La sécurité, une opportunité pour le développement du cloud

Une plus grande confiance et, d’une manière générale, la perception d’un meilleur contrôle de la sécurité. Telles sont les premiers enseignements de la Global State of Information Security Survey 2012 de PwC. Les clignotants de la sécurité ICT sont au vert. Tous, vraiment? D’une édition à l’autre, de nouveaux signaux apparaissent. Ainsi, à propos du leadership de la sécurité -qui doit l’assurer? La sécurité n’est-elle pas trop centrée sur le département IT, alors que la notion de risque tend à se globaliser? A travers cette étude sur la sécurité ICT, l’ombre du cloud plane. Que ce soit directement ou indirectement, il en est de plus en plus question.

«On est entre prudence et optimisme, entre confiance et doute, résume Vincent Villers. Dans un monde de plus en plus collaboratif, où les systèmes d’information ne sont plus cloisonnés mais tendent à être partagés avec les clients, partenaires et fournisseurs, la sécurité de l’information doit surpasser la sécurité du système d’information; elle doit aussi se positionner de manière à faciliter le travail des entreprises, les aider à innover et à se développer».

Aux interrogations du début -qui dispose des accès administrateur? Mes données peuvent-elles être altérées?- sont venues se superposer les questions relatives au respect des réglementations, l’application de politiques internes et la gestion du risque.

«A Luxembourg, la CSSF a son mot à dire. Tout en constatant l’évolution de la demande et sans voir le cloud d’un mauvais œil, elle insiste à raison sur la maîtrise, constate Thierry Kremser. Elle exige tout particulièrement de la visibilité sur les mécanismes de sécurité et les contrôles offerts par le prestataire, ainsi que la traçabilité. En ce sens, le régulateur remplit pleinement sa mission de mise en garde!»

Visibilité, donc, sur les garanties apportées par le prestataire en matière de sécurité. A lui de démontrer ces garanties dans ses pratiques et à travers ses contrats. Ne pas hésiter à insister pour qu'elles soient exprimées sous forme d'obligations juridiques et contractuelles. Et, surtout, ne pas hésiter à demander des contrôles indépendants. En ce sens, les audits réalisés par les prestataires sur leur propre infrastructure ne sont pas suffisants.

Avec le cloud, la sécurité devient de plus en plus un objet juridique. Le cloud bouscule les doctrines en place. Avec des systèmes d'information classiques, l'entreprise considérait son informatique un peu comme un pays à l'abri de ses frontières, gardées par toute une batterie d'équipements. Avec le cloud, ce paradigme -rassurant- vole en éclats.

«Assurez-vous de parfaitement maîtriser vos risques avant de démarrer le service, conseille vivement Vincent Villers. Concrètement, il faut négocier avec les fournisseurs, voir les garanties en termes d’audit, y compris externes. C’est à la fois une discussion technique et métier. Car, ne l’oubliez pas : vous avez des obligations vis-à-vis des actionnaires, des clients, des auditeurs et, également, du régulateur.»

Dans l'optique du cloud, il faut avant tout savoir cartographier les données -pour séparer les données confidentielles de celles qui ne le sont pas ou le sont moins, comprendre les conséquences sur les métiers d'une éventuelle fuite de données, maîtriser les aspects juridiques pour négocier les contrats avec les prestataires et s'intéresser aux technologies de chiffrement. Pas moins!

«Ce n’est pas une personne seule qui peut assurer cette responsabilité, mais plusieurs, de façon collégiale et en fonction de leurs compétences propres, observe Thierry Kremser. Par conséquent, la question du leadership va nécessairement se poser. Concrètement : qui? Pensez-y suffisamment tôt, anticipez.»

Cette révolution technologique exige en retour la maîtrise des risques liés à son adoption, en termes de sécurité et de confidentialité des traitements et des données, mais aussi en termes de dépendance de l’utilisateur vis-à-vis des opérateurs de tels services. La relation entre le client et le prestataire de services de cloud est, de fait, particulièrement asymétrique dans le sens où vous courrez le maximum de risques : être coupé de votre outil informatique, perdre vos données pour votre activité, voir des tiers y accéder sans autorisation, ne plus pouvoir les récupérer...

«Gérer, c’est prévoir, rappelle Thierry Kremser. Vous devez pouvoir revenir à une situation ou à une organisation antérieure viable. De même, vous devez pouvoir sortir, non pour revenir en arrière, mais pour se tourner vers une autre solution. Qu'il s'agisse de réversibilité, au sens d'une réinternalisation, ou de transfert vers un autre acteur, la question rejoint la notion d'interopérabilité. Ce faisant, elle rejoint aussi le souci de disponibilité.»

C’est aujourd’hui un fait avéré : le cloud constitue le nouveau terrain de chasse des hackers. C’est moins les individus ou les entreprises qu’ils visent, mais davantage les fournisseurs de services, comme le cloud par exemple. «Or, à travers le cloud, vous êtes dans la situation où vous n’avez pas d'autre solution que faire confiance à votre prestataire, estime Vincent Villers. Certes, on peut faire confiance au marché. Une sélection s’opèrera entre les fournisseurs capables d’offrir plus de sécurité et à meilleur coût dans le cloud que sur site, une évolution qui permettra de faire de la sécurité un des attraits non négligeables du cloud plutôt qu'un frein. Mais cette sélection vous revient. Vous n’avez pas droit à l’erreur!»


Les entreprises doivent effectuer leur propre audit préalable pour pouvoir faire confiance à leur fournisseur. «Le meilleur moyen d'atténuer les problèmes de sécurité est de procéder à une évaluation des risques, puis de décider en fonction des avantages générés par le cloud par rapport à ceux de l'informatique interne, commente Thierry Kremser. A vous de voir aussi quelle est la criticité des données que vous pensez confier au prestataire de services cloud et quel niveau de risque vous êtes en mesure d’accepter...»

Le passage au cloud peut être vu aussi comme l’occasion de transformer une contrainte en opportunité : remettre à plat la politique sécurité du système d’information! Avec le cloud, la sécurité de l’information entre dans l’ère du pilotage des risques. Ce qui veut dire, encore, que la fonction sécurité doit se détacher des directions ICT. Et devenir globale, en soutien à la gestion des risques métier.

La sécurité fait face à des enjeux majeurs : l’ouverture du système d’information aux partenaires, la professionnalisation de la menace et l’augmentation du poids réglementaire. D’un coté, jamais la surface d’exposition aux risques n’a été aussi grande. D’un autre, il y a clairement une opportunité à saisir. En effet, au-delà de la nécessaire gestion des risques, l’enjeu de la sécurité est bien d’accompagner les métiers dans l’adoption des nouvelles technologies afin de concilier sécurité et innovation. Et Vincent Villers de conclure : «Cela coûtera en ressources et vous ne compterez pas vos efforts... mais c’est toute l’entreprise qui en sortira gagnante!»