Retour aux actualités
Article suivant Article précédent

Revue 174 - De la cybersécurité au Cloud de Confiance

Articles Revue TELECOM

-

15/10/2014


De la cybersécurité

au Cloud de Confiance

 

Comment développer votre activité en

confiance grâce au Cloud ?

 

Par Thierry Flajoliet (1984) dans la revue TELECOM n° 174
 

Comment profiter du Cloud sans augmenter ses risques ? Comment superviser de bout en bout la sécurité des SI de l’entreprise virtualisée ? En tant que dirigeant, pour la sécurité de son organisation comme pour sa propre protection juridique, il est devenu vital de prendre en compte les risques que font peser les services Cloud mal maîtrisés, et la responsabilité qui découle de l’arsenal très évolutif des réglementations sur les données personnelles et d’entreprise.
 

Avec la révolution numérique de l’échange, les entreprises veulent faire levier sur le digital pour se développer, développer les ventes, améliorer leur efficacité opérationnelle, motiver les équipes avec des outils modernes et connectés 24X7.

Ce levier dépend de la confiance qu’elles ont dans le numérique, avec leur approche systématique de la gestion de la Gouvernance, du Risque, de la conformité (GRC). De ce fait, les organisations veulent aussi se protéger du cyberrisque qui explose. En effet, le cybercrime prélève chaque année directement ou indirectement sur l’économie mondiale entre 300 et 1000 milliards de dollars, précisément 445 d’après le Center for Strategic and International Studies (CSIS) (1). D’après le World Economic Forum (Davos, janvier 2014) (2), les tendances sont alarmantes : en l’absence de plan d’action cyber spécifique, la croissance par le numérique d’ici 2020, estimée entre 9600 et 21600 milliards de dollars, pourrait bien être amputée de 3000 milliards de dollars. D’où l’importance croissante de la cybersécurité, avec son volet de lutte contre la cybercriminalité et son volet cyberdéfense.

Dans cet environnement ouvert, à nous de faire comprendre que la cybersécurité facilite et accélère en réalité le développement économique, alors qu’elle est encore souvent vue comme une contrainte, un coût superflu… En même temps, les entreprises doiventmaintenant relever le défi de la sécurité de bout en bout, serveurs, stockage, réseaux, end-points qu’ils soient en dur ou virtualisés, internes ou chez des prestataires cloud - Cloud Service Providers, ou CSP-. Et comment faire pour tirer tous les bénéfices de ceCloud ? Les nouveaux risques sont-ils bien compris ? Mesurés ? Anticipés ? C’est à ce prix que le Cloud donnera toute la mesure de son potentiel transformationnel, et sera massivement adopté dans de nouveaux secteurs comme la finance.

Il ressort des études et des échanges que j’ai pu avoir dans le cadre d’associations d’usagers, DSI, RSSI (CLUSIF, CESIN, CIGREF…) que le Cloud semble intensifier 10 risques principaux qui sont au moins autant organisationnels, juridiques, humains, que techniques, chaque domaine pouvant faire l’objet d’un livre blanc complet ! La première moitié réunit des risques plutôt techniques, et la deuxième des risques plutôt organisationnels, humains, juridiques.















 

DICT : Disponibilité, Intégrité, Confidentialité, Traçabilité


Au-delà du contrôle de la localisation des données, un sujet en lui-même déjà complexe, il y a toute une série d’obligations qui incombent de ce fait au client : par exemple, il doit être en mesure de faire de nombreuses déclarations à ses propres clients, parties prenantes, autorités de sécurité dont il peut dépendre, concernant des compromissions de données personnelles ou d’entreprise, ou encore des attaques sur certains SI critiques pour les OIV (Organismes d’Intérêt Vital pour la nation).

La question du décideur : « Quel est mon risque légal si mon CSP est attaqué ou fait des bêtises avec les données personnelles ou d’entreprise ? Comment être conforme à toutes les règles qui touchent à la lutte contre la cybercriminalité, à la cyberdéfense française et européenne, et à la protection des données personnelles ? ». D’autant qu’à l’avenir, les clients et leurs dirigeants vont encourir des peines nettement plus importantes en cas de manquement. Tout doit être prévu dans les contrats qui les lient aux CSP.
 

