Les Assises de la sécurité : des responsables informatiques partagés face au Cloud

Publié le 1 octobre 2015 par La revue du digital dans fil d'actualité 

Bernard Cardebat, RSSI du groupe Areva et Fabrice Bru, RSSI de Louis Vuitton

Face au Cloud, les responsables sécurité sont soit partants soit prudents. Illustration avec le débat entre Areva et Louis Vuitton lors des Assises de la Sécurité. En matière de protection des données, les défis sonnent étrangement identiques au fil des ans.

Les responsables de la sécurité informatique sont de modernes Sisyphe condamnés à protéger chaque jour l’entreprise contre des risques similaires à ceux de la veille. Ce qui donne une inquiétante apparence de surplace à cette discipline, d’autant plus que le marché des solutions est extrêmement fragmenté et qu”aucun remède réellement nouveau et radical ne semble émerger dans un secteur abusivement technique.

Les Assises de la sécurité

Dans ce panorama répétitif, où chacun se trouve dans l’obligation de réinventer la roue, la montée en puissance du Cloud suscite cependant des réactions partagées. C’est ce que l’on constate notamment à la suite d’une table ronde réalisée lors de la première journée des Assises de la Sécurité, qui se tiennent à Monaco, du 30 septembre au 3 octobre.

L’événement réunit l’écosystème de la sécurité et les professionnels en entreprises utilisatrices. La table ronde a été pilotée par le Cesin, une association récemment créée qui réunit des RSSI (Responsable de la sécurité des systèmes d’information). Elle aura mis face à face les RSSI d’Areva et de Louis Vuitton.

Au global, le RSSI d’Areva se montrera plutôt réservé et directif vis à vis du Cloud tandis que son homologue de Louis Vuitton, sera plutôt ouvert, voire fataliste. Il est vrai que les données concernées ne sont pas les mêmes dans les deux cas, quand d’un côté on vend des centrales nucléaires, et de l’autre des sacs de luxe.

A l’heure du Cloud Computing, les systèmes d’information sont toujours plus diffus, les données sont dispersées, les équipes métiers ou certains responsables veulent aller toujours plus vite pour disposer de nouvelles applications, et pour cela ils surfent sur le mode du Saas (Software as a service), lançant des applications hors de tout contrôle.

Les mêmes questions

Les sous traitants se multiplient – entre hébergeur, gestionnaire de réseaux, et de data center – et il devient difficile de savoir réellement qui accède aux données de l’entreprise.

Face à ce constat, les responsables sécurité bataillent ferme pour faire entendre leur voix. Mais les questions qu’ils posent ressemblent malheureusement à celles qui se posaient il y a dix ans.

On ne sait plus potentiellement qui accède aux données, ni aux infrastructures, et si les règles demandées au sous traitant sont respectées par le sous traitant du sous traitant,” résume Fabrice Bru, RSSI de Louis Vuitton Maletier, membre du Cesin.

Il relève que la question de l’externalisation est cependant ancienne puisque la plupart des entreprises ont déjà externalisé le traitement de la paie. “Il est compliqué d’avoir une traçabilité, ” dit-il. “Sous prétexte d’un taux de disponibilité, les prestataires se permettent de placer les données un peu n’importe où,” résume-t-il.

Au propriétaire des données de décider

Résultat, le responsable sécurité doit arriver à sensibiliser les propriétaires des données à la valeur de leur patrimoine, afin de mobiliser les moyens ad hoc pour les protéger selon le niveau de risque qu’ils sont prêts à accepter.

C’est ce que pointe Bernard Cardebat, RSSI du groupe Areva. “C’est la maturité globale de l’entreprise qui va décider,” estime-t-il. Selon lui, un membre de comité exécutif comprendra qu’il est nécessaire de protéger un plan d’adressage IP, si on lui présente l’impact d’un incident et du coût associé. De même, un directeur des achats comprendra qu’il faut protéger les dossiers techniques lors de leur diffusion sur le web.

Dès lors, certaines données ne seront jamais sorties de l’entreprise, martèle-t-il, donnant comme exemple les annuaires, et souhaitant tout mettre en oeuvre pour qu’un responsable métier ne prenne pas une décision uniquement à partir d’une plaquette marketing d’un fournisseur de logiciel en mode Saas.

Fabrice Bru se sera montré nettement plus tolérant en la matière, indiquant que potentiellement toutes les données de son entreprise pourraient être stockées dans le Cloud. Il aura même souligné les atouts du Cloud.”Un projet qui aurait pris 18 mois traditionnellement, peut être réalisé en six mois,” cite-t-il.

Dans un second temps

De plus, “l’application Cloud va être disponible tout le temps, sans avoir besoin de nombreux informaticiens en interne, on apporte de la performance aux utilisateurs.” La confidentialité vient dans un second temps.

Pour rappel, le Cloud est le choix fait par Louis Vuitton, puisque l’entreprise pour réussir un déploiement international rapide d’une solution de CRM s’est appuyée sur l’américain Salesforce.com. Objectif : reconnaître chaque client lorsqu’il entre en magasin partout dans le monde.

Une sécurité après coup

Par ailleurs, si ces deux responsables de la sécurité se séparent sur le Cloud, ils se rejoignent sur les fuites de données. Selon eux, il faut désormais s’attacher à détecter les fuites de données a posteriori. La démarche jusqu’alors était plutôt de tout faire pour empêcher ces fuites de données.

Les solutions de type DLP (Data Leak Prevention ou Prévention des failles de données) vantées durant plusieurs années auront donc échoué de l’avis de ces spécialistes. Elles devraient même être remplacées par des solutions de DLD (Data Leak Detection), souffle taquin Olivier Ligneul, RSSI d’EDF, également présent à la table ronde.

 “Le DLP fonctionne avec des données structurées, et pas avec des données non structurées,” tranche Bernard Cardebat. Autre élément de la sécurisation qui recueille des avis positifs, le Soc (Security Operations Center), la plateforme qui centralise les événements de sécurité.

Le Soc doit intégrer la détection des flux applicatifs anormaux, et remonter les violations d’autorisations qui ont eu lieu. Si possible, il doit donner des informations sur les actions menées, les applications et les informations accédées. “Ce qui évitera à une direction générale de nous considérer comme jargonnant,” pointe Olivier Ligneul. Le Soc est présenté comme clé par Fabrice Bru qui indique que à chaque fois qu’il a pu remonter jusqu’à la source d’un incident, la cause des soucis a été supprimée.

Détruire des données

Une nouveauté, relevée par Olivier Ligneul : prévoir la destruction les données. Il faut traquer la donnée car il se peut que l’on veuille qu’elle meure, dit-il. Et face à une protection périmétrique qui éclate, il recommande de protéger les interfaces qui deviennent des environnements critiques.

Enfin, Bernard Cardebat d’Areva souligne l’intérêt de transformer l’utilisateur en capteur avancé des fonctionnements aberrants du système d’information.

L’utilisateur n’est plus perçu comme agissant de manière inconsidérée mais comme un allié de l’expert en sécurité. C’est un changement radical dans l’approche de la sécurité qui perçoit toujours l’humain comme le maillon faible.