Sécurité du cloud : dix ans après le lancement de la CSA, les chantiers restent énormes
La Cloud Security Alliance a dix ans. Elle tenait la semaine dernière son congrès européen à Berlin. L’occasion de dresser un état des lieux avec Jim Reavis, son directeur général.
Fin avril 2009, en marge de la RSA Conference, se lançait la Cloud Security Alliance (CSA). Poussé alors par trois acteurs spécialisés dans les offres en ligne – PGP Corp, Qualys et Zscaler – le groupement s’était donné pour objectif de proposer les meilleures pratiques en matière de sécurité dans le cloud, et d’éduquer les utilisateurs sur la manière de décliner ces pratiques sur d’autres types d’infrastructures.
La semaine dernière, à Berlin, son siège européen et son centre d’excellence RGPD, la CSA tenait congrès. Et pour Jim Reavis, son directeur général, l’alliance a encore bien du travail. Pour lui, elle s’inscrit dans une communauté de la sécurité qui « constitue cette mince ligne qui protège les sociétés, les gouvernements et les entreprises des pirates, des cybercriminels », mais également des attaquants soutenus par des États-nations. Et l’enjeu apparaît d’autant plus important que « l’explosion des menaces que l’on observe va se poursuivre ». Pour lui, la tâche a changé d’échelle de manière considérable, et le défi est énorme. Face à cela, l’automatisation est une tentation naturelle, et une nécessité : « je crois fortement que nous en avons besoin. Mais j’ai des inquiétudes ». Le patron de la CSA craint en effet le risque de « spirale décroissante » dans les compétences.
Eduquer, encore et encore
Jim Reavis porte un regard positif sur le RGPD, y voyant l’œuvre de gouvernements « qui essaient de faire les choses bien ». Mais il avertit les entreprises : « si cela ne se traduit pas par des changements en profondeur dans notre rapport à la technologie, nous allons connaître des jours difficiles ». Et justement, ce recours à l'automatisation n’a de cesse de s’étendre, de progresser.
Dans ce contexte, « la cybersécurité est devenue affaire de sécurité nationale ». Et « les frontières sont bien là ». Pour Jim Reavis, c’est une réalité qu’il est impossible d’ignorer, mais il n’en faut pas moins « lutter contre les tentations isolationnistes et en faveur de la coopération internationale ».
En dix ans, le paysage de la menace a bien changé, les questions relatives au cloud et à sa sécurité aussi, mais il n’en reste pas moins beaucoup de travail à faire en pédagogie, notamment autour du modèle de responsabilité partagée, et tout particulièrement dans le cadre du RGPD : « les choses n’ont pas cessé de gagner en complexité », estime Jim Reavis dans un échange avec la rédaction. « On parle du modèle en 10 couches, mais lorsque l’on regarde un écosystème tel qu’AWS ou Microsoft Azure, on trouve des éditeurs SaaS qui en sont locataires, et dont les applications peuvent être construites sur tout un éventail de technologies en mode service et d’API. Ce qui est utilisé en définitive par le client peut être une combinaison de beaucoup de choses et d’entreprises ».
Dès lors, pour lui, « le modèle de responsabilité partagée est en fait bien plus granulaire que seulement contrôleur/processeur de données ; il y a souvent bien plus de processeurs de données qu’il n’y paraît, et parfois aussi de contrôleurs de données ». Du coup, oui, pour Jim Reavis, il reste beaucoup à faire en éducation. Et cela vaut aussi pour les utilisateurs finaux. Et justement, « je ne m’inquiète pas vraiment pour les opérateurs d’IaaS et la sécurité de leurs environnements. Ils ont appris à bien faire les choses ». Ce qui préoccupe Jim Reavis, ce sont plutôt les pratiques de ceux qui utilisent ces services, et notamment les défauts de configuration.