Problèmes et solutions sont dans le cloud

Le « nuage » ouvre les systèmes d’information mais donne aux PME des moyens de cybersécurité plus efficaces
 

En matière de cybersécurité le cloud est source à la fois de  problèmes et de  solutions.  « Il pose  un  premier problème de gestion de la confidentialité des données, notamment avec l’émergence des objets connectés. Les utilisateurs ne sont pas conscients que les données de leur vie privée sont dans le cloud, leur consommation d’énergie, leur activité physique, les images de leurs  caméras de vidéosurveillance, leur géolocalisation,   etc.  L’entreprise ou l’utilisateur doit pouvoir savoir comment ses données sont protégées  et qui  peut y accéder », affirme Loïc Guézo, directeur du développement Europe  du  Sud  de l’éditeur Trend Micro.

 

Un autre risque est l’effet  domino. C’est-à-dire qu’un service cloud est souvent construit par assemblage  de  plusieurs  services éventuellement sous-traités à d’autres prestataires. Si l’un de ces services rencontre un problème, lors d’une mise à jour logicielle par exemple, il peut bloquer l’ensemble de la chaîne de traitement.

Mais le cloud est aussi une solution efficace  de cybersécurité, notamment pour les TPE et les PME, qui n’ont pas les moyens d’investir dans des  infrastructures de sécurité ou de recruter les personnels compétents. Il permet également aux  grandes entreprises de déployer rapidement  de  nouvelles applications sans ajouter à l’hétérogénéité de leur système d’information.  A l’heure  où  les  grands comptes ne jurent que par la transformation numérique, le cloud leur  donne cette possibilité d’exploiter rapidement les  technologies les plus récentes et de proposer des applications innovantes à leurs clients et à leurs utilisateurs. Tout l’enjeu est de concilier la nécessaire ouverture des  systèmes d’information, la mise à disposition d’applications dans le cloud, et la sécurité et la confidentialité des données. « Auparavant, on faisait de  la sécurité périmétrique, c’est-à-dire que l’on posait des serrures  autour d’une application ou d’un système  d’information. Aujourd’hui,  le cloud, les objets connectés et la mobilité obligent à changer de modèle. La sécurité ne doit pas être un frein à cette évolution. Pour  cela, elle doit être “embarquée” dans les applications et les   systèmes »,   affirme  Fabien Rech, directeur général France d’Intel Security.

 

Coffre-fort

« La sécurité est présente dans le cloud, qui est bâti sur des technologies récentes. Le risque apparaît quand les données sortent de ce “coffre-fort” et qu’elles sont transportées jusqu’à l’utilisateur. C’est un peu comme s’il manquait le transporteur de fonds », explique Michel  Van Den Berghe,  le directeur général d’Orange  Cyberdéfense.

Jusqu’à il y a peu, les éditeurs de logiciels concentraient  leurs efforts sur les performances de leurs applications. La multiplication des attaques les oblige à accorder plus d’attention à la sécurité et à l’intégrer à leurs logiciels dès la conception. « On va progressivement intégrer  la sécurité dans les systèmes d’information, comme cela a été le cas pour les airbags ou les systèmes ABS dans les voitures. C’est-à-dire qu’il faudra tester et auditer le code à chaque livraison dun logiciel », suggère  Alain Bouillé,  président du Club des experts de la sécurité de l’information et du numérique (Cesin). Pour optimiser la sécurité de leurs données, les entreprises doivent identifier celles  qui  sont réellement stratégiques ou  critiques.  Pour cela, elles doivent procéder à une analyse des risques encourus en fonction de leur activité.

Le risque n’est évidemment pas le même selon qu’il s’agit du  fonctionnement d’une installation industrielle ou  des  données transmises par un objet connecté.

Le cabinet d’études Xerfi pointe le corollaire de  la mutualisation des  ressources dans le cloud. Au lieu de vendre des solutions de sécurité à tous les utilisateurs de systèmes informatiques, les fournisseurs spécialisés vendent moins d’équipements, mais plus  importants, aux  gestionnaires d’infrastructures et aux  opérateurs télécoms. Cela n’empêche pas le marché français de la cybersécurité de progresser. Selon Xerfi, il devrait passer de 1 581 millions d’euros en 2014  à 2 milliards d’euros en 2017.

 

Sophy CAULIER - Dossier Big Data - Le Monde Éco & Entreprise - 10 novembre 2015