La sécurité du cloud doit encore progresser
La sécurité et la confidentialité restent un frein important au développement du Cloud, selon les experts intervenant lors de la conférence Trust in the Digital World, qui vient de se dérouler à Madrid.
La sécurité et la confidentialité restent un frein important au développement du Cloud, selon les experts intervenant lors de la conférence Trust in the Digital World, qui vient de se dérouler à Madrid.
Le Cloud est globalement sûr, s’accordaient ainsi plusieurs experts participant à une table ronde. Mais il reste des manques et, surtout, la sécurité à 100 % n’existe pas, a souligné Raul Granadino, responsable du programme d’excellence en cybersécurité de l’institut espagnol de cybersécurité, l’Incibe.
« Le Cloud Computing est suffisamment sûre pour ce pour quoi il est utilisé aujourd’hui, comme l’e-commerce. Mais il faudra beaucoup plus de travail pour les applications et les infrastructures critiques », estime Steve Purser, directeur opérationnel de l’Enisa, l’agence européenne de sécurité de l’information et des réseaux. Pour lui, « le cloud pour infrastructures critiques est un tout autre domaine et l’industrie va devoir fournir un travail considérable pour que cela puisse survenir ».
Mais si l’Enisa estime que les fournisseurs de services Cloud vont devoir résoudre certains risques liés au Cloud, mais Steve Purser souligne que tous ne relève pas de la sécurité et de la confidentialité : « La disponibilité est clé pour les applications et infrastructures critiques. Pourtant, elle n’est pas encore suffisamment prise en considération comme frein à l’adoption du Cloud ». Et de souligner que le Cloud n’est qu’un élément et que « les opérateurs d’infrastructures critiques devraient s’intéresser à un ensemble complet de composants, en termes de disponibilité, en intégrant des choses telles que les alimentations électriques ».
Dans une perspective de sécurité, l’Enisa estime que le chiffrement et la gestion des clés sont des défis clés pour l’utilisation du Cloud pour des applications et infrastructures critiques.
« Des contrôles crytographiques forts sont nécessaires dans le Cloud, mais la gestion des clés reste là très difficile à réaliser, et plus de recherches sont nécessaires pour trouver un moyen d’avance », a ainsi estimé Purser.
Pour David Barroso, directeur technique de Telefonica, « une plus grande transparence est nécessaire, notamment pour des choses telles que les processus de réponse aux incidents, la gestion des logs et les audits de sécurité ».
Mais tous les participants à la table ronde se sont accordés pour constater que tous les clients de services Cloud n’ont pas les moyens d’évaluer effectivement les pratiques et les approches de leurs fournisseurs. Le sujet n’est pas nouveau, et fait l’objet de travaux au sein de la Cloud Security Alliance (CSA) depuis de nombreuses années.
Certifier la sécurité du Cloud
Mais l’Enisa propose de présenter un schéma de certification. Pour l’agence, la certification de conformité à un certain nombre de critères déterminés pour l’Europe va aller de pair avec la création de la confiance.
Ainsi, pour Steve Purser, « la certification complète de fournisseurs de services Cloud, intégrant des impératifs légaux et de niveau de service, simplifieront la tâche des entreprises de toutes tailles quant aux choix de leurs fournisseurs ».
La prochaine directive sur la sécurité de l’information et des réseaux (NIS) devrait aider à établir un minimum requis de sécurité pour les fournisseurs Cloud : « la directive NIS aidera l’ensemble de l’écosystème du Cloud et offrira aux fournisseurs une chance d’aider les entreprises dont la stratégie de IT est moins mature, typiquement les PME », a ainsi estimé Granadino, qui co-préside l’un des groupes de travail relatifs à la directive NIS.
Défendant l’idée d’une réglementation à minima, Purser estime que la future directive est très abstraite et laisse de nombreuses opportunités à l’Enisa de travailler avec le secteur privé pour trouver les meilleures façons de la mettre en œuvre.
Reste que Steve Purser s’inquiète de la propension des entreprises à se sentir trop confiantes et à en négliger les questions de sécurité et confidentialité, se concentrant plutôt sur les fonctionnalités et les économies. Toutefois, Barroso assure observer un changement, avec des entreprises qui intègrent de plus en plus des questions de sécurité dans leurs cahiers des charges.
Adapté de l’anglais par la rédaction.