Alors que la Directive Européenne 95/46/CE est en cours de refonte depuis des mois, seul le versant privacy (vie privée et données personnelles) a eu le droit récemment aux feux de la rampe à travers la polémique Facebook. Même si elle est d'une grande importance, l'essentiel de cette directive porte peut-être ailleurs.
C'est l'objet d'un récent article du blog ami et transalpin de Paolo Passeri. Cet article souligne que si 2011 confirme l'émergence des problématiques de Sécurité liées au Cloud, 2012 devrait voir s'amplifier le phénomène en terme d'attaques mais pas seulement.
On peut, de manière schématique, rappeler le trio d'acteurs dont l'intérêt et parfois les objectifs peuvent être contradictoires (business donc $/€) :
- les opérateurs de services dont l'intérêt principal est d'attirer le plus d'entreprises désireuses d'externaliser une partie de leur DSI (serveurs, applications bureautiques et métier mais aussi voire surtout services afférents : Haute-disponibilité, support technique et supervision H24 - 7/7);
- "l'entreprise" (car reflétant des aspects bien divers en terme de taille, de CA, d'implantation, etc.) pour laquelle de vraies économies (coûts de possession, gestion de l'obsolescence, etc.) sur l'outil de production informatique sont attendues;
- le législateur qui se doit de déterminer qui du fournisseur de service ou du client est responsable en cas d'intrusion informatique avérée via les moyens de l'un pour passer vers l'autre (et vice et versa) ! De l'oeuf ou de la poule, l'Union européenne semble s'être rangée à une certaine sagesse en ne retenant qu'un responsable : le fournisseur de service. Qui, en conséquence, doit s'engager à fournir un service entièrement sûr et sécurisé. Vaste sujet qui devrait amener une multiplication des affaires et autres incidents dans les mois qui viennent.
Pour cette dernière assertion recensons l'intérêt majeur d'utiliser le Cloud pour une cyber-attaque :
- Une allocation dynamique des ressources compliquant au possible la détection préventive ou, si l'attaque a réussi, le forensique;
- Des faiblesses d'infrastructures et/ou organisationnelles parfois incroyables comme dans l'incident EC2 (Cloud d'Amazon) au 1er semestre 2011;
- Des vulnérabilités logicielles et/ou de conception bien réelles et donc, pour le moment, exploitables (même si peu exploitées - Lire quand même la fin de l'article de Paolo);
- Enfin, une réglementation encore disparate dont la Directive européenne 95/46/CE devrait permettre d'apporter le niveau de confiance suffisant que les (futurs) clients sont en droit d'attendre (et que Verizon, acteur majeur du Cloud poussait fortement depuis des mois).
L'année 2012 sera donc l'année du plein succès ou du relatif échec de la migration de nombre d'entreprises vers le cloud. La problématique Sécurité tant du point de vue technique qu'organisationnel et, évidemment, juridique devra être le fil conducteur au même niveau que la rentabilité attendue ou de l'avantage concurrentiel souhaité. Sous peine de contribuer à de graves désillusions et à l'adoption bien trop tardive d'un service générateur de croissance du PIB dans une période aussi cruciale où celui-ci en a bien besoin.
C'est l'objet d'un récent article du blog ami et transalpin de Paolo Passeri. Cet article souligne que si 2011 confirme l'émergence des problématiques de Sécurité liées au Cloud, 2012 devrait voir s'amplifier le phénomène en terme d'attaques mais pas seulement.
On peut, de manière schématique, rappeler le trio d'acteurs dont l'intérêt et parfois les objectifs peuvent être contradictoires (business donc $/€) :
- les opérateurs de services dont l'intérêt principal est d'attirer le plus d'entreprises désireuses d'externaliser une partie de leur DSI (serveurs, applications bureautiques et métier mais aussi voire surtout services afférents : Haute-disponibilité, support technique et supervision H24 - 7/7);
- "l'entreprise" (car reflétant des aspects bien divers en terme de taille, de CA, d'implantation, etc.) pour laquelle de vraies économies (coûts de possession, gestion de l'obsolescence, etc.) sur l'outil de production informatique sont attendues;
- le législateur qui se doit de déterminer qui du fournisseur de service ou du client est responsable en cas d'intrusion informatique avérée via les moyens de l'un pour passer vers l'autre (et vice et versa) ! De l'oeuf ou de la poule, l'Union européenne semble s'être rangée à une certaine sagesse en ne retenant qu'un responsable : le fournisseur de service. Qui, en conséquence, doit s'engager à fournir un service entièrement sûr et sécurisé. Vaste sujet qui devrait amener une multiplication des affaires et autres incidents dans les mois qui viennent.
Pour cette dernière assertion recensons l'intérêt majeur d'utiliser le Cloud pour une cyber-attaque :
- Une allocation dynamique des ressources compliquant au possible la détection préventive ou, si l'attaque a réussi, le forensique;
- Des faiblesses d'infrastructures et/ou organisationnelles parfois incroyables comme dans l'incident EC2 (Cloud d'Amazon) au 1er semestre 2011;
- Des vulnérabilités logicielles et/ou de conception bien réelles et donc, pour le moment, exploitables (même si peu exploitées - Lire quand même la fin de l'article de Paolo);
- Enfin, une réglementation encore disparate dont la Directive européenne 95/46/CE devrait permettre d'apporter le niveau de confiance suffisant que les (futurs) clients sont en droit d'attendre (et que Verizon, acteur majeur du Cloud poussait fortement depuis des mois).
L'année 2012 sera donc l'année du plein succès ou du relatif échec de la migration de nombre d'entreprises vers le cloud. La problématique Sécurité tant du point de vue technique qu'organisationnel et, évidemment, juridique devra être le fil conducteur au même niveau que la rentabilité attendue ou de l'avantage concurrentiel souhaité. Sous peine de contribuer à de graves désillusions et à l'adoption bien trop tardive d'un service générateur de croissance du PIB dans une période aussi cruciale où celui-ci en a bien besoin.
Aucun commentaire:
Enregistrer un commentaire