Avec le Cloud, les dégats causés par des attaques ou des déficiences internes peuvent être multipliés par plusieurs ordres de grandeur

Focus Europe

Les multiples scandales liés à l’espionnage numérique de masse révélé par E. Snowden et aux pratiques jugées intrusives de grandes firmes (notamment les « GAFA » : Google, Amazon, Facebook et Apple, mais pas seulement !) ont alerté la société civile et les pouvoirs publics sur le caractère dépassé des réglementations en vigueur en Europe. Les travaux sur un nouveau règlement européen sur les données personnelles avaient démarré en 2011, et les projets de textes ont été adoptés en première lecture par le parlement en mars 2014. Ils font encore l’objet d’un lobbying violent de la part de grands groupes américains pour amoindrir les obligations, et de pas mal d’européens pour au contraire les augmenter, aller plus loin dans le droit à l’oubli, le contrôle des règles du Safe Harbor ou l’encadrement des Corporate Binding Rules.

Aujourd’hui, le projet de règlement, qui pourrait être adopté au final au 1er semestre 2015, est ambitieux : renforcer les amendes en cas de violation (cent millions d ’euros, ou 5% du CA mondial), imposer que la communication d’informations par des entreprises à un Etat tiers soit soumise à une autorisation préalable d’une autorité nationale de protection des données dans l’UE, instaurer un droit à l’effacement des données (« opt-out »), nommer un délégué à la protection des données dans les grandes entreprises, organiser l’exécution par une autorité de contrôle européenne de la protection des données, définir l’autorité de protection dans l’Etat membre comme interlocuteur à l’échelle européenne (« guichet unique »). C’est déjà beaucoup !

L’autre directive significative, la NIS (Network & Information Security) ou Directive SRI (Sécurité des Réseaux et de l’Information), a été adoptée définitivement par le parlement en mars 2014. Les pays attendent les décrets d’application avant de la décliner dans les droits nationaux. Elle reprend et étend certains aspects de la LPM (Loi de Programmation Militaire) adoptée en France dès décembre 2013, et fixe notamment des obligations à certains OIV à caractère européen - qui opèrent dans les domaines de souveraineté : télécoms, IT, santé, alimentation, eau, énergie, transport, industrie, activités civiles des états…- et des droits supplémentaires aux autorités nationales de sécurité, tout en en promouvant la coordination européenne de leurs actions.

En France, un COmité de FIlière Sécurité (COFIS) a également été créé par le Premier Ministre, pour dynamiser les initiatives de l’aérien, du naval, du terrestre et en général des industriels de la sécurité, au sein du CICS. Le Plan Nouvelle France Industrielle (NFI)vise lui à développer la filière sécurité Française au sens large, incluant l’industrie de la cybersécurité.

Ainsi, dans le plan CLOUD No 24 de la NFI, trois propositions sur 11 relèvent de la cybersécurité : Label « Secure Cloud », espace de confiance européen, accélération de la transformation numérique des entreprises. De son côté, le plan CYBERSECURITE No 33 met en place 16 actions regroupées en quatre thèmes : accroitre significativement la demande en solutions de confiance, notamment avec un Label France, développer pour les besoins de la France des offres de confiance, organiser la conquête des marchés à l’étranger, et renforcer les entreprises nationales du domaine de la cybersécurité, par exemple par la création d’un fonds d’investissement privé.

Dans les deux cas, l’un des objectifs est, par la sécurité, d’augmenter le niveau de CONFIANCE, et donc les bénéfices du numérique sur l’activité économique : « En tant que décideur, je peux y aller, pousser le numérique, investir, c’est bon pour l’activité, l’efficacité opérationnelle, les collaborateurs, et je n’augmente pas mes risques business ou juridiques. Mon entreprise est à la pointe de la cybersécurité, et j’ai mis en place tout ce qu’il faut pour aller massivement vers le cloud... ». Mais est-ce bien le cas ? Pas toujours aujourd’hui ! D’où l’idée de ces labels qui revient au galop.

Quelles Certifications pour la Confiance Numérique ? ?

Il en existe aujourd’hui beaucoup, mais aucune n’est alignée sur les objectifs de la France et de l’Europe, notamment en termes de respect des réglementations et de souveraineté. Pour prendre l’exemple du Cloud, il y a bien des certifications pour les CSP : ISO 27001 peu spécifique sur ces sujets, Cloud Security Alliance CSA (USA), AICPA (USA), Tüv Rheinland (Allemagne) ou Eurocloud, mais aucune ne prend en compte de façon systématique l’Espace Economique Européen (EEE) de 31 pays et 508 millions d’âmes,la première puissance économique mondiale, ou encore les directives et règlements les plus récents mentionnés plus haut.

Processus pour les CSP en Europe

Par exemple, il faudra s’assurer que les processus sont en place pour pouvoir informer chaque victime en cas de perte de ses données par le CSP, ou encore pour communiquer rapidement les cyberattaques du CSP à l’autorité compétente quand elle touche un SI d’intérêt vital. Les données gérées par le CSP devraient aussi rester cantonnées dans l’EEE, incluant back-ups, archivage, données temporaires. Si un Etat de l’EEE caractérise des sous-ensembles de données CD/ SD qui doivent rester sur le territoire national, cela devra être contrôlable. Il faudra aussi prendre en compte le contrôle des fournisseurs de rang supérieur à un dans la chaine de service cloud, et donner dans tous les cas la préférence à des fournisseurs européens et français, labellisés ou certifiés de confiance, quand ils existent.

