La sécurité dans le Cloud est un enjeu majeur. En assumer la responsabilité incombe tant à l’entreprise cliente qu’au fournisseur de service. Pour en parler, nous avons invité dans ce troisième épisode de Cloud Talk powered by Focus multicloud, le directeur général de l’Agence nationale de sécurité informatique, Naoufel Frikha, le CEO de Keystone Haythem El Mir ainsi que la chef de projet Cloud chez Focus Group, Amel Magouri.
Pour Naoufel Frikha le Cloud constitue un enjeu international et pour preuve le Cloud Act américain et le Cloud souverain européen. «C’est plus qu’en tendance. Sauf qu’à chaque arrivée d’une nouvelle technologie sur le marché, des réticences et des craintes surgissent».
Cependant, à son sens, le problème de la sécurité ne peut-être technique, car « il n’y aura jamais une efficacité à 100%, peu importe la technologie». Le DG de l’Ansi a affirmé, en effet, que la problématique majeure était plutôt dans la conduite du changement et la formation du personnel. «Il faut que l’entreprise comprenne qu’il n’y a plus de serveur dans un coin, plus de câbles… C’est tout un projet de recyclage et de formation pour l’élément humain».
Et d’ajouter : «Il faut aussi prendre en considération qu’aujourd’hui, il existe de nouveaux rôles et de nouveaux métiers au sein d’une entreprise».
Naoufel Frikha a soutenu que chaque entreprise se devait de préparer son personnel avant de basculer dans le Cloud. «L’Ansi peut, d’ailleurs, accompagner sur l’identification des risques et menaces potentiels».
Interpellé sur la maturité du cadre légal, il a souligné l’importance d’avoir des textes pour pénaliser les crimes numériques et une règlementation pour organiser le marché suivant des critères bien définis. «J’espère d’ailleurs que nous avancerons rapidement sur le projet de loi sur la cybercriminalité surtout que la technologie 5G arrive bientôt».
Le CEO de Keystone, Haythem El Mir, a, lui, affirmé de son côté qu’en terme de sécurité dans le Cloud la responsabilité était partagée entre l’entreprise cliente et le fournisseur de service, soulignant toutefois que les incidents qui surviennent en interne au sein des entreprises sont plus nombreux que ceux dont la responsabilité incombe aux providers.
« La sécurité est un label de qualité et un argument de vente pour les fournisseurs des services Cloud. Un seul incident chez un client remet en cause tout l’investissement de l’opérateur. C’est pourquoi, les fournisseurs mettent aujourd’hui les moyens », a-t-il avancé notant que les fournisseurs de service ont atteint une grande maturité sur ce volet.
Il a ajouté que le fournisseur se devait de sécuriser son environnement de virtualisation, de stockage, les accès, le management de la plateforme ainsi que la partie gestion opérationnelle. Le client doit, de son côté, protéger ses ressources. Ceci, dépend, selon Haythem El Mir du mode de vente.
« Si on est en mode Iaas, la responsabilité de protéger les systèmes et les applications incombe totalement au client. Si on est mode Saas, c’est au fournisseur d’assumer la responsabilité en grande partie. Cela dit, il peut y avoir des chevauchements. C’est pourquoi il faut avoir des contrats qui délimitent les responsabilités de chacun dans un modèle Saas », a-t-il expliqué notant qu’en majorité les incidents qui surviennent sont dus à des problèmes de configuration ou d’inattention de la part des administrateurs de la plateforme ou des utilisateurs qui l’exploitent du côté client.
Nadya Jennene