Close

De la cybersécurité au Cloud de Confiance : Comment développer votre activité en confiance grâce au Cloud ?

Reproduction avec l’aimable autorisation de la Revue TELECOM, Revue de l’association PARISTECH ALUMNI et de Thierry FLAJOLIET

De la cybersécurité au Cloud de Confiance : Comment développer votre activité en confiance grâce au Cloud ?

Par Thierry FLAJOLIET (1984)

Comment profiter du Cloud sans augmenter ses risques ? Comment superviser de bout en bout la sécurité des SI de l’entreprise virtualisée ? En tant que dirigeant, pour la sécurité de son organisation comme pour sa propre protection juridique, il est devenu vital de prendre en compte les risques que font peser les services Cloud mal maîtrisés, et la responsabilité qui découle de l’arsenal très évolutif des réglementations sur les données personnelles et d’entreprise.

Avec la révolution numérique de l’échange, les entreprises veulent faire levier sur le digital pour se développer, développer les ventes, améliorer leur efficacité opérationnelle, motiver les équipes avec des outils modernes et connectés 24X7.

Ce levier dépend de la confiance qu’elles ont dans le numérique, avec leur approche systématique de la gestion de la Gouvernance, du Risque, de la conformité (GRC). De ce fait, les organisations veulent aussi se protéger du cyberrisque qui explose. En effet, le cybercrime prélève chaque année directement ou indirectement sur l’économie mondiale entre 300 et 1000 milliards de dollars, précisément 445 d’après le Center for Strategic and International Studies (CSIS) (1). D’après le World Economic Forum (Davos, janvier 2014) (2), les tendances sont alarmantes : en l’absence de plan d’action cyber spécifique, la croissance par le numérique d’ici 2020, estimée entre 9600 et 21600 milliards de dollars, pourrait bien être amputée de 3000 milliards de dollars. D’où l’importance croissante de la cybersécurité, avec son volet de lutte contre la cybercriminalité et son volet cyberdéfense.

Dans cet environnement ouvert, à nous de faire comprendre que la cybersécurité facilite et accélère en réalité le développement économique, alors qu’elle est encore souvent vue comme une contrainte, un coût superflu… En même temps, les entreprises doivent maintenant relever le défi de la sécurité de bout en bout, serveurs, stockage, réseaux, end-points qu’ils soient en dur ou virtualisés, internes ou chez des prestataires cloud – Cloud Service Providers, ou CSP -. Et comment faire pour tirer tous les bénéfices de ce Cloud ? Les nouveaux risques sont-ils bien compris ? Mesurés ? Anticipés ? C’est à ce prix que le Cloud donnera toute la mesure de son potentiel transformationnel, et sera massivement adopté dans de nouveaux secteurs comme la finance. Il ressort des études et des échanges que j’ai pu avoir dans le cadre d’associations d’usagers, DSI, RSSI (CLUSIF, CESIN, CIGREF…) que le Cloud semble intensifier 10 risques principaux qui sont au moins autant organisationnels, juridiques, humains, que techniques, chaque domaine pouvant faire l’objet d’un livre blanc complet ! La première moitié réunit des risques plutôt techniques, et la deuxième des risques plutôt organisationnels, juridiques, humains.

 

Tableau format JPEG photoshop copyDICT: Disponibilité, Intégrité, Confidentialité, Traçabilité

Au-delà du contrôle de la localisation des données, un sujet en lui-même déjà complexe, il y a toute une série d’obligations qui incombent de ce fait au client : par exemple, il doit être en mesure de faire de nombreuses déclarations à ses propres clients, parties prenantes, autorités de sécurité dont il peut dépendre, concernant des compromissions de données personnelles ou d’entreprise, ou encore des attaques sur certains SI critiques pour les OIV (Organismes d’Intérêt Vital pour la nation).

La question du décideur : « Quel est mon risque légal si mon CSP est attaqué ou fait des bêtises avec les données personnelles ou d’entreprise ? Comment être conforme à toutes les règles qui touchent à la lutte contre la cybercriminalité, à la cyberdéfense française et européenne, et à la protection des données personnelles ? ». D’autant qu’à l’avenir, les clients et leurs dirigeants vont encourir des peines nettement plus importantes en cas de manquement. Tout doit être prévu dans les contrats qui les lient aux CSP.

