Evolution de la menace cyber : le cloud au centre du jeu

Les sujets de la sécurité et de la confiance dans le cloud étaient au cœur de la 15e édition du Forum International de la Cybersécurité à Lille. Les experts ont intégré le thème dans un ensemble plus large, celui de la montée en responsabilité des entreprises face à la menace cyber.

Vincent Strubel Directeur général de lANSSI

Vincent Strubel Directeur général de lANSSI

Son discours était très attendu. Vincent Strubel, nouveau directeur général de l’Agence nationale de la sécurité des systèmes d’information, prenait pour la première fois la lumière sur la scène plénière du Forum International de la Cybersécurité (Forum InCyber) à Lille. Nommé en janvier, il a en effet succédé au charismatique Guillaume Poupard, dont les prises de parole de haut niveau, et toujours inventives, ont rythmé pendant près d’une décennie les sessions d’ouverture du grand salon de la cybersécurité française.

A lire aussi : Besoins légitimes, juste utilisation des ressources… qu’est-ce qu’un numérique qui a du sens, pour le Cigref ?

Fidèle à la nature de l’exercice, Vincent Strubel a tenu à saluer « l’équipe France » de l’écosystème, réunie au Grand Palais et a reconnu qu’il s’inscrirait bien dans le sillon « tracé par un certain Guillaume, qui se reconnaîtra ! ». Il a plus sérieusement mis en garde sur le fait que la menace cyber ne se contentait pas seulement de grandir : elle s’étend également à des acteurs qui, par le passé, étaient moins concernés. « Des attaques qui réussissent sur des petits acteurs de notre économie, cela a des conséquences imprévues, y compris auprès de plus grands, dont ils sont les prestataires » a résumé le nouveau directeur. Le contexte global, qui mélange les velléités de « plantigrades ursidés » (une référence originale aux campagnes de cyberattaques russes) et les nouveaux « industriels du crime » cyber, peut aussi faire craindre que « toutes les types d’attaque se passe un jour en même temps », avec des conséquences dramatiques.

« L’exemple ukrainien montre que cela peut arriver, mais aussi, heureusement, qu’il est possible de se défendre efficacement » a illustré Vincent Strubel. Et ce n’est pas Yegor Aushev, entrepreneur ukrainien de la cyber et l’un des fondateurs de la « Cyber Army » de volontaires qui s’est créée suite à l’invasion russe, qui dira le contraire.

« Avant, dans mon pays, on s’attendait à des cyber-attaques sur les secteurs de la finance et de l’énergie par exemple. La réalité, c’est que le jour venu, ils ont décuplé les attaques partout, sur tous les secteurs, juste avant ou pendant les combats. Les attaquants cyber précèdent et suivent les attaques « cinétiques » de leur armée et vise maintenant en particulier les collectivités et les autorités locales, qui représentent 40% des attaques » a-t-il témoigné, en précisant qu’en cas de cyber-guerre, tout le monde se retrouve rapidement concerné. Et qu’il n’y a pas d’attentes « éthiques » à avoir sur le comportement des hackers, qui peuvent s’en prendre de façon indiscriminée aux individus, aux hôpitaux, etc.

Tous les clouds se valent-ils ?

Le contexte géopolitique exacerbe une autre réalité : la cloudification croissante de notre économie. Cette transformation des systèmes d’information des organisations s’accompagne souvent d’une croyance dangereuse : que le cloud résout les préoccupations de sécurité, en étant « clé en main » et par nature mieux protégé que les systèmes d’information historique. « Le cloud apporte beaucoup mais ne fait pas tout » a donc tenu à rappeler Vincent Strubel. L’Anssi estime d’ailleurs que « tous les clouds ne se valent pas » et qu’il est important aujourd’hui de les différencier autrement que par le seul critère des parts de marché des providers. Ce message renvoie, au-delà des critères techniques, au poids du droit extra-européen (et extraterritorial) qui s’applique aux fournisseurs américains et qui les contraints le cas échéant à transmettre les données de leurs clients, même quand ces données sont européennes et hébergées en Europe, à la justice de leur pays (Cloud Act) ou même aux services de renseignements (FISA).

