Vous êtes ici

Cloud : en alerte, le Cesin émet 10 recommandations

FLORIAN DEBES | LE 14/06/2016

PrécédentSuivant

Tendance L’association de responsables de la sécurité informatique appelle les grands groupes et leurs dirigeants à la prudence quant au choix d'un prestataire de solutions cloud computing.

En rachetant le réseau social professionnel LinkedIn , pour 26,2 milliards de dollars, Microsoft se présente encore davantage comme un fournisseur de services informatiques aux entreprises. Inévitable dans les sociétés du CAC 40, l’éditeur de logiciels n’est pourtant pas épargné par les critiques. Dernier exemple en date, en matière de cybersécurité : le Cesin, une association de responsables de la sécurité informatique, publie dix recommandations (voir ci-dessous) pour une meilleure maîtrise des risques du cloud, à l’attention des dirigeants qui entendent travailler avec Microsoft, Google ou leurs concurrents.

La Fnac, Vinci Energie, GRT Gaz, Guy Degrenne, Air Liquide, Essilor, Valeo, toutes ces entreprises ont récemment opté pour une suite de logiciels de bureautique hébergée par des systèmes d’informatique à distance (cloud computing). Microsoft, avec Office 365, et Google, avec App for Work , se disputent le marché en France. Ils vantent notamment desoutils propices à la collaboration entre collègues . En matière d’administration du réseau, ils se félicitent de prendre en charge une grosse partie du travail rébarbatif traditionnellement dévolue à la direction informatique, notamment la maintenance des serveurs. Cerise sur le gâteau, ils revendiquent un niveau de sécurité bien supérieur à celui auquel prétendent leurs clients. Mais les RSSI, les responsables de la sécurité des Systèmes d’information (RSSI) doutent maintenant ouvertement de ce dernier argument de vente.

Une standardisation jugée dangereuse

La quasi-totalité des entreprises stockent des données dans les infrastructures partagées du cloud. « Les entreprises sont attirées, à raison, par certains aspects des offres, mais nous voudrions que Microsoft, Google et les autres prennent en compte les besoins des clients les plus exigeants en cyber-sécurité », résume Alain Bouillé, le président du Cesin. Ce Club des experts de la sécurité de l’information et du numérique qui a consulté ses membres, l’Agence nationale de la sécurité des systèmes d’information (Anssi), la Cnil et des juristes spécialisés avant de publier ses recommandations .

Selon Alain Bouillé, les entreprises du SBF 120 se protègent mieux par elles-mêmes. « Le niveau de sécurité des éditeurs est même parfois inférieur car ils standardisent leurs offres pour rester compétitifs et, de fait, nivellent leurs services à des stades qui ne sont pas nécessairement les plus élevés », explique-t-il. Exemple à l’appui, il évoque un logiciel anti-spam de Microsoft qui ne s’engage contractuellement que sur les messages rédigés en anglais alors que la plupart des grands groupes disposent de solutions multi-langues. De même, le RSSI est très suspicieux quant à la détention par les éditeurs des logs de connexion relatifs à leurs logiciels, alors que ces données sont des éléments clefs pour la surveillance des réseaux. A ceci s’ajoute également les problématiques de souveraineté numérique. En raison des lois américaines qui s’appliquent à ces éditeurs , la justice des Etats-Unis peut demander, sous certaines conditions, à avoir accès aux serveurs hébergeant les informations des entreprises françaises ayant choisi de travailler avec eux.

Leader du marché français, Microsoft dément en bloc. « Nos services sont un coffre-fort pour les données de nos clients, tout le monde est protégé au mieux », assure Marc Gardette, responsable de la stratégie Cloud au sein de la direction sécurité de Microsoft France. Sur la question de l’anti-spam, il assure que le « système de réputation » détectant et plaçant au rebut les expéditeurs d’e-mails indélicats fonctionne. Enfin, si Microsoft refuse de laisser chaque client auditer ses systèmes, c’est, explique Marc Gardette, pour protéger les autres dont les données sont hébergées sur les mêmes serveurs. Imparable.

Les 10 recommandations du Cesin
1. Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.
2. S’il s’agit de données sensibles voire stratégiques pour l’entreprise, faites valider par la direction générale le principe de leur externalisation.
3. Evaluez le niveau de protection des données en place avant toute externalisation.
4. En fonction du résultat du point 1, adaptez vos exigences de sécurité dans le cahier des charges de votre appel d’offres.
5. Effectuez une analyse de risques du projet en considérant ceux inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l’utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.
6. Outre ces sujets, exigez un droit d’audit ou de test d’intrusion de la solution proposée.
7. A la réception des offres analysez les écarts entre les réponses et vos exigences.
8. Négociez, négociez encore.
9. Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce document doit être rédigé en français et selon le droit français.
10. Faites un audit ou un test d'intrusion avant le démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l'offre dans le temps.

En savoir plus sur http://business.lesechos.fr/directions-numeriques/technologie/cybersecur...