Cybersécurité - Innovations digitales et numériques

D'année en année, la présence en ligne des TPE s'accentue. 47% de ces structures disposent d'un site web, soit 10% de plus qu'il y a un an. 11% de cette population visible sur la toile l'est à travers un site vitrine. 5% disposent d'un site marchand. La proportion des petites entreprises dotées d'un site progresse à mesure que les TPE sont convaincues de l'importance d'un site web. Elles sont aujourd'hui 55% à l'être, soit 10% de plus qu'en 2012. 46% des dirigeants interrogées estiment en outre que l'avenir des TPE passe par une présence sur les réseaux sociaux. Elles sont déjà 23% à s'être lancées sur le web social contre seulement 10% en 2012. Leur objectif est avant tout d'accroître leur visibilité, devant le fait de trouver de nouveaux clients.

Si il y a bien une facette à laquelle AWS tient particulièrement, ce sont les processus de consommation d'énergie. L'entreprise a en effet négocié des accords d'achat d'électricité en gros avec les fournisseurs pour garantir l'obtention d'énergie nécessaire pour alimenter les dizaines de centres de calcul à travers plus de neuf régions du globe. La côte Est, la plus gourmande, possède plus de 10 centres. Non seulement AWS achète de l'électricité en gros pour ses datacenters, mais la société a également développé ses propres sous-stations d'énergie permettant le stockage de celle-ci avant la redistribution vers les centres. Cela permet pour le moment à l'entreprise d'élargir son offre autant que nécessaire sans se soucier de ce facteur. Mais malgré tout ce « sur-mesure », AWS ne peut pas toujours prédire exactement la quantité de ressources qui sera utilisée. Plus la compagnie utilise ses capacités, moins ses coûts seront élevés. Quand les serveurs ne sont pas à leur maximum, il y a donc une perte.

Malgré des réticences compréhensibles chez les DSI, cloud et sécurité se rapprochent de plus en plus du coté logiciel.  Gartner annonçait au  début de l’année que le marché global de la sécurité dans le cloud atteindrait 2,1 milliards de dollars en 2013 et qu’il en représenterait 3,1 milliards en 2015. L’évolution s’effectue rapidement dans trois secteurs incontournables: les domaines de la gestion des identités (IAM), de la gestion des incidents de sécurité (SIEM) et de la sécurité du courrier électronique. Pour le cabinet d’études américain, la simplification des mises à jour qui existent déjà, avec  logiciels en mode SaaS, pousse à la multiplication des systèmes de sécurité hébergés. Ceux-ci ne souffrent pas d’être pris en défaut, comme leurs confrères planqués dans les entreprises  mais souvent ignorés par des mises à jours salvatrices.

Dans 65% des recherches de cloud computing effectuées sur CloudScreener.com, les entreprises ne souhaitent aucun engagement dans la durée avec leur fournisseur. Et seulement 25% des recherches incluent une volonté de s’engager pour une durée de 1 an ou plus. Une partie de ces entreprises qui ne souhaitent pas s’engager contractuellement changeront peut être d’avis au moment de l’achat mais sous deux conditions : la possibilité de bénéficier ainsi d’une réduction suffisamment intéressante et la confiance dans leur capacité à prédire leurs besoins des prochains mois.

Face au phénomène médiatique que représente le Cloud Computing actuellement, nous avons essayé de vous donner un éclairage pragmatique des bienfaits du Cloud Computing mais également des inquiétudes que génèrent les technologies et/ou environnement en mode cloud. Cette technologie en plein essor permet aux entreprises de disposer d’infrastructures et de progiciels directement en ligne sur Internet. On a distingué les différents types de Cloud possibles avec l’IAAS pour les infrastructures techniques, le PAAS pour les infrastructures habillées avec des outils de middleware comme les bases de données par exemple et le SAAS pour les services logiciels. Ces trois types peuvent se déployer sous quatre formes de topologies différentes : le Cloud public pour du déporté en ligne, le Cloud privé pour l’utilisation des concepts du Cloud en interne à l’organisation, le Cloud hybride pour l’utilisation commune du public et du privé et enfin le mode communautaire pour des entreprises géographiquement proches ou à intérêts communs.