« Nous ne sommes pas d’accord avec ceux qui pensent qu’il n’y a pas de problème en la matière, même s’ils sont nombreux » a poursuivi le directeur de l’Anssi. « Il ne s’agit pas seulement d’une question de souveraineté de l’Etat : il est suicidaire pour un dirigeant d’entreprise de ne pas se préoccuper du patrimoine informationnel de son entreprise de la sorte ». Et d’enfoncer le clou : « Nous ne sommes pas d’accord non plus avec ceux qui disent qu’il n’y a pas de solutions alternatives ou qu’il faudrait tout refaire à zéro. Aujourd’hui, les solutions existent ».

En la matière, le directeur de l’Anssi a évidemment mis en avant le travail réalisé par son agence sur la qualification SecNumCloud : « C’est dur, c’est exigeant, nous en avons conscience. Mais si nous avons mis la barre aussi haut, ce n’est pas par sadisme, c’est parce que l’on veut accompagner la montée en puissance des solutions ». Les critères SecNumCloud sont d’ailleurs ces derniers mois au cœur des discussions concernant l’harmonisation des certifications cloud européennes autour d’un seul schéma, EUCS, qui pourrait inclure une « clause d’immunité » au droit extra-européen.

Mais au-delà de cet enjeu de confiance global, l’Anssi appelle aussi à lutter contre l’idée que le cloud permet aux entreprises « de se dispenser de réfléchir aux fondamentaux que sont la sauvegarde, les paramétrages de sécurité ou encore l’analyse des risques ».

En effet, d’ici 2025, Gartner estime que 99% des incidents de sécurité dans le cloud seront dus à une mauvaise utilisation par les clients des fonctionnalités offertes par les solutions et les providers. Le « partage de responsabilité », entre les clients et leurs fournisseurs, propre aux modèles cloud, est encore très mal connu et mal maîtrisé dans les organisations.

Difficulté de configuration et méconnaissance des responsabilités

Pour Adeline Villette, directrice du bureau de conseil cyber auprès des équipes digitales de Decathlon : « Le cloud peut rendre votre vie plus facile, mais cela ne veut pas dire que vous n’avez plus rien à faire ». D’autant plus que le cloud met « tout à l’échelle », y compris les problèmes de sécurité.

Un commentaire renforcé par l’expérience de Yegor Aushev : « En Ukraine, nous avons évidemment eu intérêt à mettre nos données dans le cloud pour les sauver. Mais une faiblesse persiste : ce sont la disponibilité et la compétence des personnes qui savent bien utiliser ces services et surtout les configurer… ».

« Le plus gros problème est clairement dans la configuration. Il faut des objectifs et un accompagnement précis, car on peut amener dans le cloud ses anciens problèmes de sécurité en plus de s’en générer de nouveaux » confirme Adeline Villette. La spécialiste appelle donc les entreprises à se responsabiliser et à aller au-delà de la question du « choix du provider cloud » qui n’est qu’une petite part de l’équation. Elle souligne l’importance de rentrer dans le détail de tous les contrats cloud, mais aussi de se montrer plus exigeants sur la transparence des fournisseurs de c. Une volonté qui devra parfois passer par une mutualisation des demandes, quand un client est de trop petite taille pour peser sur les choix des hyperscalers notamment. « La sécurité dans le cloud augmentera quand les clients augmenteront le niveau de leurs demandes » résume Yegor Aushev.

Un autre facteur est à prendre en compte pour améliorer cette prise de responsabilité des organisations sur leur sécurité et leur destin cloud : la formation. « L’entrainement permanent est la clé » insistent les experts, qui soulignent que cela concerne les sujets les plus techniques portés par les profils IT, autant que la compréhension des risques et de la nature du cloud pour les profils métiers et les dirigeants. La formation continue revêt donc une importance toute particulière alors que d’une année à l’autre, les technologies cloud évoluent à toute vitesse. Et pour sensibiliser les équipes, intégrer des jeunes qui viennent de se former et les mélanger avec des profils plus seniors et experts dans la gestion de la dette technique, pourrait bien être le moyen le plus rapide pour mieux sécuriser des systèmes devenus profondément hybrides.