La sécurité sous les nuages, l'orage menace

Les évolutions de plate-forme techniques ne sont pas non plus sans incidence. Ainsi, l'émergence du « cloud » se fait en général sans se préoccuper de la sécurité. Le choix est souvent fait sur des critères financiers et le RSSI n'est averti que quand les données sont déjà quelque part dans le nuage. Or, dans le cloud, plusieurs problème subsistent a insisté Eric Domage : la perte de contrôle (qui applique les règles de gestion et de sécurité ? Comment sont-elles auditées ?), les menaces internes (le talon d'Achille des hyperviseurs reste ainsi les machines virtuelles déviantes), la conformité réglementaire (géolocalisation de données personnelles par exemple), suivi de la sous-sous-traitance, réversibilité du choix d'un prestataire... Pour couvrir tel ou tel risque, l'entreprise adopte telle ou telle solution. Il en résulte un empilement de méthodes et d'outils dont la complexité devient un risque en elle-même. « Le vrai problème aujourd'hui concerne plus le management de la sécurité que les techniques de sécurisation en elle-même » insiste Eric Domage.