Avec le Cloud, les dégâts causés par des attaques ou des déficiences internes peuvent être multipliés par plusieurs ordres de grandeur

Focus Europe

Les multiples scandales liés à l’espionnage numérique de masse révélé par E. Snowden et aux pratiques jugées intrusives de grandes firmes (notamment les « GAFA » : Google, Amazon, Facebook et Apple, mais pas seulement !) ont alerté la société civile et les pouvoirs publics sur le caractère dépassé des réglementations en vigueur en Europe. Les travaux sur un nouveau règlement européen sur les données personnelles avaient démarré en 2011, et les projets de textes ont été adoptés en première lecture par le parlement en mars 2014. Ils font encore l’objet d’un lobbying violent de la part de grands groupes américains pour amoindrir les obligations, et de pas mal d’européens pour au contraire les augmenter, aller plus loin dans le droit à l’oubli, le contrôle des règles du Safe Harbor ou l’encadrement des Corporate Binding Rules.

Aujourd’hui, le projet de règlement, qui pourrait être adopté au final au 1er semestre 2015, est ambitieux : renforcer les amendes en cas de violation (cent millions d’euros, ou 5% du CA mondial), imposer que la communication d’informations par des entreprises à un Etat tiers soit soumise à une autorisation préalable d’une autorité nationale de protection des données dans l’UE, instaurer un droit à l’effacement des données (« optout »), nommer un délégué à la protection des données dans les grandes entreprises, organiser l’exécution par une autorité de contrôle européenne de la protection des données, définir l’autorité de protection dans l’Etat membre comme interlocuteur à l’échelle européenne (« guichet unique »). C’est déjà beaucoup ! L’autre directive significative, la NIS (Network & Information Security) ou Directive SRI (Sécurité des Réseaux et de l’Information), a été adoptée définitivement par le parlement en mars 2014. Les pays attendent les décrets d’application avant de la décliner dans les droits nationaux. Elle reprend et étend certains aspects de la LPM (Loi de Programmation Militaire) adoptée en France dès décembre 2013, et fixe notamment des obligations à certains OIV à caractère européen – qui opèrent dans les domaines de souveraineté : télécoms, IT, santé, alimentation, eau, énergie, transport, industrie, activités civiles des états…- et des droits supplémentaires aux autorités nationales de sécurité, tout en en promouvant la coordination européenne de leurs actions.

En France, un COmité de FIlière Sécurité (COFIS) a également été créé par le Premier Ministre, pour dynamiser les initiatives de l’aérien, du naval, du terrestre et en général des industriels de la sécurité, au sein du CICS. Le Plan Nouvelle France Industrielle (NFI) vise lui à développer la filière sécurité Française au sens large, incluant l’industrie de la cybersécurité.

Ainsi, dans le plan CLOUD No 24 de la NFI, trois propositions sur 11 relèvent de la cybersécurité : Label « Secure Cloud », espace de confiance européen, accélération de la transformation numérique des entreprises. De son côté, le plan CYBERSECURITE No 33 met en place 16 actions regroupées en quatre thèmes : accroitre significativement la demande en solutions de confiance, notamment avec un Label France, développer pour les besoins de la France des offres de confiance, organiser la conquête des marchés à l’étranger, et renforcer les entreprises nationales du domaine de la cybersécurité, par exemple par la création d’un fonds d’investissement privé.

Dans les deux cas, l’un des objectifs est, par la sécurité, d’augmenter le niveau de CONFIANCE, et donc les bénéfices du numérique sur l’activité économique : « En tant que décideur, je peux y aller, pousser le numérique, investir, c’est bon pour l’activité, l’efficacité opérationnelle, les collaborateurs, et je n’augmente pas mes risques business ou juridiques. Mon entreprise est à la pointe de la cybersécurité, et j’ai mis en place tout ce qu’il faut pour aller massivement vers le cloud… ». Mais est-ce bien le cas ? Pas toujours aujourd’hui ! D’où l’idée de ces labels qui revient au galop.

