La recrudescence de ces attaques ne cesse de démontrer la fragilité des Systèmes d’Information et la nécessité de mieux sécuriser son Cloud face aux menaces actuelles et à venir. Que l’on internalise ou externalise la gestion de son SI dans le Cloud ou que l’on adopte une approche hybride, cette démarche implique de nouveaux enjeux. Les intégrer dès le départ dans l'élaboration d'une stratégie holistique de cybersécurité est d’autant plus important pour se prémunir des risques d’intrusion et de piratage de données.

Localisation, classification et choix de plateformes : des facteurs clés

Avant même de s’interroger sur le Cloud, s’assurer de la sécurité et du niveau de confiance de son environnement IT sont les premières questions à se poser. Si le risque zéro n’existe pas, orchestrer avec discernement la classification de ses données et choisir la typologie de service informatique appropriée (IaaS, PaaS, SaaS, …) sont des étapes incontournables.

Si une question mérite d’ailleurs une attention particulière, c’est celle du traitement des données - à caractère personnel ou sensibles - que les entreprises seront inévitablement amenées à administrer, en créant si besoin une classification spécifique propre à l’entreprise. C’est le business qui est décideur final du niveau de criticité des données et des précautions à prendre en conséquence. Or, le plus souvent, les grandes entreprises anticipent l’aspect de la localisation et de la classification mais négligent l’aspect du choix de la ou des plateformes, pourtant fondamentaux en amont de la migration des données concernées. Gérer la sécurité à la fois du Cloud et dans le Cloud est primordiale.

To be or not to compliant

Dans un second temps, l’hébergement des données est à arbitrer selon la législation propre à chaque pays. Aux États-Unis, par exemple, le Patriot Act (du 26 octobre 2001) permet au gouvernement étasunien d’accéder à l’ensemble des données hébergées sur le sol américain. C’est aussi le cas de la Chine ou de la Russie qui exigent que les data des entreprises étrangères soient hébergées sur leur territoire. En ce sens, il est préférable pour une entreprise française de choisir un hébergement en Europe pour les données ne nécessitant pas d’être exportées, pour assurer ses arrières en matière de souveraineté numérique et éviter ainsi les déconvenues.

Pour tirer leur épingle du jeu, les DSI et les membres de COMEX doivent aussi appréhender les différences entre le Cloud Act (promulgué le 23 mars 2018) et le Patriot Act et comprendre leurs impacts respectifs sur les entreprises françaises. Le Cloud Act permettant, dans le cadre d’enquêtes judiciaires, un accès plus rapide aux données en s’adressant directement aux fournisseurs Cloud plutôt que de passer par le biais du système judiciaire internationale, les entreprises ont tout intérêt à s’appuyer sur un Cloud Européen.

Cybercriminalité : la sécurité est l’affaire de tous

Toute politique de sécurité a son talon d’Achille et, en la matière, les mauvaises pratiques émanant des utilisateurs eux-mêmes sont légions. Pourtant les outils de chiffrement ou de gestion d’accès et d’identité dans le Cloud permettent d’éviter ces écueils. L’authentification est un point auquel les entreprises doivent particulièrement prêter attention, les données hébergées sur le Cloud étant plus facilement accessibles, donc plus vulnérables. La sécurité de ces dernières passe notamment par une authentification multi-facteurs pour valider ou non la légitimité de l’utilisateur.

Une plateforme ultra-sécurisée et armée pour anticiper les plus grands pièges informatiques, ne sert à rien si l’on ne parvient pas à embarquer l’ensemble des collaborateurs, à les sensibiliser et à les former suffisamment aux risques actuels. Seul l’ensemble des parties prenantes de l’entreprise pourra garantir une pleine efficacité (clients, partenaires, fournisseurs etc...). Les responsables de la sécurité informatique sont appelés à faire preuve de beaucoup de pédagogie pour développer une culture de la sécurité en phase avec les objectifs de l’entreprise et les besoins spécifiques à chaque département. On constate trop souvent que la formation se situe au bas de l'échelle des priorités par rapport au business as usual, alors qu’il s’agit d’un levier clé d’engagement et de responsabilisation au service de la sécurité collective d’entreprise. Cet investissement fort (aussi bien en termes de temps que d’argent) demeure nécessaire pour évacuer progressivement les habitudes de travail néfastes.

Aucune entreprise ne peut faire l’impasse sur sa sécurité sans hypothéquer son avenir, et c’est en s’appuyant sur les compétences de leurs Responsables de la Sécurité des Systèmes d’Information (RSSI) qu’elle sera en mesure de faire face aux cyberattaques. La tâche est d’autant plus lourde que les entreprises doivent gérer quotidiennement des menaces plus nombreuses et plus sophistiquées conjuguées à une relative pénurie de compétences dans le domaine.

S’il n’y a pas de mode d’emploi préétabli ou universel pour construire une bonne sécurité dans la gouvernance du Cloud, il est néanmoins généralement attesté que le fait de s’appuyer sur une solution de Cloud est plus sûr que de gérer le risque en interne. De la même manière qu’une grande partie des entreprises opte pour « le meilleur des deux mondes » en allant vers le Cloud hybride plutôt que vers du tout Cloud privé ou public, cybersécurité et Cloud sont compatibles sous réserve de faire les bons arbitrages.

L’économie de la donnée, qui abritera l’équivalent de 175 Zo de datas en 2025 (5,3 fois plus qu'aujourd'hui) et l’ex pansion rapide du Cloud, font qu’il va falloir composer avec les opportunités d’innovations mais aussi avec les risques croissants qui l’accompagnent. Il faut mettre à profit le Cloud pour être plus flexible, plus agile et plus innovant. Traquer les vulnérabilités de manière systémique, analyser en temps réel les menaces et utiliser des outils prédictifs pour gagner une longueur d’avance deviennent nécessaires. Ces menaces, prévisibles ou imprévisibles, usant de stratagèmes classiques ou plus sophistiqués, affectent tous les secteurs sans distinction – santé, média, industrie, finance, transport, pour ne citer que ces exemples.

Si la résilience des systèmes informatiques actuels reste fragile, les bases d’une sécurisation optimale des données reposent sur une connaissance pointue des vulnérabilités de l’entreprise ainsi que sur une stratégie de protection sur mesure évoluant au fil des besoins et de la créativité des hackers pour perturber les systèmes. L’augmentation de la connectivité globale nécessite des mesures de sécurité omniprésentes.

Par Jean-Paul Alibert, Président T-Systems France, groupe Deutsche Telekom