Les possibilités de ce concept complètement novateur dans ses approches technologiques et fonctionnelles sont importantes pour les entreprises et on comprend l’intérêt des DSI. On pense tout d’abord à la réduction des coûts que doit permettre le Cloud, les services sont effectivement facturés en fonction de leurs utilisations et les ressources utilisées évoluent en fonction des besoins parfois automatiquement. Cela peut éviter d’investir lourdement dans des infrastructures, le TCO de l’entreprise baisse ainsi de façon considérable, il n’y a plus de serveurs sous utilisés. Le Cloud peut se révéler pratique pour lancer un nouveau service sans l’investissement habituel, de même pour les utilisateurs métiers des organisations, un terminal et un accès réseau suffisent pour profiter de l’accès aux progiciels du nuage. Autre avantage, si les data center des fournisseurs du Cloud public sont des consommateurs importants en énergie, cette mutualisation des ressources du Cloud permet en fait d’adopter un comportement écologique.

Si la flexibilité et l’économie de ressources affichées constituent des points positifs, le Cloud Computing génère quelques craintes au sein des DSI et des instances dirigeantes car le concept dans le monde professionnel, notamment en mode public, est encore jeune et des questions se posent concernant les aspects juridiques et sécuritaires. La confidentialité des données est un frein, déporter ses données stratégiques vers le nuage semble risqué. La disponibilité n’est non plus garantie complètement car le Cloud n’est pas à l’abri de tout péril. C’est pour cela que les entreprises adopteront plutôt un mode de Cloud hybride en déportant les données non stratégiques et l’utilisation de services pour l’informatique de commodité sur le Cloud public, le Cloud privé étant davantage réservé pour les applicatifs spécifiques et cœur de métier où l’on conservera également les données clés.

Autre point critique, côté humain, les impacts ne sont pas neutres. Après être revenu sur la définition du système d’information et le rôle des équipes en son sein nous constatons que le Cloud par ses aspects doit modifier automatiquement l’organisation en place dans les équipes informatiques. Cela se limite toutefois au Cloud public. Le Cloud privé, restant interne à l’entreprise, s’il profite des progrès apportés par le Cloud, ne perturbe que très peu le fonctionnement des équipes en place.

Nous sommes au début d’un long parcours de transformation sur les technologies, la gouvernance, les process, la relation client/fournisseur et la mécanique achat dans les entreprises. C’est pour cette raison que le rôle du Cloud Service Brokerage est indispensable dans la conduite et accompagnement de ces changements structurants du Système d’Information.

C'est aux abords de Lille que la matinée débat IT Tour le Monde Informatique a donné rendez-vous aux responsables informatiques de la région le 21 novembre 2013. En association avec le GUN et le Clusir Infonord, plusieurs tables rondes ont réuni des grands témoins : Emmanuel Dupont, RSSI d'Holcim France Benelux ; Didier Lamballais, DSI de l'Université de Lille 1 ; Pierre-Marie Moulière, DSI du groupe ARC et membre du GUN ; Thierry Servais, Président du Clusir Infonord et RSSI de Kingfisher et Jean-François Guilbert de Manpower. Voici un résumé des échanges.

Dix recommandations pour mettre en œuvre des services de Cloud gouvernemental sécurisés :

Le cloud étant de plus recommandé comme étant le moyen le plus économique et le plus sûr pour la protection des données des citoyens, ce nouveau rapport présente dix recommandations pour permettre de lancer les services de Cloud gouvernemental avec succès.

Soutenir une stratégie européenne de développement de services de Cloud gouvernemental ;Développer un business model qui assure la soutenabilité et les économies d’échelle des solutions de cloud gouvernemental ;Promouvoir une régulation qui prenne en compte les questions de localisation ;Définir un cadre permettant de minimiser les phénomènes de perte de contrôle ;Développer un SLA (Service Level Agrement) commun ;Etablir la conformité des solutions cloud entre les régulations européennes et nationales ;Créer un cadre d’authentification ;Mettre en place un panel de mesures de sécurité pour chaque modèle de déploiement ;Soutenir la recherche sur le cloud ;Améliorer les conditions d’usage privées.

