Organisations criminelles, espionnage étatique, menaces internes : la sécurité, dans le cloud comme ailleurs, est un enjeu crucial et concerne toutes les entreprises, quelle que soit leur taille.
Grégory Haïk, président de Trustelem, animateur de cette table-ronde consacrée à la sécurité dans le cloud organisée dans le cadre des États généraux du cloud et de la Cloud Week Paris, a tout d’abord insisté sur le fait qu’à l’heure où toutes les clients sont reliés informatiquement à leurs fournisseurs, les solutions cloud à leurs utilisateurs mais aussi les organisations criminelles à leurs cibles, toute entreprise est en devoir de se poser les questions suivantes : « Qu’est-ce que j’ai à protéger et contre qui ? Qu’est ce que je peux confier, à qui et avec quel risque ? ».
La cybercriminalité et les campagnes d’extorsion de fonds, également appelée ransomwares, constituent bien sûr une menace importante. Leur principe est simple : s’arranger pour récupérer un accès aux bases de données d’une entreprise ou d’une organisation, crypter les données, demander une rançon en échange de la clé de décryptage et une fois l’argent reçu… ne pas s’exécuter pour faire monter les enchères. Selon Stéphane Remburre, directeur technique réseaux et sécurité, Arrow ECS, « l’intérêt des pirates dépend de la surface d’attaque. Si un produit ou une solution est plus utilisée, c’est plus tentant et rentable de s’en prendre à ses utilisateurs. Il y a un vrai modèle économique derrière le ransomeware ». Nicolas Arpagian, directeur stratégie & affaires publiques, Orange Cyberdefense, a également souligné « l’existence de places de marché où on peut vendre ou échanger des informations volées à des entreprises ». L’espionnage industriel n’est ainsi pas forcément réalisé qu’entre acteurs du même secteur. L’affaire Snowden ou le scandale des renseignements allemands espionnant le gouvernement français ont également démontré la grande variété de la menace.
Par ailleurs, pour Nicolas Arpagian, « même les petites entreprise doivent faire le choix stratégique d’investir sur la sécurité car elles pourraient être le maillon faible dans le cadre d’un écosystème et perdre ainsi l’accès au marché ». Le piratage du système de gestion des paiements par carte de la chaîne américaine de supermarchés Target, fin 2013, a ainsi été réalisé par le détournement des identifiants accordés à un sous-traitant en charge de la climatisation. Cet exemple illustre la multiplication des points d’attaque dans un contexte global de développement des API et des points de contact avec d’autres solutions. Coralie Heritier, directrice générale d’IDnomic, a ainsi expliqué qu’en réponse à ces dangers, « la gestion de l’identité ne doit plus se faire uniquement dans l’entreprise mais vis-à-vis de l’écosystème en entier. Il y par ailleurs une démocratisation de la gestion de l’identité numérique au sein des TPE / PME ».
Nicolas Arpagian a également évoqué « des menaces internes aux organisations : un salarié peut essayer de divulguer des informations vers l’extérieur dans un but de vengeance ou de fraude ». L’exemple des 112 000 fiches d’adhérents à la Mutuelle générale de la police, envoyées sur un service de stockage de Google par un employé de l’assureur en conflit avec son employeur, l’a récemment illustré. En dernier lieu, Coralie Héritier a souligné « les nouveaux risques à venir autour des objets connectés, quand certains usages, par exemple dans le domaine de la santé ou de la conduite automatique, seront critiques. Les constructeurs automobiles ont par exemple justement anticipé la menace et défini en amont des normes de communication pour les STI, systèmes d’information du véhicule ».
Malheureusement, face à ces différentes menaces, « les experts de la cyber-sécurité en entreprise ont le sentiment d’être des commentateurs a posteriori et de n’être pas entendus en amont des choix technologiques », a regretté Nicolas Arpagian. « Par ailleurs, la sécurité ne peut se résumer à une question de coûts : c’est un d’arbitrage entre les services qu’on recherche et les risques juridiques qu’on peut prendre ». La bonne approche, selon Coralie Heritier, est « de faire un état des lieux de ce que vous sécurisez aujourd’hui avant d’envisager une externalisation vers le cloud. C’est l’une des 10 recommandations du CESIN, club des experts de la sécurité de l’information et du numérique, qui considère à juste titre que c’est le bon moment pour se poser des questions : est-ce que je sécurise déjà bien ? Qu’est ce que je peux faire de mieux ? Qui a accès à quoi ? ».
Pour Stéphane Remburre « le choix d’externaliser est un choix de la direction mais également un choix métier. C’est le fonctionnement global de l’entreprise qui est en jeu. Faire appel à un prestataire cloud peut permettre d’avoir des solutions mieux configurées par des techniciens avec des compétences supérieures, mises à jour et suivant les évolutions technologiques et réglementaires ». Il faut ensuite sensibiliser les utilisateurs et faire en sorte qu’ils adhérent à la politique de sécurité de l’entreprise. Sébastien Pauset, responsable équipe avant-vente chez Linkbynet, a confirmé que « c’est en choisissant le bon prestataire, avec les bonnes certifications, qu’on sécurise la transition vers le cloud ». Et pas comme le décrit Pierre Vautravers, expert cloud et head of systems, Zayo Group, « en visitant le datacenter, ce qui est pourtant une demande expresse de tous nos prospects ! ».