Les utilisateurs en entreprise doivent assumer leurs devoirs quand ils ont recours au Cloud. Les professionnels de la sécurité préconisent l’anticipation et la sensibilisation des métiers afin de réduire les risques.
L’externalisation des données est un enjeu majeur en termes de cybersécurité. Avec le développement du Cloud, les entreprises s’interrogent sur le niveau de sécurité de leurs données.
Un contrat solide
Le Cloud Computing introduit davantage d’incertitudes sur la sécurité des données. Face aux nouveaux enjeux, les entreprises doivent s’appuyer sur un contrat solide avec leur prestataire, séparer les environnements de test et de production, réaliser des audits et se doter d’un centre de supervision. Et les lignes métiers ainsi que les maîtres d’ouvrage doivent assumer leurs devoirs.
C’est ce qui ressort de la table ronde qui s’est tenue lors du salon sur la cyber sécurité FIC 2016 qui s’est tenu à Lille, les 25 et 26 janvier.
La table ronde a réuni Charles Schulz, chargé de mission à l’Anssi (Agence Nationale pour la sécurité des systèmes d’information), Federico Garcia, RSSI (responsable de la sécurité des systèmes d’information) Adjoint du Groupe Crédit Agricole et Brice Hauser-Kauffmann, responsable des solutions de sécurité et de continuité chez la banque Natixis.
Pourtant, pour les entreprises, principalement les grandes, l’externalisation des données n’est pas un phénomène nouveau. Elles ont depuis longtemps recours à l’infogérance. Mais ces dernières années, le développement du Cloud Computing a modifié les paramètres en introduisant plus de souplesse mais également davantage d’incertitudes.
Menaces décuplées dans le Cloud
« Ce sont les mêmes menaces mais elles sont décuplées lorsque l’on passe dans le Cloud. Et les problèmes sont multipliés, » pointe Charles Schulz, chargé de mission à l’Anssi.
Il poursuit : « outre la question de la législation, il faut savoir quels sont les niveaux de sécurité physique et logique pratiqués par les prestataires. » De plus, « l’entreprise doit aussi séparer ses environnements de production et ceux de test, » préconise -t-il.
Les responsables sécurité pour leur part, ont pris conscience de ces nouveaux enjeux. « le Cloud est une opportunité pour le business et pour la sécurité, » pense Federico Garcia, RSSI Adjoint du Groupe crédit Agricole.
Les lignes métiers ont des devoirs
« Mais c’est une démarche qui comporte plusieurs pans, » détaille-t-il. « A commencer par s’assurer que les clauses contractuelles sont bien présentes. Il faut également savoir sensibiliser les lignes métiers et les maitres d’ouvrage. Ils ont des devoirs, » insiste -t-il.
Car les dangers ne peuvent être ignorés : « ces services sont de plus en plus faciles à utiliser et ils échappent à la DSI au risque de développer le Shadow IT. Notre rôle est de les sécuriser mais aussi d’être force de proposition » remarque Brice Hauser – Kauffmann Responsable solutions de sécurité et de continuité chez Natixis.
Au Crédit Agricole, des mesures d’audit sont régulièrement effectuées afin de vérifier la qualité et l’intégrité des données. « Nous avons aussi mis en place des services de SOC (Security Operations Center) qui sont vraiment efficaces » conclut Federico Garcia.
Florence Puybareau
Florence Puybareau est Journaliste spécialisée dans l'IT et dans l'économie depuis 25 ans. Après 8 ans au quotidien La Tribune, elle collabore depuis 2008 auprès de différentes rédactions dans l'IT. Elle suit les grandes tendances que sont le Big Data, le Cloud et la sécurité informatique. Elle intervient également dans le domaine de l'assurance, de la gestion des risques et des RH.
Pour avoir un peu de securite dans un cloud il faut de bon outils de chiffrement comme abcryptfile.