Alors que les entreprises comme les citoyens dépendent de plus en plus des services numériques dans leur quotidien, ces incidents contribuent à une impression d'insécurité alors même que le sentiment de « confiance numérique » est indispensable pour que la société réussisse pleinement cette transformation clé. Je commencerai donc par donner la mesure de l’ampleur de la menace, je fournirai également des pistes sur les parades grâce au cloud, à revoir en replay du webinaire du 7 novembre 2017 : Explosion du cybercrime, vol de données… quel est le futur de la sécurité du cloud ?
Pour regarder cette vidéo, vous devez consentir aux Cookies de notre partenaire Youtube Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.
Le cybercrime est en plein essor et des incidents, toujours plus spectaculaires, apparaissent de façon récurrente à la une des journaux. Citons l’incident de la présidentielle française, et l’exemple d’Equifax, un des fleurons de l'industrie financière américaine ou la vaste contamination d’ordinateurs par le rançongiciel WannaCry.
Combien coûte le cybercrime ?
Venons-en aux chiffres, mis en avant dans une étude de 2017 réalisée par Accenture et Ponemon à découvrir en intégralité ici.
Les différents types de cyber attaques en 2017 et 2016 d’après l’étude Accenture Ponemon :
- Premier constat : Le coût de la cybersécurité explose : 11,7 millions de dollars en moyenne par entreprise. Ce chiffre était de 9,5 millions en 2016. A l’échelle mondiale, les coûts sont estimés à 400 milliards d’euros : c’est le PIB du Pérou ou de l’Autriche.
- Deuxième constat : tous les secteurs ne sont pas égaux et le secteur financier est par nature le plus touché avec un coût moyen estimé à 18 millions de dollars par entreprise.
- Troisième constat : les attaques par rançongiciel ont certes doublé mais elles restent moins nombreuses que les menaces plus classiques comme les malwares ou les attaques de phishing. On notera également que 2/3 des entreprises subissent les assauts de botnets.
- Quatrième constat : tous les pays ne sont pas égaux face au cybercrime. Certains s’en tirent un peu mieux que d'autres. La France ne fait visiblement pas partie des meilleurs élèves.
Evolution des menaces et de la cybercriminalité en 2017
La menace n'est pas seulement en croissance,elle change de nature et de puissance. Si le social engineering (hammeçonnage – « phishing ») est toujours au centre de la cybercriminalité, les rançongiciels se sont taillés la part du lion depuis 2 ans.
Les rançongiciels, peu nombreux mais très dommageables pour les entreprises selon Juniper Research Juniper Research (2017)
Leurs attaques sont peu nombreuses mais leur impact financier est des plus importants. Les dénis de service sont eux-aussi toujours en première ligne mais ils ont changé considérablement. Les attaques en DDOS sont fréquentes et ne visent plus seulement la couche applicative. Elles ciblent désormais directement les services cœur d’infrastructure comme les DNS (l’attaque du « botnet Mirai » d’octobre 2016 a illustré une puissance d’attaque colossale de plus d’1 Terabits/s avec près de 100 000 bots impliqués).
Face à la multiplication de ces menaces, nous intervenons à trois niveaux
1. D'abord dès la conception des offres de cloud computing, du point de vue technique : segmentation des zones applicatives, recours systématique à des droits d’accès différenciés (RBAC – Role Based Access Control) pour les services comme pour les administrateurs, ces derniers ayant en outre une authentification renforcée. Ces mêmes limitations et séparations des droits d'accès sont appliquées depuis la phase d’étude jusqu’au run. C’est le « Security by design ».
2. Nous avons qualifié nos process de développement et d’opérations, afin d’assurer un niveau homogène de protection dans l’ensemble de nos équipes et nous les garantissons avec des audits extérieurs. Nous respectons ainsi entre autres les certifications : ISO 9000, ISO 20 000-1 et ISO27001:2013, avec un périmètre de certification sur tout le cycle ingénierie-opérations-vente afin de valider l’excellence en matière de sécurité. Mais ces certifications, descriptives, ne sont pas suffisantes. Nous les complétons par une autre, ISAE 3402 type II, standard international qui garantit la la fiabilité et la bonne gestion du risque dans nos solutions d'hébergement cloud managé.
3.Enfin, un niveau dont Orange hérite doublement en tant qu’OIV (Opérateur d’Importance Vitale) : la protection des traitements et des données sensibles de nos clients. En complément de la loi de confiance en l'économie numérique (LCEN) et de la loi pour une nouvelle république numérique, le RGPD (Règlement Général pour la Protection des Données) vient renforcer les droits des utilisateurs et la traçabilité des mesures prises pour assurer la sécurité de leurs données.
Ces nouvelles réglementations sont strictes en termes d'obligation de responsabilité et de notification des fuites d'information éventuelles. Elles s'accompagnent de pénalités très élevées (pour le RGPD, jusqu’à 20 millions d’euros ou 4 % du CA mondial). Au-delà du RGPD, citons également le label SecNumCloud publié par l’ANSSI.
Pour les années à venir, les professionnels de l’IT font face à deux enjeux majeurs
D'une part les systèmes de plus en plus interconnectés forcent à gérer l’inhomogénéité (d’hébergement, d’infogérance, d’accès distant, de terminal de traitement…) sur des systèmes distribués et hybrides, tout en maintenant le meilleur niveau de sécurité, ce qui est de plus en plus ardu.
D’autre part, gérer la complexité croissante et la multiplication des réglementations qui font qu'il est de plus en plus difficile pour un DSI de respecter tous les commandements sur la protection des données personnelles, mais plus largement pour pouvoir sereinement assurer sa responsabilité (« accountability » en anglais). D’autant plus que le RGPD est une réglementation européenne mais qu’elle a des équivalents, voire sert de futur modèle,dans de nombreux pays (États-Unis, Asie-Pacifique, Singapour, Russie, …). Un opérateur international comme Orange, soumis par essence à ce contexte réglementaire et international, connaît tous ces points et est à même de les respecter.
A voir en Replay « Enjeux, opportunités et freins avec le cloud privé et hybride »
[Expert] La protection des données, au cœur des enjeux du cloud privé
Voici un replay de ma présentation dans le cadre du Webinaire du 07 novembre 2017 à 11H30
Ingénieur de l’école Polytechnique, j’ai travaillé 10 ans dans le secteur public, dans les architectures techniques et la sécurité au sein du Ministère de la Défense. DSI de la Présidence de la République de 2007 à 2011, je suis aujourd’hui responsable des services managés et de la sécurité Cloud chez Orange Business.