Le cloud pour renforcer la cybersécurité
Décrié, le cloud n’en reste pas moins un vecteur de première importance pour la cybersécurité. Rohde & Schwarz Cybersecurity le démontre, produits à l’appui.
«On ne peut plus sécuriser un système d’information moderne sans cloud. Il est à la base du nouveau paradigme de la cyber sécurité, basé sur les capacités de déploiement et de calcul du cloud, ainsi que sur des aspects très innovants tels que la combinaison du big data et de l’AI», annonce tout de go Bruno Quint, Director Cloud Encryption, Rohde & Schwarz Cybersecurity, à l’occasion du deuxième événement Eat & Learn de Cyber Security Management, mardi 27 novembre à l’Atomium.
S’il est un enseignement à tirer des cyber-attaques récentes, c’est bien que le cloud propose des performances intéressantes en matière de sécurisation des données. Comment ne pas faire de lien direct entre l’adoption croissante du cloud et les garanties qu’offre cette technologie de se protéger des risques d’intrusion et de piratage de données ? Pour Bruno Quint, «la question n’est plus ‘pourquoi le cloud’, mais plutôt ‘pourquoi la cyber-sécurité passe aussi par le cloud’ ?»
Les frontières ont bougé, c’est sûr. Tout particulièrement dans le contexte des réglementations relatives à la protection des données telles que le GDPR, la sécurité des données est pertinente et de la plus haute importance pour les personnes comme pour les organisations. Les infractions relatives aux données sont condamnables par de lourdes amendes, ce qui augmente l’importance de se protéger autant que possible contre les menaces de sécurité. La première est la protection des données en mouvement, par exemple la diffusion de données qui circulent à travers un réseau, pouvant être WAN ou LAN. «Par le passé, rappelle Bruno Quint, les responsables IT portaient plus d’attention aux données en mouvement lorsqu’elles correspondaient à des mesures de sécurité appropriées. Cependant, il est également important de protéger les données stockées, par exemple les données qui sont sur site dans vos systèmes de stockage, mais également dans les systèmes de stockage externes comme sur le cloud…»
Avec le cloud, la notion de protection des données s’est sensiblement étendue : cryptage des données, masquage des données, effacement des données, sauvegarde des données… Cependant, d’autres pratiques devront compléter ces méthodes. Cela implique des stratégies de sécurité qui incluent des processus stricts tels que des politiques de mots de passe, la gestion des identités et des accès (IAM), ainsi que la prévention des pertes de données.
Et Bruno Quint de présenter différentes solutions de sécurité, dont R&S Trusted Gate qui protège les données d’entreprise dans le cloud en chiffrant et déchiffrant de manière transparente les documents pour les applications d’entreprise les plus utilisées. Ainsi, R&S TrustedGate Solution for Office 365, un ensemble de technologies de sécurité innovantes, permettant de travailler sur les applications Office avec une flexibilité accrue et en conformité avec les exigences relatives à la protection des données. Avec cette solution, l’utilisateur détermine sur quels serveurs ou fournisseurs de cloud ses données d’origine ou fragments (chunks) sont stockés. Cela signifie que les documents dans Office 365 peuvent être partagés dans le cloud public, tandis que leurs fragments se trouvent sur leurs propres serveurs ou chez des fournisseurs nationaux…
Cloud et cyber-sécurité, le Yin et le Yang de la transformation digitale
Le cloud et la cyber-sécurité sont des concepts clés de la transformation numérique, mais qui, par ailleurs, sont souvent opposés…
Si le cloud est devenu l’infrastructure clé de la transformation digitale, il est aussi vecteur de vulnérabilités. Aujourd’hui, 40% de l’infrastructure informatique de nos entreprises se trouvent dans le cloud… même si l’appellation est générique, incluant un certain nombre de systèmes d’informations simplement centralisés dans des data centers. Il n’empêche. Cet ordre de grandeur montre clairement la forte pénétration du cloud.
Selon une étude de Rohde & Schwarz Cybersecurity, les atteintes aux données constituent les principales menaces liées au cloud pour plus de neuf entreprises sur dix. De même, pour 63% des répondants, le cloud public est considéré comme la principale vulnérabilité. Ces résultats sont confirmés par l’importance accordée à la nationalité et la localisation du fournisseur de services cloud externalisés. En effet, seules 12% des entreprises interrogées choisissent leurs solutions de cloud externalisées indépendamment de toute considération de nationalité ou de localisation.
Si le cloud public -en particulier depuis la promulgation du Cloud Act américain- est vu comme une vulnérabilité, les autres modes cloud (cloud privé interne, cloud privé externalisé, Security-as-a-Service, etc.) sont bien mieux perçus. Pour 65% des répondants, passer au cloud permet ainsi de renforcer sa sécurité. Le cloud est déjà largement utilisé en cyber sécurité et seule une entreprise sur dix considère ces solutions non viables. L’innovation constitue le principal point fort des solutions de sécurité cloud puisqu’une entreprise sur deux choisit ces solutions pour accéder aux technologies les plus avancées.