-président du Clusif et RSSI de Schindler.
Le Clusif est partenaire de la nouvelle méthode de référence pour le management des risques numériques Ebios Risk Manager annoncé par l’ANSSI aux Assises de la Sécurité. Rapprocher les risques liés à la cybersécurité de la gestion de risques classique, rapprocher RSSI et direction, telle est l’ambition d’EBIOS Risk Manager, aujourd’hui proposée aux entreprises Celle-ci souligne l’importance d’identifier les scénarios de risques afin de mettre en œuvre des solutions de sécurité.
La probabilité et la criticité des risques guident le RSSI dans ses tâches quotidiennes : « Etre 100 % sécurisé dans l’entreprise et dans le Cloud, c’est impossible. Il s’agit de bien voir quels sont les actifs essentiels à protéger et là où il faut mettre des moyens et des mesures de sécurité », conseille-t-il.
Quant au budget à consacrer à la cybersécurité, il reste délicat à mesurer, malgré la maturité croissante des entreprises. « On voit plusieurs départements investir comme l’informatique d’entreprise, l’infrastructure réseau et la direction juridique. Il y a des dépenses en logiciels et des actions de sensibilisation à mener. Si bien qu’il est difficile de calculer le budget global accordé à la cyber-sécurité. Le RSSI doit motiver les autres services à investir dans ce domaine », suggère Henri Codron.
Un Cloud Act qui peut tout changer
Le sujet juridique du Cloud Act est bien identifié par le Clusif. « Tous les avocats membres sont conviés à y réfléchir. Ce n’est pas une révolution, mais plutôt la confirmation de ce qu’il y avait dans d’autres législations Outre-Atlantique, comme le Patriot Act. » Les avocats confirment la nécessité d’être vigilant tandis que Guillaume Poupart, le DG de l’ANSSI préconise une analyse fine du texte.
Le volet géopolitique du Cloud Act fait peu de cas du RGPD. Ainsi, son article 48 permet-il au gouvernement américain d’accéder aux données personnelles de tout citoyen hébergé chez un prestataire Cloud américain, sans avertissement préalable, au motif qu’il ne saurait y avoir d’entrave aux enquêtes cyber-criminelles et/ou anti-terroristes. « Il y a le texte et aussi sa mise en pratique. Nous sommes vigilants par rapport aux deux. Les clauses contractuelles qu’on a pu avoir dans les contrats Cloud demandant un hébergement des données en France ou en Europe ne suffisent plus à protéger les données stratégiques. Tout cela encourage à réfléchir à la notion de Cloud souverain. Il y a eu une telle tentative en France, mais elle n’a pas été une grande réussite. Il s’agit maintenant de réfléchir à un Cloud européen pour protéger les données au niveau de l’Europe », encourage Henri Codron.
Une quantification financière du cyber-risque
Le réseau Internet n’ayant pas de frontières, la coopération des forces de l’ordre internationales s’impose naturellement, lors d’enquêtes sur les attaques menées en ligne.
« Le Cloud Act fait réfléchir un peu partout. Il a des contours encore assez flous et des principes qui peuvent être bons. On est dans la coopération judiciaire et l’accès aux preuves. Cela peut servir positivement à résoudre des attaques cyber-criminelles qui ont pu avoir lieu en France et en Europe. Il faut toujours avoir une approche raisonnée lorsqu’on va dans le Cloud. La technologie a des apports énormes. Maintenant, il faut voir quelles données on y met, quel est le niveau de risque sur ses données ; se demander si on craint des services de renseignement étranger ou des gouvernements étrangers dans le développement de notre business. C’est en répondant à ces questions qu’on sait ce qu’on peut mettre ou pas dans le Cloud », avise Gérôme Billois, associé cybersécurité et confiance numérique de Wavestone, cabinet de conseil en management qui compte 600 experts sécurité sur un effectif total de 2800 personnes réparties dans le monde.
Face à l’ubiquité numérique, Gérôme Billois invite les entreprises à protéger leurs données plutôt qu’un périmètre réseau désormais diffus : « Il faut savoir où sont ses données, et arriver à avoir un niveau de sécurité cohérent sur l’ensemble du cycle de vie de la donnée » conseille-t-il.
« Des méthodes fondées sur les référentiels internationaux comme le NIS et l’ISO permettent d’évaluer et d’améliorer son niveau de sécurité. »
Gérôme Billois
Les managers aimeraient bien mesurer la réduction des risques et prouver que leurs équipes les gèrent de façon effective et chiffrée. Ils peuvent s’appuyer désormais sur plusieurs approches. « Des méthodes fondées sur les référentiels internationaux comme le NIS et l’ISO permettent d’évaluer et d’améliorer son niveau de sécurité. Il existe aussi de nouvelles méthodes innovantes fondées sur la quantification financière des risques cyber. Christine Lagarde a présenté la méthode utilisée au FMI qu’elle dirige. Et la startup française Citalid propose la méthode Fair qui permet au RSSI de calculer l’impact financier du risque et d’évaluer le gain que va permettre la mise en place de mesures de sécurité. On entre dans le champ financier et c’est finalement ce qui intéresse les directions générales », conclut Gérôme Billois.
Combiner l’IA et la formation des utilisateurs
L’IA a transformé la détection de codes malveillants tout en étendant la couverture fonctionnelle des logiciels anti-malwares. Ferait-elle déjà progresser les systèmes d’informations des ministères sociaux ?
« Il existe de nombreuses expérimentations dans le monde de la santé, de belles expériences sur l’IA au ministère du Travail, et aussi dans le domaine de la cyber-sécurité. Mais j’aimerais bien que l’ensemble des citoyens soit formé aux risques numériques afin que chaque individu devienne le maillon fort de la chaîne de sécurité. Il faut faire comprendre à l’ensemble des usagers qu’on ne connecte pas impunément n’importe quoi sur un réseau opérationnel », recommande Philippe Loudenot, le Fonctionnaire de Sécurité des Système d’Informations des ministères sociaux et administrateur du CESIN.
