Cloud computing : comment construire la confiance ?

Tous les acteurs du Cloud sont confrontés à la même question : rassurer les DSI. Entre risques industriels, juridiques et enjeux techniques, la tâche est ardue. Mais pas impossible. Retour sur les débats de la Cloud Week 2015.

Six sur dix. C’est le nombre de DSI français qui ne veulent pas “aller dans le Cloud” par peur de “perdre le contrôle des données” (étude Deloitte 2015). Faut-il y voir une relation de cause à effet ? Ils étaient plusieurs centaines à assister à la conférence organisée par l’association Cloud Confidence dans le cadre de la dernière Cloud Week à Paris. Le thème de la journée du 7 juillet dernier : “Construire la confiance dans le Cloud”. Tour d’horizon des principaux points de vue et conseils d’experts.

La question n’est plus de savoir si l’on doit aller dans le Cloud mais comment se protéger des menaces : cybercriminalité, fraudes, espionnage massif, sabotage et demain cyberterrorisme. Pour développer la souveraineté d’un Cloud européen face aux géants américains, l’ANSSI privilégie un axe franco-allemand et travaille main dans la main avec l’Office fédéral de la sécurité des technologies de l’information allemand (BSI). Au programme : des critères et des prestataires communs pour un Cloud européen sécurisé et de confiance, réunissant toutes les garanties de protection des données dans une zone maîtrisée. L’enjeu : identifier les règles et les acteurs capables de les appliquer au moyen des technologies ad hoc : signature électronique, horodatage, audits… L’ANSSI oeuvre aussi à la création d’un label « Secure Cloud », avec une gradation dans les niveaux de sécurité car on ne sécurise pas tout de la même façon et on ne peut pas tout externaliser. La construction d’un éco-système européen de sécurité autour du Cloud est en bonne voie mais prendra du temps.
Guillaume Poupard – Directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

Du côté des entreprises, avoir un acteur européen du Cloud avec un siège social et des données qui restent en Europe c’est une valeur ajoutée, un gage de sécurité. Un Cloud “de confiance”, doit être sécurisé et protégé de la curiosité des gouvernements. Il doit proposer du chiffrement et une conformité aux réglementations en vigueur, en particulier par rapport aux obligations de la CNIL. Il faut aussi qu’il soit simple et lisible car les utilisateurs s’épuisent. L’idéal serait une certification globale sur la sécurité de type norme CE et qui garantisse la conformité. Enfin, il faut une législation équilibrée entre fournisseur et client. Celui-ci doit d’ailleurs s’impliquer plus fortement car la sécurité est une responsabilité conjointe.
Cyril Bartolo – CIO Europe, groupe Lagardère

Il faut une sécurité de l’information résolument offensive ! C’est le rôle des tests d’intrusion menés par des experts comme ceux d’Agarri, ou d’autres, et qui s’engagent à signaler systématiquement les vulnérabilités et les failles découvertes aux éditeurs concernés. Ceux-ci rémunèrent d’ailleurs la recherche active de failles dans leurs programmes (ou Bug Bounty). Google et Facebook ont ainsi dépensé l’an dernier trois millions de dollars pour récompenser ces “chasseurs de primes technologiques” et parfaitement légaux ! Aujourd’hui, très concrètement, les deux risques spécifiques au Cloud sont les interactions externes et l’auto-configuration. Pour créer de la confiance, il faut une approche holistique car le Cloud ne peut pas être défini par la simple somme de ses composants. La sécurité unitaire des composants est largement insuffisante.
Nicolas Grégoire – CEO Agarri

La première question à se poser pour un DSI vis-à-vis du Cloud c’est : “Où est-ce que je vais mettre mes données ?”. En France ou à l’étranger ? En Europe ou ailleurs dans le monde ? Et qu’est-ce que je risque ? Dans tous les cas, le Cloud est un impératif pour donner à son entreprise les moyens de réussir sa transformation numérique, de se déployer en terme d’offres et de géographies, voire de survivre à l’Uberisation de son activité ! La confiance dans le Cloud passera par la transversalité et la lisibilité des normes européennes, notamment dans le BtoB. En attendant, T-Systems met à disposition des entreprises des moyens industriels pour leur permettre d’externaliser leur système d’information en toute quiétude. Ce sont ainsi plus de 50 000 systèmes cloud qui sont opérés dans nos Data Center sécurisés et des équipes spécialisés. Mais la confiance, ça n’est pas que la sécurité ou les normes. La disponibilité des applications et des données est un point crucial. Enfin, chez T-Systems nous préférons un « best of breed » aux “appliances” car elles sont très pré-intégrées, donc peu faciles à opérer, peu évolutives et onéreuses.
Jean-Paul Alibert – Président de T-Systems France

Le Cloud, il faut que ça marche, toutes les minutes, toutes les secondes de l’année ! Pour cela, Orange Business Services offre un soutien important aux startups. Identification des compétences, filières de formation, hackers éthiques, cyberdéfense… tout est mis en oeuvre pour construire la sécurité et donc la confiance du Cloud. Enfin, nous privilégions la réversibilité des contrats et la protection du droit à l’oubli. Car comme l’a rappelé Stéphane Richard, notre Président : quand il s’agit d’économie digitale, l’Europe n’est pas le paillasson des USA !
Thierry Bonhomme – CEO Orange Business Services

Lire aussi : Les impacts du Cloud sur l’organisation et les missions de la DSI

Comment T-Systems peut-il vous accompagner ?

Filiale de Deutsche Telekom, T-Systems s’appuie sur l’expertise de ses 50 000 collaborateurs et sur son infrastructure mondiale de data centers et de réseaux pour soutenir votre transformation IT.

Contactez-nous

Répondre