Les petits se mettent à l’abri des grands. En matière de cybersécurité, les entreprises pensent souvent que recourir à un géant du cloud les préserve des assauts des pirates. C’est pour démythifier le cloud que le Forum International de la Cybersécurité en a fait le cœur de sa nouvelle édition, qui se tient à Lille du 5 au 7 avril 2023. Guillaume Tissier, son directeur, a expliqué à Intelekto pourquoi les enjeux de sécurité et de confiance sont cruciaux pour que le cloud tienne toutes ses promesses.
Pourquoi avoir choisi le thème du cloud pour cette édition du Forum International de la Cybersécurité (FIC) ?
Guillaume Tissier : La révolution cloud se développe. Les sujets de la sécurité et de la confiance en matière de cloud computing sont clés. Souvent, la décision de basculer dans le cloud est justifiée par des raisons fonctionnelles, économiques et financières: l’énergie informatique est scalable, disponible à des coûts raisonnables. Normalement, cette transition s’effectue en toute sécurité. Les utilisateurs pensent qu’une fois dans le cloud, ils supprimeront les problèmes qu’ils rencontrent lorsqu’ils ont les données chez eux. Cette vérité toute faite nous gênait.
Le cloud est une révolution formidable mais ce n’est pas un choix anodin. Nous souhaitons donc mettre l’accent sur un certain nombres de risques, aider nos partenaires à se poser les bonnes questions, à l’aune de critères financiers et extra-financiers plus long-termistes. La souveraineté au sein des entreprises s’incarne dans nos territoires. Elles ne peuvent pas faire l’abstraction de cette réflexion.
Travailler avec un Gafam, c’est une solution de facilité en matière de sécurité ?
G.T. : En théorie, le cloud présente un avantage puisqu’il permet de mutualiser les outils et les compétences, rares en cybersécurité. Les entreprises qui font le choix d’une solution tout intégrée chez un gros opérateur s’attendent à ce qu’il ait plus de moyens pour garantir une sécurité de bon niveau. Qu’avec cette mutualisation, son niveau de compétences sera supérieur. Dans la pratique, le cloud concentre les données et fait de ces opérateurs des cibles plus attractives pour des attaques par rebond. La surface d’exposition au risque est d’autant plus importante que chaque métier recourt à un acteur différent, pour des micro services. Les chiffres montrent que les entreprises qui ont fait le choix du cloud connaissent des violations de données : 53% des organisations ont subi au moins une attaque sur leur infrastructure cloud au cours des 12 derniers mois. Le cloud ne fait pas des miracles en termes de sécurité.
Les entreprises sont-elles vraiment prêtes à passer au cloud ?
G.T. : Le cloud présente de la complexité pour les entreprises. Les éditeurs de sécurité proposent des services de sécurité sur étagère, qu’il faut arriver à paramétrer et configurer. Les responsables sécurité se rendent compte que, finalement, la sécurité dans le cloud est complexe parce qu’ils ont affaire à des architectures multi cloud, des cloud hybrides avec beaucoup de public. Les données sont exposées, il est difficile de savoir où elles se trouvent exactement et de leur appliquer une gouvernance unifiée. Ils doivent donc jongler avec une multiplicité de solutions à configurer et ne disposent pas forcément des compétences pour le faire.
Comment convaincre les entreprises de dépasser le réflexe de recourir à un prestataire de taille importante, souvent étranger ?
G.T. : Les responsables sécurité sont bien au fait de ces problématiques de sécurité et de souveraineté. Le vrai sujet, c’est d’évangéliser en-dehors de leur périmètre au sein des organisations. Le Covid et les tensions internationales ont obligé les entreprises à se questionner sur leur dépendance excessive à des prestataires étrangers. Mais il existe un énorme terrain de jeu en matière de sensibilisation au niveau des TPE-PME, des ETI et des collectivités. Ces dernières doivent aussi faire leur choix de prestataire selon des critères politiques. Une collectivité qui choisit un Gafam aura de vraies difficultés à justifier ce choix au niveau politique. Aujourd’hui, les données doivent être traitées et valorisées pas loin de chez soi. Cela pose des limites dans un monde global mais c’est compréhensible. C’est aussi cette politisation du débat qui l’a fait évoluer.
