Une semaine à peine après l'annonce par la Commission européenne de ses projets de nouvelle directive en matière de sécurité des réseaux et de l'information, l'Enisa publié un rapport sur la protection des infrastructures critiques. Au regard de la nouvelle proposition de loi, l'agence pourrait jouer un rôle clé en aidant les États membres de l'Union européenne à partager leurs informations sur les failles de sécurité.
Selon l'agence, le cloud est clairement un domaine très préoccupant, parce qu'il concentre les utilisateurs et les données et qu'il est utilisé dans des secteurs cruciaux comme la finance, la santé, l'énergie et les transports. « Dans quelques années, la plupart des entreprises dépendront du cloud computing. Les gros services cloud géreront des dizaines de millions d'utilisateurs finaux. Qu'adviendra-t-il si l'un de ces services tombe en panne, ou s'il est piraté ? », s'interroge le rapport, qui affirme par ailleurs que les services cloud vont eux-mêmes devenir une infrastructure critique.
Plus de transparence dans le cloudÂ
De son côté, le directeur exécutif de l'ENISA, Udo Helmbrecht, s'est félicité de voir la déclaration obligatoire des violations inscrite dans la nouvelle directive, en particulier pour les services cloud. Selon lui, l'opposition des entreprises, qui se plaignent d'une charge supplémentaire excessive, n'est pas recevable. « Les entreprises se plaignent toujours», a-t-il déclaré. Udo Helmbrecht estime au contraire que le partage d'information sur les violations est essentiel pour protéger les services cloud critiques.
Le rapport appelle également à une plus grande transparence en matière de dépendances logiques et physiques, par exemple, savoir de quels services cloud dépendent tels opérateurs ou tels services critiques. L'ENISA demande aussi aux gouvernements d'inclure les services cloud dans leurs grandes évaluations des risques au niveau national et d'effectuer un suivi des dépendances par rapport au cloud.
Cependant, le rapport reconnait certains avantages à la croissance du cloud dans l'industrie IT : le cloud computing peut être facteur de « résilience dans les catastrophes naturelles et les attaques par déni de service », indique-t-il. Dans les prochains mois, l'agence prévoit de faire travailler des experts sur la protection des infrastructures critiques (CIIP - Critical Information Infrastructure Protection) et sur la sécurité des clouds gouvernementaux.
Â