Quelles Certifications pour la Confiance Numérique ?

Il en existe aujourd’hui beaucoup, mais aucune n’est alignée sur les objectifs de la France et de l’Europe, notamment en termes de respect des réglementations et de souveraineté. Pour prendre l’exemple du Cloud, il y a bien des certifications pour les CSP : ISO 27001 peu spécifique sur ces sujets, Cloud Security Alliance CSA (USA), AICPA (USA), Tüv Rheinland (Allemagne) ou Eurocloud, mais aucune ne prend en compte de façon systématique l’Espace Economique Européen (EEE) de 31 pays et 508 millions d’âmes, la première puissance économique mondiale, ou encore les directives et règlements les plus récents mentionnés plus haut.

Processus pour les CSP en Europe

Par exemple, il faudra s’assurer que les processus sont en place pour pouvoir informer chaque victime en cas de perte de ses données par le CSP, ou encore pour communiquer rapidement les cyberattaques du CSP à l’autorité compétente quand elle touche un SI d’intérêt vital. Les données gérées par le CSP devraient aussi rester cantonnées dans l’EEE, incluant copies, back-ups, archivage, données temporaires. Si un Etat de l’EEE caractérise des sous-ensembles de données sensibles qui doivent rester sur le territoire national, cela devra être contrôlable. Il faudra aussi prendre en compte le contrôle des fournisseurs de rang supérieur à un dans la chaine de service cloud, et donner dans tous les cas la préférence à des fournisseurs européens et français, labellisés ou certifiés de confiance, quand ils existent.

Supervision de bout en bout de la Sécurité des SI & SI industriels par les SIEM et les SOC

Il faudra également maintenir une supervision étendue de la sécurité du monde physique et virtualisé, que ces VM soient chez le CSP ou dans l’entreprise, en IaaS, PaaS, SaaS, ou DaaS. Ainsi, la nouvelle génération de Security Operations Centers (SOCs) devra mettre en œuvre la supervision de bout en bout, incluant le CSP. Les SIEM souverains de nouvelle génération comme PRELUDE de CS Communication & Systèmes et les autres outils des SOC auront la visibilité et les logs de toutes les fonctions virtualisées, et on saura ainsi par exemple en temps réel si une VM critique a été attaquée, alors qu’elle vient d’être montée en quelques secondes pour une application critique ERP, BI, CRM ou autre, on verra si notre espace privé et sécurisé chez notre CSP a été pénétré et nos données d’entreprise volées par la porte de notre voisin de palier Cloud, ou si nos données sont en train de sortir de France ou de l’EEE, mettant en cause directement la responsabilité de l’Entreprise et de ses dirigeants…

Conclusion : aller plus vite et plus fort dans la certification européenne des Clouds de Confiance et Services Numériques

Nous sommes à la croisée des chemins, et les opportunités sont immenses, sur cette vague d’innovation qui a démarré il y a 20 ans, avec le Cloud comme l’un des derniers avatars. Cette 3ème révolution industrielle métamorphose tout : civilisation, cultures, société, entreprises, familles, valeurs, vies personnelles. Elle a besoin d’un surcroit de confiance pour donner le meilleur d’elle-même. Pour l’Europe, certifions nos prestataires de Cloud pour qu’ils nous donnent des garanties sur la localisation des données dans l’EEE, le respect des lois et règlements européens sur les données personnelles et d’entreprise, et l’usage de l’état de l’art des technologies/ processus/ moyens humains pour mettre en œuvre les plus hauts niveaux de Sécurité des SI et des SI industriels. C’est grâce à ces CLOUDS DE CONFIANCE que l’Europe gagnera la bataille du numérique.

 

Revue_174_T_Flagiolet_diff_img_3

(1) Center for Strategic and International Studies (CSIS) et McAfee, juin 2014, http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf

(2) Rapport “Risk and Responsibility in a Hyperconnected World”, 20 janvier 2014, World Economic Forum en collaboration avec McKinsey & Company, http://www.weforum.org/news/increased-cyber-security-can-save-global-economy-trillions

La confiance se construit Adhérer