Sécurité, résistance, résilience…

Trois maîtres mots pour caractériser l’édition 2020 des Luxembourg Internet Days : sécurité, résistance et résilience… A suivre, en ligne. Ces 17, 18 et 19 novembre.

> Multi-cloud, cloud hybride : où en sommes-nous ?

Moins de fournisseurs de plates-formes de cloud public, mais de plus grande taille. Ajoutons un écosystème SaaS arrivant à maturité. Les prédictions de Forrester Research pour cette année se sont vérifiées. La crise sanitaire n’a fait qu’accélérer le mouvement. Parfois au prix de la sécurité.

Selon Gartner, l’approche multi-cloud deviendra la norme pour 75 % des entreprises d’ici 2022. Elle reste cependant loin de remplacer le cloud hybride. Avantage à ce dernier : il permet d’associer les ressources des cloud public et privé… Bonne nouvelle : multi-cloud et cloud hybride sont compatibles. Ils peuvent être adoptés en même temps pour améliorer la sécurité et les performances dans de nombreux environnements.

La matinée du 17 novembre sera des plus intéressantes. Laurent Allard (VMware) s’intéressera à l’adoption du cloud public en entreprise, aux meilleures pratiques à mettre en oeuvre. Et, au cours d’une table ronde, Raphael Henry (EBRC), Xavier Hermes (BCE) et Steffen Mauer (Atlas Intelligence) évalueront nos possibilités de choix. Ceux-ci ne seront pas seulement techniques, ils seront aussi stratégiques, voire politiques. Tous parlent de nuages sur l’Europe…

> Souveraineté, souveraineté…

Plus de 70 % des données européennes sont aujourd’hui stockées dans des clouds non-européens. Et la situation n’a fait qu’empirer avec la crise sanitaire. Notre dépendance est devenue critique.

C’est sûr, la question de la souveraineté des données restera un élément central de l’informatique dématérialisée. Le projet Gaia-X, récemment lancé, pourrait entraîner un boom pour les fournisseurs européens locaux. De fait, son lancement, prévu début 2021, pourrait annoncer un changement radical dans l’équilibre des pouvoirs du cloud en Europe. Sauf qu’il s’agit  actuellement un cadre et non d’une loi…

La question de la souveraineté des données fera l’objet d’un débat autour de Nicolas Hamblenne (PwC Legal), Jelena Jelenovic (European Investment Bank) et Caroline Comet-Fraigneau (OVHcloud) modéré par Jean-Philippe Boever (Eolis Medi @ Company et GridCop) et Koen Maris (PwC).

> L’Europe mise sur la fiabilité et la sécurité

Il s’agit de ne pas considérer la pandémie de la COVID-19 comme exceptionnelle. En cas de nouvelle période critique, les structures IT se doivent d’être prêtes -bonnes réponses et outils dédiés à l’appui. Le seront-elles ?

Si les dirigeants prennent davantage conscience du risque cyber, souvent mis en lumière par les projets de transformation digitale, la crise sanitaire a tout bousculé. Sur la base des objectifs généraux définis dans la stratégie de la Commission européenne «Façonner l’avenir numérique de l’Europe» et des expériences acquises au cours des derniers mois, il est maintenant temps de faire en sorte que l’Europe puisse se remettre de la crise.

Tel est l’avis de Christiane Canenbley, Deputy Head, Cabinet European Union. Cette proche de Margrethe Vestager insiste sur le développement de technologies fiables pour promouvoir une société ouverte et démocratique et une économie dynamique et durable. De même, elle défend l‘Europe en tant qu’acteur majeur d’une intelligence artificielle digne de confiance. 2020 fut riche, avec une législation sur les services numériques et un plan d’action pour la démocratie européenne, plus un réexamen du règlement eIDAS et un renforcement de la cybersécurité en établissant une unité conjointe de cybersécurité.

> Et vous, êtes-vous déjà crypto-agile ?

Demain, ce seront les risques quantiques qui nous menaceront. De là, l’importance à assurer notre crypto-agilité. Si un ordinateur quantique avec suffisamment de qubits devait apparaître aujourd’hui, pratiquement toutes les communications électroniques ne seraient plus sécurisées puisque la cryptographie sous-jacente serait en danger, avertit Joachim Schaefer (IBM).

71 % des entreprises dans le monde voient dans l’émergence de l’informatique quantique une menace importante pour leur sécurité. Pour la plupart des personnes interrogées, cette menace commencera à se faire réellement ressentir dans les trois années à venir. 

Crypto-agile, c’est démêler le vrai du faux. Une entreprise crypto-agile sait exactement où les technologies de chiffrement sont déployées dans son environnement (protocoles, bibliothèques, algorithmes, certificats, etc.) et la manière dont elles sont exploitées. Elle peut également identifier et résoudre les problèmes rapidement. Pour Lisa O’Connor et Ben McCarty (Accenture), l’incertitude relative à la cryptographie peut être le nouvel An 2000 déclenché par les risques technologiques émergents liés au calcul haute performance, à l’apprentissage automatique et au quantique.

> Sauver le quantique du quantique !             

L’ordinateur quantique ne sera pas une réalité avant dix ans. Il n’empêche. Ses énormes promesses -et les risques inhérents- s’imposent déjà aux experts en sécurité. Il s’agit d’envisager cette technologie de manière proactive dès maintenant… sous peine d’être dépassé demain.

