« Le cloud c'est comme le mariage. Avec le mariage on traite des problèmes que l'on avait pas avant d'être deux, avec le cloud on traite des problèmes que l'on avait pas en on premise », a lancé - non sans malice - Alain Bouillé, vice-président du club des experts de la sécurité de l'information (Cesin) qui a participé à Paris ce 5 septembre à l'événement CISO Interchange. « La transformation numérique est plus qu'en marche dans les entreprises et le maitre mot c'est agilité avec le recours à du cloud plus ou moins public, plus ou moins hybride : et la sécurité dans tout ça ? ». Pour répondre à cette interrogation, plusieurs échanges ont eu lieu à l'occasion d'une table ronde mais aussi d'un atelier ayant permis de croiser des avis parfois tranchés.
Enjeu de mise en conformité, problème de ségrégation et d'isolation des données, perte de données, usurpation d'identités, cybermalveillance, dépendance technologique, perte de maitrise du service... Les risques et préoccupations des RSSI sont nombreux lorsqu'ils sont confrontés - ou contraints par les métiers voire directement leur direction générale - à mettre en cloud de tout ou partie de leur patrimoine SI (applicatif, données, infrastructures, plateforme de développement...) de leur entreprise. Et ce, alors même que certaines - grandes - entreprises commencent à se poser la question de revenir en arrière en rebasculant leur infrastructure en on-premise. « C'est le cas pour un groupe du CAC 40 », a lancé Alain Bouillé, sans citer toutefois de nom. « Le cloud, certains collègues y vont pour faire baisser les coûts à un instant t mais c'est une vision purement carriériste et une façon de dire qu'il font un bon boulot auprès de la direction générale qui n'y comprend rien. Ils savent très bien qu'au fond le coût sur 10 ans sera bien plus élevé qu'en on premise mais ils seront partis bien avant », nous a soufflé un RSSI d'un établissement bancaire en marge de l'événement.
Les Mousquetaires pas prêt de céder aux sirènes de l'IAM cloud
« Nous sommes en pleine refonte de notre IAM. J'ai écouté le son des sirènes pour retrouver sur le cloud les services que l'on retrouve en on premise, comme les mécanismes d'habilitation et de recertification, mais je ne les ai pas trouvé dans le cloud », a lancé Fabrice Bru, directeur SSI du Groupement Les Mousquetaires. De toutes les directions de l'entreprises, celle en charge de la stratégie et des opérations de sécurité apparait sans doute la plus frileuse à aller vers le cloud. Si cela ne date pas d'hier, il semble qu'aujourd'hui elle tente de peser de tout son poids pour inciter les métiers, la DSI et la DG à faire preuve de prudence. « On a de plus en plus de difficulté avec les fournisseurs cloud sur les phases de démarrage, de réalisation et de réversibilité », a expliqué Fabrice Bru. « On a plus en plus de mal à imposer nos questionnaires sécurité aux fournisseurs qui imposent par exemple leurs propres exigences contractuelles d'audit ».
Concernant la localisation des données et les enjeux de souveraineté, l'heure du cloud souverain a-t-il sonné ? Rien n'est moins sûr : « La localisation des données, rien à cirer ! », s'est exclamé un RSSI d'un organisme public à l'occasion d'un atelier en mode « Chattam house ». « Le problème de l'accès à la donnée est plus primordiale que l'endroit où elle se situe. Il faut garder les données personnelles à l'extérieur et garder en interne une clé de sécurité souveraine ».
L'externalisation du SOC bienvenue parmi les RSSI
Parmi les autres choix structurants d'un RSSI, celui d'internaliser ou d'externaliser son centre de sécurité opérationnel (SOC) arrive à n'en pas douter en haut de liste. Comme il est loin d'être anodin, parfois les entreprises optent pour un modèle hybride : « Nous avons fait le choix d'avoir le support niveau 1 sur un SOC externalisé mais de garder en interne les niveaux 2 et 3 », a indiqué Eric Doyen, directeur sécurité opérationnelle du SI chez Malakoff Médéric Humanis. D'autres groupes au contraire mise sur l'externalisation pour servir à accélérer le business, comme c'est le cas pour le Groupement Les Mousquetaires : « Nous avons fait le choix d'externaliser sur le SOC un ensemble de services autour de la threat intelligence, du vulnerability management et de la veille technologique afin d'améliorer notre time to market », a poursuivi Fabrice Bru.