Lors de la 1ère Cloud Week Paris, une conférence sur le thème de la « confiance » a été organisée à l’initiative de l’association Cloud Confidence.
Cybercriminalité, fraude, espionnage massif et enfin sabotage : les dangers liés aux transformations numériques en cours sont tout aussi importants que les espoirs placés dans les nouvelles technologies. Nicolas Grégoire, PDG d’Agarri, spécialiste de la sécurité informatique offensive, tente de compromettre ses clients pour améliorer leurs systèmes de sécurité. Lors de la conférence, il a pu expliquer pourquoi « le cloud computing constitue un cocktail détonnant, en associant l’interactivité externe, c’est à dire la communication avec des systèmes tiers et l’auto-configuration ou l’élasticité automatique, à la base de toute solution cloud. Des personnes malintentionnées peuvent alors avoir un accès facile aux méta-données ». Les preuves visuelles de ces intrusions dans les systèmes de grandes entreprises numériques ont certainement provoqué autant de sourires que de sueurs froides dans l’assistance. « Il faut avoir une approche à la fois unitaire, pour chaque solution, et globale, pour prendre en compte les failles dans les interactions avec les autres solutions », a préconisé Nicolas Grégoire.
Cloud Confidence est une association qui regroupe 30 membres utilisateurs, prestataires et juristes, dont la mission est de « promouvoir la confiance dans le monde encore opaque du cloud computing ». Pour Olivier Darrason, son président, « la démarche de cloud confidence s’appuie sur la création d’une norme de confiance, avec un processus de certification assuré par un tiers extérieur à l’association. La sécurité est autant une question technique que juridique ».
L’ANSII(Agence Nationale de la Sécurité des Systèmes d’Information), pousse également à la création d’un label « secure cloud », avec une gradation dans les niveaux de sécurité et donc de certification. Pour son directeur général, Guillaume Poupard, « le cloud est une réalité. Il ne s’agit pas de revenir à l’âge de pierre, mais quand on est trop pressé de se débarrasser d’une informatique qui coûte si cher, on peut prendre de très mauvaises décisions ». Comment les entreprises peuvent-elles s’assurer que le prestataire est de confiance ? « Ce peut être le rôle de l’État de fixer les règles et d’aider à identifier ceux qui les suivent, à travers l’ANSSI, qui prend déjà en charge la certification des PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’information)», a estimé Guillaume Poupard.
Pour Stanislas de Rémur, PDG d’Oodrive, « il y a peu de règles et de certifications réellement appliquées à notre métier. Les futures certifications doivent nous aider à passer moins de temps à rassurer les clients ». Normes ISO générales, cloud confidence, secure cloud 1 et 2 de l’ANSSI, tests de contrôle et d’intrusion… Jean-Paul Alibert, président de T-systems France, filiale de Deutsche Telekom, a regretté cette dispersion : « les DSI se questionnent beaucoup sur le choix de la norme pour rassurer les utilisateurs. Il est indispensable aujourd’hui de créer de la transversalité autour de ces normes ».
Le bon niveau de régulation : l’Europe
Guillaume Poupard, de l’ANSSI, a mis en garde contre les stratégies souveraines et protectionnistes. Comme beaucoup d’intervenants, il estime que « la bonne taille de la souveraineté, c’est l’Europe. Nous travaillons avec nos homologues allemands pour créer une première zone de confiance en Europe avec, dans un deuxième temps, une ouverture aux pays européens partageant la même volonté ». Répondant à une question sur le caractère tardif et lent de la réaction européenne, Guillaume Poupard a estimé que « la bataille n’est pas perdue : la confiance est préalable à la création d’un écosystème d’envergure et compétitif. La bascule n’est pas encore massive dans le cloud. Il y a encore des utilisateurs hésitants. Dans 5 ans, ce sera peut-être déjà trop tard, si les choses ne bougent pas d’ici là ».
Eric Léandri, directeur général de Qwant, « qui consacre 15 % de ses effectifs et 25 % de son financement à la sécurisation de son offre », a lui souligné l’importance de la transparence pour le développement de l’activité : « le eCommerce s’est par exemple beaucoup développé ces dernières années grâce à la confiance qui s’est installée au niveau des moyens de paiement et aux possibilités de renvoyer les produits achetés ». Mais il a déclaré regretter que beaucoup de lobbyistes, notamment de son concurrent Google, s’activent à Bruxelles pour freiner la régulation du marché numérique européen, condition sine qua non à son essor.