Cybersécurité - Innovations digitales et numériques

Pour mieux gérer le risque, les entreprises dans le monde dépenseraient 71,1 milliards de dollars dans la sécurité de l’information en 2014 et près de 77 milliards de dollars en 2015. Soit une croissance annuelle d’environ 8%, d’après Gartner. Pour la société d’études américaine, quatre forces – Cloud, mobilité, interactions sociales et information – dynamisent le marché.

Le cloud computing est bien plus qu’une simple technologie, il s’agit d’une véritable révolution qui touche tous les services informatiques. Certes, nous avons déjà décrit ce phénomène maintes fois sur ce blog, dont les premiers articles remontent déjà à il y a 5 ans ! Mais le niveau de maturité est tel qu’aujourd’hui, ce sont les DSI eux-mêmes qui mettent en avant ce changement de paradigme.
Comme à chaque révolution informatique, c’est la même constatation, celle que les organisations humaines sont fortement impactées par ces changements quand ils sont réels, et que les aspects humains de conduite du changement priment sur tout. Ce n’est pas une découverte pour beaucoup d’entre nous, mais ce qui est signe de changement, c’est ce renouveau du dialogue entre les DSI et les utilisateurs, qui ne peut qu’être salué comme une énorme avancée.

Seuls 9% des 2 105 services Cloud étudiés disposent de capacités de sécurité de classe entreprise, les 91% restant font peser des risques moyens ou élevés sur la sécurité des organisations. Par ailleurs, seuls 5% des services Cloud proposés en Europe sont certifiés ISO/IEC 27001, la norme internationale relative aux systèmes de management de la sécurité de l’information (SMSI). Pas plus de 12% utilisent le chiffrement de données stockées et 21% l’authentification multi-facteur.

Légitimement, votre DSI vous alertera sur les risques liés à la sécurité. Après tout, vous souhaitez utiliser des serveurs mutualisés avec d'autres clients de l'opérateur cloud, peut-être vos concurrents. Certes, il est possible de demander à l'opérateur de vous dédier un serveur. Mais il n'en reste pas moins inquiétant de confier ses données à un prestataire externe. Bien sûr, tous vous assurent que tout est sécurisé. Assurez-vous quand même que vos données soient bien protégées derrière différents remparts informatiques successifs, les firewall. Ne loger pas toutes vos informations à la même enseigne. Plus elles sont importantes, plus elles doivent être isolées du reste du réseau. Les plus sensibles méritent sûrement d'être cryptées. Dernier point, lisez bien votre contrat et vérifiez bien que l'opérateur cloud ne prend pas possession de vos données au moment où elles arrivent sur ses serveurs. De même, renseignez-vous bien quant aux possibilité de mettre à terme au contrat  : l'opérateur gardera-t-il vos informations ?

Au-delà, la question interpelle également sur la manière dont le sujet sécurité est traité au travers du cloud. La nature même du modèle fait qu’il peut s’avérer difficile de le rendre conforme aux exigences, ou à la stratégie sécurité du client, sur la base d’un modèle « tout inclus ». Ce problème renvoie à la flexibilité des solutions de cloud :

- A supporter des contrôles de sécurité en production :

• Suis-je capable de positionner mon dispositif de sécurité système d’entreprise et le gérer ?
• Est-il possible de provisionner mon cloud avec mes propres solutions et services de sécurité réseaux ?

- A être intégrées de manière transparente dans les modèles de gestion du risque en continu, de conformité et de gouvernance :

• Comment collecter et intégrer les logs de mon cloud dans mon système de cyber-surveillance ? Et quels types de logs suis-je capable de collecter ?
• Comment puis-je m’assurer que les contrôles de sécurité sont conformes à ma politique de sécurité (règles de firewall, couverture anti-virus, gestion des vulnérabilités et des correctifs…) ?

C’est à ce niveau, à mon sens, que se situe le débat le plus intéressant, renvoyant à des principes de séparation des responsabilités et de spécialisation sur le sujet sécurité dans l’intégralité de ses dimensions.

Selon Morgan Stanley, 70 % des charges applicatives des DSI interrogés résident sur des serveurs sur site, mais cette proportion doit être ramenée à 61 % d’ici à fin 2015. Tant le Cloud public (qui passera de 10 à 18 % des workloads) que l’hébergement (de 7 à 9 %) profiteront de ce mouvement, tandis que la colocation s’affichera en léger recul.