Supervision de bout en bout de la Sécurité des SI & SI industriels par les SIEM et les SOC

Il faudra également maintenir une supervision étendue de la sécurité du monde physique et virtualisé, que ces VM soient chez le CSP ou dans l’entreprise, en IaaS, PaaS, SaaS, ou DaaS. Ainsi, la nouvelle génération de Security Operations Centers (SOCs) devra mettre en œuvre la supervision de bout en bout, incluant le CSP. Les SIEM souverains de nouvelle génération comme PRELUDE de CS Communication & Systèmes et les autres outils des SOC auront la visibilité et les logs de toutes les fonctions virtualisées, et on saura ainsi par exemple en temps réel si une VM critique a été attaquée, alors qu’elle vient d’être montée en quelques secondes pour une application critique ERP, BI, CRM ou autre, on verra si notre espace privé et sécurisé chez notre CSP a été pénétré et nos données d’entreprise volées par la porte de notre voisin de palier Cloud, ou si nos données sont en train de sortir de France ou de l’EEE, mettant en cause directement la responsabilité de l’Entreprise et de ses dirigeants …
 

Conclusion : aller plus vite et plus fort dans la certification européenne des Clouds de Confiance et Services Numériques

Nous sommes à la croisée des chemins, et les opportunités sont immenses, sur cette vague d’innovation qui a démarré il y a 20 ans, avec le Cloud comme l’un des derniers avatars. Cette 3ème révolution industrielle métamorphose tout : civilisation, cultures, société, entreprises, familles, valeurs, vies personnelles. Elle a besoin d’un surcroit de confiance pour donner le meilleur d’elle-même. Pour l’Europe, certifions nos prestataires de Cloud pour qu’ils nous donnent des garanties sur la localisation des données dans l’EEE, le respect des lois et règlements européens sur les données personnelles et d’entreprise, et l’usage de l’état de l’art des technologies/ processus/ moyens humains pour mettre en œuvre les plus hauts niveaux de Sécurité des SI et des SI industriels. C’est grâce à ces CLOUDS DE CONFIANCE que l’Europe gagnera la bataille du numérique.
 

(1) Center for Strategic and International Studies (CSIS) et McAfee, juin 2014, http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf 
(2) Rapport “Risk and Responsibility in a Hyperconnected World”, 20 janvier 2014, World Economic Forum en collaboration avec McKinsey & Company, 
http://www.weforum.org/news/increased-cyber-security-can-save-global-economy-trillions



L’auteur


Thierry Flajoliet (1984), est Directeur Cybersécurité de CS Communication & Systèmes, un intégrateur de systèmes critiques pour la Défense et le civil, spécialisé dans les Services de Confiance et la Supervision (SOC, SIEM…), avec une vision européenne et française de la souveraineté. Il était auparavant directeur de l’innovation et membre du comité exécutif du Groupe LaSer, une banque filiale de BNP Paribas et des Galeries Lafayette, intégrateur/ opérateur de SI critiques et éditeur de solutions pour la Finance et le Retail, notamment en charge de la création des nouveaux business de croissance. Il a également été Directeur Commercial, Marketing & Relation Clients du Groupe Wolters Kluwer, spécialisé dans l’informationprofessionnelle à forte valeur ajoutée, DG de startups dans la SSI, P-DG de l’éditeur de logiciel franco-américain Atempo - spécialiste de la sécurité des données pour les data centers -, General Partner Private Equity chez KBC à Bruxelles, DG du Groupe Monétique et Transactions Sécurisées de Dassault Electronique devenue Thales, et VP en charge des Produits Numériques & Nouveaux Services chez Thomson multimedia devenue Technicolor. Il est diplômé de l’Ecole Polytechnique (1979) et de Télécom ParisTech, et titulaire d’un MBA de l’INSEAD (1989).

 

 



 

424 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Comment la France peut réussir dans le quantique # 197

photo de profil d'un membre

Rédaction Revue TELECOM

28 juillet

Articles Revue TELECOM

ORDINATEUR QUANTIQUE ET CRYPTOGRAPHIE POST-QUANTIQUE #197

photo de profil d'un membre

Rédaction Revue TELECOM

13 juillet

Articles Revue TELECOM

Editorial l'informatique quantique # 197

photo de profil d'un membre

Rédaction Revue TELECOM

13 juillet