La promesse du quantique est énorme. Mais, revers de la médaille, sa concrétisation aurait aussi un impact négatif sur la cybersécurité.

La promesse du quantique est énorme. Mais, revers de la médaille, sa concrétisation aurait aussi un impact négatif sur la cybersécurité. Côté positif, des applications telles que la prévision des fluctuations des marchés boursiers, la conception d’intelligences artificielles, les prévisions météorologiques et la mise au point de méthodes de cryptographies complexes. Côté négatif, la possibilité de casser ce que nous voyons aujourd’hui comme des méthodes cryptographiques sûres.

Selon DigiCert, la menace quantique deviendra bien vite une réalité. Aujourd’hui, 83 % des entreprises interrogées estiment que leurs équipes IT doivent être formées et sensibilisées aux pratiques de sécurité quantique. Bruno Huttner (ID Quantique), Jean-Christophe Le Toquin (Encryption Europe), Alan Kuresevic (SESTechom) et Joachim Schaefer aborderont ces questions au cours d’une table ronde modérée par Jean-Philippe Boever (mercredi 18 novembre 2020 de 11:00 à 11:45).

> La fin des châteaux forts !

Le chamboulement actuel remet en question un modèle de sécurité périmétrique qui permettait de voir et contrôler extrêmement bien ce qui se passait entre les murs de l’entreprise. Sans personne au bureau, il faut réadapter les accès et les contrôles des collaborateurs. Il faut tout revoir ! Ce changement de politique de sécurité va s’exprimer, entre autres, sur trois sujets majeurs : les accès à distance, le contrôle et la surveillance des accès malveillants et, enfin, la sécurisation des données sensibles.

Fin d’une époque, démontrera Bart Asnot (Microsoft). Fin des châteaux forts, les «bons» étant protégés par les douves et le pont-levis constitués par les pare-feux et autres proxies, les «méchants» étant repoussés au-delà d’un périmètre parfaitement maitrisé et connu. L’irruption de la mobilité dans ce monde, qui semblait figé dans le temps et dans l’espace, avait commencé à entrouvrir des brèches dans ce modèle bien ordonné, mais bien souvent à travers un recours massif à la mise en place de dispositifs tels que les VPN… Qui plus est, tout ceci a un coût. Quel sera, en 2021, votre budget de mauvaise configuration, questionne Andy Young (Keysight). Pour lui, il est temps de mesurer en euros nos erreurs de configuration… Un sujet sans fin qu’aborderont, de façon plus globale, Myriam Djerouni (LUXITH G.I.E.), Pascal Geenens (Radware) et Bruno Schroder (Microsoft) au cours d’un débat (mercredi 18 novembre, 14:15 > 14:40).

> Bug bounty… payer au bug !

API, agilité, DevOps, cloud natif, shift-gauche ne sont plus que des mots à la mode. Quel que soit leur stade de transformation numérique, les CIO et CISO sont confrontés à l’accélération des sorties et des cycles de vie des projets informatiques.

Place au bug bounty ! Solution disruptive, elle mobilise une communauté d’experts en cybersécurité pour tester un périmètre en les récompensant pour chaque vulnérabilité découverte.

Pour Rodolphe Harand (YesWeHack), les approches de sécurité traditionnelles ne sont souvent pas suffisantes pour relever ces nouveaux défis. Place au bug bounty ! Solution disruptive, elle mobilise une communauté d’experts en cybersécurité pour tester un périmètre en les récompensant pour chaque vulnérabilité découverte. Plus la faille est critique, plus le montant de la prime reversé à ces «hackers éthiques» est élevé. Des montants de 50 EUR à plus de 10 000 EUR, sommes sur lesquelles YesWeHack prélève une commission.

C’est là un révolution pour les entreprises clientes. Ne plus payer au taux horaire, mais au résultat. Mieux : les périmètres exposés ne sont plus testés ponctuellement -en fonction des ressources que le client peut mobiliser- mais en continu.

> Directive NIS, version 2.0

Depuis l’entrée en vigueur de la directive NIS en 2016, le paysage des cybermenaces a évolué. Une révision s’imposait, expliquera Svetlana Schuster (Commission européenne). Objectif : clarifier les normes minimales en matière de cyber-hygiène, examiner les menaces liées au cloud et les risques inhérents aux technologies opérationnelles et, enfin, harmoniser les normes de sécurité dans l’ensemble de l’Union européenne. La majeure partie de cette harmonisation se fera probablement par la mise en œuvre des systèmes de certification en matière de cybersécurité.

Certaines questions restent encore sans réponse. L’application d’un cadre intersectoriel à un secteur financier hautement réglementé soulève certaines difficultés, démontrera Cécile Gellenoncourt (CSSF). Quelle est, en particulier, l’articulation luxembourgeoise actuelle entre ces deux cadres ? Quelles sont les évolutions proposées par la loi européenne sur la résilience opérationnelle numérique ?

Les certifications envisagées en 2021 comprennent de nouvelles normes de certification pour les critères communs applicables aux infrastructures critiques, ainsi que des régimes de certification pour les services cloud, l’intelligence artificielle et la 5G.

Sheila Becker (ILR), Jean de Chillou (CSSF) et Leonardo De Vizio (Commission européenne) en débatteront avec Jean-Philippe Boever et Rayna Stamboliyska (YesWeHack) jeudi 19 novembre 2020 (de 11:00 > 11:45).