Un réel besoin exprimé par les collaborateurs
L'étude montre que les solutions actuelles proposées par les PME sont loin de répondre aux besoins des collaborateurs de la Génération Cloud. Le PME qui n'adoptent pas ces nouvelles méthodes de travail flexible et collaboratif risque de perdre le contrôle de leurs réseaux et de les rendent potentiellement vulnérables.
·41% des salariés déclarent que les outils de travail collaboratif sont interdits sur leur lieu de travail (9% les utilisent quand même).
· 83% pensent qu'ils n'utilisent pas une solution Cloud officiellement approuvée par leur structure
· 43% n'ont pas les outils de partage d'informations avec les personnes extérieures à l'entreprise.
· 39% déclarent que leur entreprise n'a pas de politique officielle dans le partage d'informations professionnelles en dehors du réseau interne et 19% des salariés ne savent pas s'il en existe une.
·  67% des employés partagent encore les informations en support papier.
·  13% des salariés téléchargent des solutions de travail collaboratif si leur entreprise ne leur en fournit pas.

Enfin, quand bien même on aurait misé sur le mauvais cheval à long terme, rappelons-nous que l’essentiel des gains d’une démarche de Cloud sont liés à la transformation de l’entreprise (voir Pousser le Cloud privé au bout de sa logique : un potentiel énorme ). Une technologie non pérenne qui aurait permis de se mettre en route et commencer à changer la culture de l’entreprise pour exploiter le paradigme Cloud n’est pas complètement un mauvais choix.

Un constat peu rassurant d’autant que d’autres menaces se profilent au gré des nouvelles technologies. Plus d’un tiers des personnes interrogées se verraient bien utiliser des Google Glass, une montre intelligente ou une voiture connectée à Internet. Les RSSI ne sont pas à bout de leur peine. Pour les sensibiliser, ils pourront néanmoins faire appel à leur connaissance des menaces. Une large majorité de nos Y comprend le sens des termes ou des expressions hacking, hameçonnage, cheval de Troie, spyware ou malware.

L’article 12 prévoit ainsi qu’Amazon peut modifier le contrat à tout moment et que ces « dispositions modifiées prennent effet dès mise en ligne ». Or, le fournisseur réactualise régulièrement ces conditions générales. A la version datée du 19 août précédait une version du 11 juin.

Par ailleurs, le contrat, en version anglaise uniquement, est soumis à la loi de l’Etat de Washington. Seule cette juridiction est compétente en cas de litige. Et si Amazon propose à ses clients de choisir la zone géographique où ses données seront hébergées, il n’en est rien dans les faits selon Me Iteanu. Le fournisseur peut localiser le contenu dans une autre région s’il notifie ce changement à son client. L’article 3.2. du contrat client prévoit même la possibilité pour Amazon de se dispenser de cet avertissement lorsqu’elle y est contrainte par « la loi ou des demandes des autorités publiques », en l’occurrence américaines. Enfin, le leader mondial des services de cloud peut mettre fin au contrat à fin à tout moment avec un préavis de 30 jours.

L’étude s’est notamment penchée sur la qualité de la formation des utilisateurs finaux aux pratiques de référence en matière de sécurité de l’information en mode Cloud. A l’heure où même les ministres français sont rappelés à l’ordre et priés d’être plus vigilants quant à la sécurité des données qui transitent via leurs smartphones, qu’en est-il des utilisateurs finaux en entreprise ?

Pour près d’un décideur informatique sur deux interrogés, la nature des ROI obtenus avec l’externalisation des infrastructures IT dans le cloud par rapport à d’autres approches d’externalisation porte avant tout sur des gains de flexibilité (ajouts de nouvelles ressources en fonction des besoins), des gains en temps et ressources associées (recentrage de l’informatique sur son cœur de métier, meilleure disponibilité des ressources, mise en place rapide...), une réduction des dépenses d'investissements (modèle « pay as you go », mutualisation des coûts...) et des gains d’évolutivité (cf. les mises à jour).