L'EPITA se penche sur la sécurité du cloud

Il reste donc au RSSI à anticiper les demandes nouvelles en termes de cloud. Les données non-sensibles sur le plan stratégique peuvent bien être hébergées sur le cloud, ce qui inclut pour Patrick Langrand des données sensibles psychologiquement comme la paye, externalisée dans bien des entreprises depuis des années. Une solution peut aussi être de chiffrer ce qui est cloudifié mais ce n'est pas forcément une solution satisfaisante ou toujours possible.

« Le plus grand risque, c'est que les directions métiers utilisent le cloud sans même avertir le RSSI ou le DSI » soupire Sylvain Thiry tout en reconnaissant qu'un « serveur local n'est pas nécessairement plus sécurisé qu'un cloud confié à une armée de spécialistes ». Mais, après tout, comme il en convient, « le risque est associé au processus et a donc le même propriétaire : le métier. Le RSSI est un sensibilisateur et un informateur, pas un décideur. »

Une ouverture de plus

Pour Patrick Langrand, la question de départ est presque sans pertinence : « si on s'oppose au cloud, le métier vous mettra dehors. » C'est d'autant plus vrai que le discours du DSI sera incompréhensible tandis que les prestataires de cloud ont fabriqué un discours marketing destiné aux décideurs métier.

Le véritable problème, selon lui, n'est pas le cloud en lui-même mais le quasi-monopole des Etats-Unis en la matière : « les Etats-Unis n'hésitent pas à pratiquer le protectionnisme des données mais pas l'Europe. Il est essentiel de développer des acteurs locaux de cloud. » Sébastien Bombal se veut, lui, plus rassurant : « l'entreprise étendue est un fait depuis des années et tout projet se fait avec des partenaires extérieurs. Le cloud n'est finalement qu'une ouverture de plus. »

Il y a cependant des pièges. L'économie affichée par certains prestataires n'est pas toujours aussi évidente. Ainsi, aucune entreprise ne peut entretenir une boîte mail pour deux euros par mois mais un tel coût proposé par des prestataires dans le cloud n'inclut pas l'assistance utilisateurs qui reste en interne. Surtout, comme toute externalisation, entrer dans le cloud est facile, perdre de la maîtrise plus encore, et revenir en arrière (même pour changer de prestataire) loin d'être simple, les équipes internes pour procéder à la manoeuvre ayant été supprimées.

Des remarques à méditer

Le colloque a été l'occasion de remarques qui, sans être au coeur du sujet, n'en étaient pas moins fort intéressantes.

Ainsi, l'Amiral Michel Benedittini a ainsi souligné que le récent scandale autour des révélations de télégrammes diplomatiques américains sur Wikileaks n'était pas du tout une attaque informatique mais un défaut de pertinence dans les droits d'accès aux documents. Une personne inappropriée a ainsi eu accès à des documents classifiés à un niveau qui aurait dû lui être interdit. Cette affaire est ainsi la preuve que la sécurité technique n'est plus l'essentiel dans la sécurité informatique et qu'il faut se préoccuper de la « sécurité numérique » comme l'exprime régulièrement le Cigref.

Or, selon Eric Delbecque, chef du département sécurité économique à l'Institut National des Hautes Etudes de la Sécurité et de la Justice, « les organisations sont rarement bâties pour choisir ce qui est important alors même qu'une bunkerisation est totalement impossible. Il faut donc gérer une porosité » sans avoir de vraie visibilité sur le grain de chaque donnée. La volonté de la DIIE (Délégation Interministérielle à l'Intelligence Economique) de promouvoir la classification systématique des données risque ainsi de devenir une grosse machine bureaucratique qui s'enrayera d'elle même avant d'être contournée ou abandonnée.

Sans rapport avec ce qui précède, Patrick Langrand a posé la question fatale « qui veut être DSI ? » à une salle comportant de nombreux étudiants ingénieurs. Aucune main ne s'est levée. Patrick Langrand s'y attendait et en a conclu que le métier est devenu décidément trop ingrat et risqué, raison pour laquelle il n'intéressait plus.

Sur le même thème

Partenaires

L'EPITA se penche sur la sécurité du cloud

Livres blancs

Commentaire

Suivre toute l'actualité

Newsletter