Sylvain Defix, Senior Solution & Alliances Manager pour NTT Com Security.
Sylvain Defix, Senior Solution & Alliances Manager chez NTT Com Security, évoque les effets des révélations à propos du programme de cyber-espionnage PRISM de la NSA et des implications cloud pour les entreprises françaises.
************
Les révélations d’Edward Snowden – concernant le programme confidentiel de surveillance PRISM opéré par l’Agence de Sécurité Nationale (NSA) des Etats-Unis – ne font que renforcer et mettre en lumière que le domaine des télécommunications, au sens large du terme, revêt une importance géostratégique de premier plan.
Certes, les révélations liées à PRISM renforcent la criticité de la dimension sécurité (pourtant déjà élevée) dans les logiques de transformation des systèmes d’information vers le modèle cloud, mais cela ne change rien au fait que les initiatives cloud, sont menées dans un cadre de réduction des coûts, dans la considération des bénéfices en terme de couverture et de flexibilité . A ce titre, la sécurité est souvent considérée comme un centre de coût, en contradiction avec le bénéfice escompté.
Cette actualité particulière a donné lieu à l’émergence d’une notion de Cloud Souverain, qui tendrait à considérer la nationalité du fournisseur de service cloud et/ou la localisation des infrastructures et des équipes soutenant ce service, comme un facteur prépondérant d’un point de vue sécurité.
Ne nous voilons pas la face, le principe d’un contrôle étatique par défaut des communications n’est pas une particularité américaine. C’est une voie sur laquelle s’est engagée la Chine (Great Firewall of China) et sur laquelle nous nous engageons. La récente promulgation de la Loi de programmation militaire (au Journal Officiel du 19/12/2013) et son article 20 si controversé (assouplissement des conditions d’accès administratif aux données de connexion avec la suppression de la nécessité de l’intervention de l’autorité judiciaire) l’illustrent.
En premier lieu, pas ou peu d’impact sur les contrats en cours. Lors des derniers mois, pratiquement aucune société ayant souscris discrètement ou globalement à des offres de cloud de fournisseurs américains n’a dénoncé son contrat. C’est peut-être dû à plusieurs paramètres: réversibilité potentiellement complexe, engagement de baisse de coût, charge et aléas d’une rupture contractuelle…
Personnellement, je pense que si les contrats n’ont pas été dénoncés, c’est qu’ils ne comportent potentiellement pas de clauses permettant au client de le rompre unilatéralement sur la base des révélations liées à PRISM. En effet, toutes les entreprises américaines interrogées ont toujours été claires sur le fait qu’elles ne pouvaient se soustraire aux injonctions de leur gouvernement, concernant le Patriot Act par exemple.
Ce point permet de souligner et de comprendre l’importance du cadre juridique sur les services cloud, induisant un engagement requis du RSSI (responsable de la sécurité des systèmes d’information) dans la négociation et la gouvernance contractuelle du service à rapprocher du modèle « Plan d’Assurance Sécurité » commun dans les services d’externalisation. Donc pas d’impact visible sur les contrats en cours… L’impact est donc sur la partie immergée, c’est-à-dire sur les nouveaux contrats pour lesquels le critère de localisation des services et la nationalité du fournisseur prennent une importance croissante dans les critères de décision.
Considérant les offres de cloud type « Infrastructure as a Service » ou « Platform as a Service », les cas d’usage public, majoritairement rencontrés au sein des entreprises françaises, portent essentiellement sur des systèmes ne comportant pas de données critiques (des systèmes de développement ou de pré-production par exemple). Une approche privée ou privative semble rencontrer plus de succès dans une optique de production plus critique. Typiquement, on ne voit pas ou peu de clients qui installent leur Siebel ou leur SAP sur du cloud public.
En revanche, les approches « Software as a Service », que ce soit sur des briques de communication, collaboration (messagerie, agenda, collaboration…) ou sur des périmètres plus métier (gestion de la relation client), apparaissent beaucoup plus développées. Le fait que le service cloud porte un engagement global est un gage de succès.
L’état du marché laisse à penser que l’on passe d’un modèle où les pourvoyeurs d’innovation (développeurs de logiciels) portaient leur solution auprès des divisions métiers qui ensuite s’appuyaient sur leur équipe IT pour la mise en place pratique de cette innovation, vers un modèle « direct » ou l’innovation est « vendue » sous forme de service.
Cette transformation expliquerait notamment le vif succès des offres « Infrastructure as a Service » et « Platform as a Service » auprès des éditeurs.
Aujourd’hui, ne pas intégrer l’évaluation de modèle cloud dans une stratégie IT constitue une faute et positionner la sécurité comme un frein, une erreur. Comme pour tout changement, le modèle cloud doit être pesé dans un cadre dépassionné et rationnel de gestion du risque pour les entreprises françaises.
Ce que l’on peut espérer comme conséquence positive de l’affaire PRISM, c’est que les nuages se dissipent pour permettre d’éclairer cette gestion du risque. Cette transparence permettrait à chacun d’évaluer les contrôles fournis par chaque service, chaque contrôle étant pondéré en regard de la criticité métier propre à chaque cas de figure, tendant à des logiques actuarielles.
Ce type d’approche commence à se décliner pour aboutir à une inclusion du modèle au niveau de la politique de sécurité. Cette inclusion est permise par la définition d’un niveau de contrôle requis en fonction de la criticité des applications et données considérées.
Au-delà, la question interpelle également sur la manière dont le sujet sécurité est traité au travers du cloud. La nature même du modèle fait qu’il peut s’avérer difficile de le rendre conforme aux exigences, ou à la stratégie sécurité du client, sur la base d’un modèle « tout inclus ». Ce problème renvoie à la flexibilité des solutions de cloud :
– A supporter des contrôles de sécurité en production :
– A être intégrées de manière transparente dans les modèles de gestion du risque en continu, de conformité et de gouvernance :
C’est à ce niveau, à mon sens, que se situe le débat le plus intéressant, renvoyant à des principes de séparation des responsabilités et de spécialisation sur le sujet sécurité dans l’intégralité de ses dimensions.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…