A l’inverse du Cloud, les dépenses en PC, terminaux mobiles (que les entreprises reportent sur leurs salariés via le BYOD), consulting et infogérance figurent tout en bas de la liste de priorités des DSI.

La partie privée permet une utilisation libre des fichiers à des fins personnelles, tandis que la partie entreprise permet de cloisonner les données dans un ‘container’ chiffré et géré par l’organisation. Laquelle peut notamment effacer des éléments à distance, transférer des comptes (en cas de départ ou de reclassement d’un employé) et partager des journaux d’audit. De quoi enfin rassurer en partie les DSI, qui pestent régulièrement contre la multiplication des comptes Dropbox dans leurs organisations, au mépris des règles de sécurité qu’ils défendent.

Si les révélations d'Edward Snowden ont amené beaucoup de questions sur la table et enterré quelques certitudes sur la sécurité des réseaux et, donc, du cloud, ce sera peut-être encore au final très bénéfique pour l'industrie IT. Certaines entreprises européennes pourraient tirer leur épingle du jeu au détriment de sociétés américaines pourtant archidominantes sur le marché du cloud. Dans tous les cas, un examen encore plus minutieux des conditions d'exploitation et de réversibilité est devenu incontournable.

Un retour sur investissement difficile à mesurer

Malgré l’engouement pour les technologies mobiles et la convergence, les entreprises peinent encore à tirer profit de la mobilité. Seuls 10% des répondants déclarent un retour sur investissement de 100% ou plus pour les projets de mobilité lancés au cours des deux dernières années. Et 26% affichent un ROI compris entre 50% et 100%.

Cependant, une forte majorité (85%) assure ne pas disposer d’outils pour en mesurer l’efficacité. Enfin, 7 cadres dirigeants sur 10 ont du mal à suivre le rythme d’évolution rapide des dispositifs, systèmes d’exploitation et applications. « Nombreux sont encore les défis à relever pour les entreprises », reconnait Jean-Laurent Poitou. « Si la nécessité d’adopter des stratégies technologiques clairement définies est cruciale pour elles, celles-ci doivent également maîtriser les technologies d’aujourd’hui sans perdre de vue celles de demain ».

Il n’existe pas de stratégie universelle d’adoption du Cloud. Quelques grandes étapes sont pourtant à suivre : identifier les applications et services IT éligibles au Cloud en évaluant la valeur apportée, le niveau de confidentialité des données et le niveau de spécificité des services. Pour chaque service éligible au Cloud, en vision cible, l’approche SaaS est à privilégier, avant d’envisager le PaaS, voire le IaaS pour les services très spécifiques. Ces mouvements sont à préparer en renforçant progressivement le niveau de standardisation des socles logiciels et techniques qui constituent le SI actuel.

La DSI se positionnera peu à peu comme un Cloud broker proposant à ses utilisateurs (clients finaux, collaborateurs, équipes projets IT) des services accessibles au travers de portails et offrant les moyens techniques (intégration, sécurité, pilotage) et humains (conseil, support) nécessaires pour garantir l’usage de ces services dans de bonnes conditions. Son rôle consistera à trouver les solutions offrant le meilleur équilibre entre adéquation aux besoins et attractivité économique en veillant à conserver l’agilité nécessaire pour changer de fournisseur en cas d’offres plus performantes apparaissant sur le marché.

La surveillance furtive de systèmes informatiques et de communications par les gouvernements ne se classe actuellement pas parmi les préoccupations premières de la sécurité informatique pour de nombreux responsables informatiques. « Chaque DSI va vous dire qu'il s'inquiète chaque minute de chaque jour au sujet de la sécurité, de la confidentialité, de la redondance, de la continuité opérationnelle, de la reprise après sinistre et autres », a confirmé Michael Heim, vice-président de Whirlpool et DSI groupe.

Or, même si l'information s'accroit de façon explosive, elle doit demeurer disponible et exploitable. D'est un enjeu qu'Olivier Robert, Directeur Solutions Risque et Performance de Software AG, connait bien : « j'ai été, dans la première partie de ma vie professionnelle, pilote de chasse. Tout mon problème était de disposer dans mon cockpit de toutes les informations utiles pour réagir vite. De la même façon, les entreprises doivent disposer d'un cockpit de pilotage similaire ».