Lors du séminaire « TIC et Géopolitique » du 24 mars, organisé par l'EPITA en partenariat avec l'Ecole de guerre économique (EGE), des experts de la sécurité des systèmes d'information se sont penchés sur les risques engendrés par le cloud computing.

Attaques de la Commission européenne, de Bercy, Stuxnet, Wikileaks... la guerre de l'information fait rage et se traduit notamment par la multiplication d'opérations de piratage de données, parfois massives, parfois ciblées sur Internet, qui donnent beaucoup de fil à retordre aux gardiens des systèmes d'information des entreprises, des institutions et des états.

Entre innovation et protection

Mais la nécessité de se protéger d'un côté est contrebalancée de l'autre par celle de l'innovation, qui porte avec elle de nouveaux risques. Ainsi le recours au cloud computing, qui permet des économies importantes d'infrastructure et de personnel, paraît inévitable, même si externaliser le stockage de ses données pose le problème de leur confidentialité, de leur disponibilité et de leur intégrité.

Quelle est alors la posture à adopter par le responsable de la sécurité des systèmes d'information (RSSI) ? Pour Sylvain Thiry, responsable de la sécurité des systèmes d'information ( RSSI) de la SNCF, « le problème se pose d'autant plus que ce ne sont pas les directeurs des systèmes d'information (DSI) qui adoptent le cloud, mais les métiers, par lesquels arrive l'innovation et qui sont propriétaires du risque. » La réponse donnée est la suivante : « le RSSI anime une démarche, il a simplement un devoir d'alerte, il demande une analyse des risques et tente de les anticiper ».

Dans l'entreprise

« On ne sera pas 100 % dans le cloud, mais ce sera de l'hybride, explique Sébastien Bombal, RSSI chez Areva, il existe un vrai problème sur la chaîne de confiance et il va falloir pour le prestataire apporter des garanties. » Pour Patrick Langrand, directeur de la sécurité des systèmes d'information du groupe La Poste, « du côté du client, il va falloir de plus en plus classifier l'information et se demander ce qui est vital pour l'information de l'entreprise, mesurer les risques encourus. Quelle est l'information qui risque de créer une crise informationnelle au sein de l'entreprise, et à ce moment-là, peut-on l'externaliser ou non ? »

Pour ceux qui souhaitent utiliser le service du cloud computing, il s'agit non seulement de se montrer particulièrement attentifs aux clauses du contrat les engageant vis-à-vis de leur prestataire, mais également de rester très prudents dans l'externalisation des données sensibles. Certaines solutions, comme le chiffrement des données, existent. Des clouds certifiés ISO 27001 devraient apporter un niveau de sécurité suffisant. Pour Patrick Langrand, « il y a un besoin d'outils juridiques pour contrer la résilience permanente sur la gestion du risque contractuel ».

L'argument ultime pour faire s'effondrer les peurs devant le recours au cloud computing est donné par Sylvain Thiry, « on est aujourd'hui dans une illusion de sécurité. Il ne faut pas croire que parce que les données sont chez nous, elles sont plus sécurisées. »

Pour en savoir plus, lire l'article publié par Bertrand Lemaire sur LeMondeInformatique.fr.