Chronique Renaud Bidou : In cloud we trust

Cloud
renaud bidou - trendmicro

Comment le cloud peut (vraiment) changer la vision de la sécurité IT en entreprise. Une nouvelle tribune de Renaud Bidou, Directeur technique de Deny All (sécurité applicative).

Il y a plus d’un siècle, les industries disposaient de leurs propres générateurs électriques.

Les besoins industriels spécifiques, le refus de dépendance vis-à-vis d’un tiers et la “jeunesse” de la technologie “électricité” imposaient la mise en œuvre de solutions propres à chaque usine.

Aujourd’hui, les génératrices ont disparu et les usines sont alimentées par des fournisseurs spécialisés. Une révolution industrielle est passée par là et l’artisanat a fait long feu.

Le cloud est une de ces révolutions industrielles. Une révolution qui va voir la disparition de l’artisanat dans des pans entiers de l’infrastructure des systèmes d’information : réseau, stockage, disponibilité, sauvegarde, puissance de calcul et … sécurité.

La sécurité ne va pas totalement disparaître des entreprises, mais il faut s’attendre à ce que les principaux moyens de production de la sécurité soient désormais opérés par des acteurs spécialisés.

Certes, il reste des générateurs de secours pour les infrastructures stratégiques, des onduleurs pour l’appoint, des piles et des batteries pour les jouets… mais l’essentiel est désormais ailleurs.

Si cette révolution est passée et acceptée depuis longtemps dans le domaine de l’énergie, elle est toutefois encore mal comprise dans le domaine des systèmes d’information.

Soumise aux habituelles résistances au changement, la révolution industrielle que représente le passage au cloud est également victime de la confusion volontairement entretenue par les éditeurs qui n’entendent pas passer à côté d’un phénomène qui pourrait bien redistribuer les cartes.

Le cloud devient alors un peu tout et n’importe quoi et d’ailleurs tout le monde a son cloud public ou privé, son cloud d’applications, d’infrastructures et de services, son cloud de cloud, etc.

Au final, il devient légitime de se poser la question de la sécurité de cet ensemble encore mal défini.

Le cloud e(s)t la sécurité

C’est prendre le problème à l’envers, un peu comme si l’on se posait la question de l’alimentation des centrales électriques.

Le cloud ne doit pas être sécurisé (ou, du moins, ce n’est jamais qu’un épiphénomène). Le cloud EST la sécurité. Le cloud est conçu pour fournir un service complet dont la sécurité doit faire partie intégrante.

Ainsi tenter de sécuriser un service fourni par le cloud n’a aucun sens. Cela revient à se préoccuper de sa propre capacité de stockage quand les données sont entreposées chez Amazon.

Chacun son métier. Et il y a fort à parier que les services fournis par le cloud seront bien mieux sécurisés que la plupart des applications conçues, hébergées et sécurisées dans les entreprises.

Le cloud va donc faire disparaître les systèmes d’information artisanaux tels que nous les connaissons aujourd’hui.

L’expertise sera regroupée au sein de quelques acteurs majeurs – attendons la phase de consolidation du secteur pour donner les noms des vainqueurs – et seuls quelques environnements critiques seront effectivement maîtrisés par leurs propriétaires.

La sécurité telle que nous la connaissons va donc également disparaître.

Fini LE expert sécurité de l’entreprise. Fini le défilé des fournisseurs, chacun apportant une solution différente à des problèmes mal identifiés. Fini les pirouettes pour définir un retour sur investissement. Fini les architectures à 12 étages, les collections de consoles de supervision, les projets de SoC.

La sécurité est induite et la question ne se posera plus, au même titre que je n’hésite pas à allumer la lumière quand je rentre chez moi.

Je considère – à tort peut-être – que l’ensemble du service “électricité” est fiable. Demain, nous allons considérer de la même manière que les services numériques le sont également.

Utopie ? Non, juste une évidence qui se voit toutefois assortie d’un délai non communiqué…

Un délai qui semble dicté par l’offre et la confiance. Toutefois un autre facteur pourrait bien entrer en jeu et accélérer un processus dont chacun dans l’industrie espère secrètement ne pas voir l’échéance : les ressources et leurs compétences.

En effet afin de mettre en œuvre les services de demain, les acteurs du cloud recrutent ces compétences aujourd’hui disséminées dans les entreprises.

Ces compétences vont donc déserter petit à petit et créer un vide.

Et dans une période de crise/récession/rigueur, quid de l’opportunité de ne pas remplacer une compétence qui se raréfie par une solution alternative, financièrement performante, industrielle et à priori fiable ?

Il n’est donc pas à exclure que le cloud ne s’impose bien plus vite que prévu, et que l’extinction de l’espèce “RSSI”, du moins sous sa forme actuelle, ne se voit précipitée.

* RSSI = Responsable de la sécurité des systèmes d’information


Lire la biographie de l´auteur  Masquer la biographie de l´auteur