La programmation du FIC fait d’ailleurs la part belle à la notion de souveraineté. Quel message cela envoie t-il à l’écosystème européen ?
G.T. : La souveraineté est un terme galvaudé. Il existe une domination très nette des États-Unis sur le cloud public : environ 70% des données européennes sont hébergées sur des plateformes américaines. Ce serait présomptueux de dire qu’il ne faut pas y recourir ! La décision de passer dans le cloud est un enjeu majeur de transformation numérique. L’Europe ne peut pas rester passive et doit réagir pour disposer de solutions demain. Ces solutions dépendent de l’analyse des risques qui pèsent sur les données. Parle t-on d’activités qui ne supposent pas un très haut niveau de responsabilité ? Ou de données qu’on pourrait appeler des bijoux de famille, qui doivent faire l’objet d’une sécurisation renforcée ? Il est possible de différencier la sécurité technique de la souveraineté. Ce sont d’ailleurs les stratégies hybrides qui l’emportent aujourd’hui. L’hybridation se fait à partir des offres dites « de confiance » qui ont émergé.
De confiance… mais pas souveraines ?
G.T. : Il existe en effet un débat sur la notion d’offres « de confiance », plutôt que « souveraines ». Certains critiquent ce passage d’une acceptation à l’autre : ils estiment que si une offre n’est pas souveraine, il n’est pas possible qu’elle soit de confiance. Des offres ont été créées par des industriels français, avec des prestataires américains. Elles reposent sur des accords de licence pour proposer ces offres « de confiance » au sein de filiales françaises. Cela protège t-il ces offres ou non ? Un accord de licence se révoque au gré des tensions internationales. Et les industriels seraient alors dans l’impossibilité de poursuivre leurs prestations, avec des conséquences pour leurs clients. La question n’est pas anodine : c’est exactement ce qu’il s’est passé pour les filiales russes de groupes français qui utilisaient des services américains [et ont indirectement été touchées par les sanctions après l’invasion russe de l’Ukraine, NDLR]…
Cloud étranger contre cloud souverain, géants du cloud contre nouveaux acteurs : est-ce aussi schématique ?
G.T. : Pour les entreprises, faire le choix du cloud, c’est choisir un partenaire extérieur qui va héberger leurs données, leurs process et quasiment tout ce qui fait fonctionner les métiers. C’est une relation d’extrême dépendance. Cette confiance se traduit par la signature d’un contrat. Et c’est là que le bât blesse. Le rapport de force est asymétrique, avec des contrats tout faits que sont les conditions générales d’utilisation, sur lesquelles les clients n’ont pas la main, sans que ne soient toujours garanties la transférabilité et l’interopérabilité des données pour éviter ce que les RSSI appellent le « lock-in » [impossibilité contractuelle ou opérationnelle de changer de fournisseur, NDLR]. Au niveau des États, le droit applicable aux données n’est pas uniquement lié au territoire mais à la nationalité et au contrôle effectif de l’entreprise dans laquelle un client place ses données. Mais l’Europe actionne progressivement tous les leviers pour regagner en puissance : politique commerciale, régulation juridique, investissement.
Biographie
Diplômé en relations internationales, Guillaume Tissier a d’abord été journaliste spécialisé dans les affaires économiques et juridiques, puis consultant chez Datops, une société éditrice de solutions de datamining. Il a rejoint l’entreprise CEIS lors de sa création en 1997 pour y développer les activités d’intelligence économique et de management des risques. Depuis 2013, il dirige le Forum International de la Cybersécurité (FIC), co-organisé par CEIS et la Gendarmerie nationale. Président de CEIS depuis 2018, il devient associé d’Avisa Partners lors du rapprochement des deux sociétés en janvier 2020.