Accueil Cybersécurité Tribune – Le Cloud, maillon fort de la cyber-sécurité ?

Tribune – Le Cloud, maillon fort de la cyber-sécurité ?

Jean-Paul Alibert
Jean-Paul Alibert, président de T-Systems

Pourquoi la cyber-sécurité passe-t-elle aussi par le Cloud ? Jean-Paul Alibert, président de T-Systems France, spécialiste dans la gestion des systèmes Cloud complexes, a bien voulu réfléchir à la question pour les lecteurs de Solutions Numériques. Une riche tribune.

Petya, Wannacry, et maintenant DoubleLocker, Meltdown et Spectre. Les actualités récentes en matière de risques et cybercriminalité contribuent largement à mettre en lumière la fragilité de nos SI. Elles conduisent surtout à identifier les failles inhérentes à nos réseaux d’informations devenus interconnectés et font entrevoir les parades de demain.

Des voix s’élèvent pour fustiger l’insécurité des systèmes ouverts et désigner des responsables : l’accumulation de données non-sécurisées qui transitent dans le monde sur des canaux non protégés, ou encore la frilosité des économies et de leurs acteurs, entreprises comme institutions, qui ont tardé à trouver des solutions durables de stockage et de transfert de données.

L’heure des premiers diagnostics : l’orientation Cloud comme moteur de la cyber-sécurité

Pendant que les Etats mènent l’enquête et cherchent les responsables, les entreprises n’ont d’autres choix que de faire leur propre « introspection ». Pour celles qui sont touchées commencent l’évaluation des dégâts. L’heure est au vrai diagnostic technologique pour mieux se protéger. Pour les autres, la satisfaction d’avoir su anticiper mais, pour elles aussi, subsiste toujours un doute : « Quelle est la faille qu’on n’aurait pas vue ? » ou pire « Qui est déjà rentré dans notre SI à notre insu ? ».

S’il est un enseignement à tirer des cyber-attaques récentes, c’est bien que le Cloud propose des performances intéressantes en matière de sécurisation des données. Comment ne pas faire de lien direct entre l’adoption croissante du Cloud et les garanties qu’offre cette technologie de se protéger des risques d’intrusion et de piratage de données ? La question n’est plus pourquoi le Cloud mais plutôt pourquoi la cyber-sécurité passe aussi par le Cloud ?

L’objectif d’une entreprise, et plus globalement l’enjeu pour une société qui entend se prémunir contre les risques de cyber-criminalité est double : d’abord élaborer une vraie stratégie d’anticipation des risques, ensuite associer de vrais partenaires spécialistes à une DSI concentrée sur son cœur de métier. Cela en vue de savoir analyser les besoins réels de protection et sélectionner les technologies capables d’éliminer les failles liées au poste utilisateur final et à l’IoT bas de gamme non normé.

Vers une convergence des stratégies Cloud et des stratégies de sécurisation

La bascule vers le mode « as a Service » a tardé en France, mais ce marché est désormais en pleine expansion selon IDC*. Or cet engouement s’explique aussi par la capacité des fournisseurs à garantir une sécurisation optimale des infrastructures et des données stockées ou en transit en mode Cloud et ce, avec des moyens humains dont les entreprises ne peuvent pas disposer. Ces experts proposent des technologies éprouvées et capables de résister aux cyber-attaques, en particulier sur des réseaux et architectures Cloud particulièrement complexes.

Cette montée en confiance des entreprises est aussi liée à un recentrage des métiers des DSI et RSSI sur leur vraie valeur ajoutée : assurer la cohérence d’un écosystème et le dialogue entre les fonctions internes à l’entreprise. Exit donc le temps dévolu à l’intégration technologique ou encore à la construction d’un Cloud. L’intérêt de l’entreprise est de pouvoir confier ces missions à des spécialistes experts et de permettre aux différents services internes de se concentrer sur leur vrai cœur de métier.

SecNumCloud : vers une norme européenne pour sécuriser le poste final

Grâce à un meilleur encadrement législatif, les stratégies de cyber-sécurité, y compris Cloud, doivent permettre de pallier les défaillances des entreprises.

Il devient impératif que l’ANSSI** définisse, avec les autres agences européennes comme le BSI Allemand, une certification des Clouds qui soit adaptée aux besoins des entreprises lambda. Elle ne sera utile que si le marché est capable d’en implémenter les contraintes et d’en payer le surcoût.

Les objets connectés doivent eux aussi faire l’objet d’une norme européenne visant à garantir qu’ils ne comportent pas de « cyber-risque ». Selon le principe « pollueur/payeur », elle pourrait par exemple rendre obligatoire la création d’un mot de passe unique et des patches de sécurité automatiques pour tous les objets connectés commercialisés.

Si le Cloud inspire plus confiance qu’à ses débuts, c’est parce que les fournisseurs prouvent tous les jours que leurs systèmes sont fiables, davantage en tout cas que ceux des entreprises.

Allié aux bonnes solutions de sécurité, le Cloud présente les meilleures garanties pour un réseau et des infrastructures ouvertes et protégées.

 

* étude « Le Cloud en France » – octobre 2017.

**Agence Nationale de la Sécurité des Systèmes d’Informations, mission jusqu’ici centrée sur les entreprises soumises à la loi de programmation militaire – soit 20% des acteurs.