CSA EMEA 2013 : ce qu'il faut en retenir

Que faut-il retenir du congrès EMEA 2013 de la Cloud Security Alliance (CSA) qui s'est tenu les 25 et 26 septembre 2013 à Edimbourg ? 

les grandes tendances

Selon Jim Reavis, directeur et co-fondateur de la Cloud Security Alliance, le  besoin d'innover autour de la sécurité va devenir de plus en plus important. En effet, la généralisation des objets connectés et le développement des technologies de l'information devraient multiplier par 20 ou 30 le volume de données qui devrait se retrouver dans le Cloud. En même temps, nous n'aurons pas 20 à 30 fois de plus de budget alloué pour la sécurité... Il y a donc besoin d'innover en sécurité.

Une autre tendance est celle autour de la composition de services Cloud via une utilisation croissante des API pour interconnecter les services entre eux. Nous devrions voir arriver des acteurs spécialisés dans l'assemblage de services de Cloud, ce qui pourrait offrir de nouvelles façons de sécuriser les services Cloud (la tendance serait à une décentralisation des fonctions de sécurité). Un sujet intéressant sur lequel je reviendrai dans un article à venir.

Enfin, les démarches d'audits ou de certifications sécurité actuellement utilisées, bien qu'allant dans la bonne direction (cf. cet autre article sur la CSA STAR Certification) ne sont fondamentalement pas "scalables" et ont des coûts parfois prohibitifs. Nous devrions donc voir à terme émerger de nouveaux schémas basés sur une autorégulation entre acteurs eux-mêmes basés une évaluation réalisée par les utilisateurs des services de Cloud : les réseaux sociaux seraient donc utilisés comme "cercles de confiance" vis-à-vis des fournisseurs de services Cloud.

les effets de NSA/PRISM sur l'écosystème du Cloud

C'est clair, le programme de surveillance PRISM de la NSA a porté préjudice au Cloud : il encourage des réactions de "repliement nationalistes" de la part des gouvernements et des fournisseurs de services Cloud. De nombreux speakers ont indiqué que cela allait à l'encontre même de la philosophie d'Internet qui se veut indépendant des pays ou de toute localisation géographique des infrastructures.

Outre ce phénomène de repliement ou de "balkanisation du Cloud", les fournisseurs de services Cloud et les sociétés technologiques américaines sont aussi impactés par une méfiance accrue des utilisateurs (crainte de collecte d'informations, présence de backdoors, ...). Ces derniers auront tendance à privilégier des services ou technologies considérés comme moins exposées à la surveillance des Etats-Unis et de leurs plus proches alliés. Le monde étant encore très (trop peut-être) dépendant technologiquement des USA, cela ne sera pas facile. 

La mise en lumière de la surveillance généralisée des USA doit être un signe fort pour les fournisseurs de services de Cloud et les entreprises qui doivent repenser leur sécurité pour mieux intégrer et prendre en compte cette menace de type "espionnage gouvernemental à grande échelle" ; et ce que ce soit vis-à-vis des USA mais aussi de tout autre pays.

la cybercriminalité : acteurs étatiques, ransomware dans le Cloud & Bitcoins

Le paysage de la cybercriminalité a évolué de façon notable avec la montée de nouveaux acteurs et de nouvelles tendances qui appellent à toujours rester en alerte.

Le fait le plus marquant est que les gouvernements doivent désormais être considérés comme des cybercriminels : ils viennent donc aux côtés des cybercriminels (qui attaquent de façon large et sans distinction avec pour principal objectif le gain financier) et les activistes (ayant pour objectif de défendre leurs opinions). Ce qui distingue les gouvernements c'est leur ciblage extrême des cibles et une maitrise très avancée des techniques d'attaques.

Pour la communauté, les cybercriminels "classiques" représentent la menace la plus visible. Selon Mikko Hypponen (Chief Research Officer F-Secure) nous devrions tôt ou tard voir arriver des techniques de "prise d'otage numérique" (ransomware) qui viseront les données dans le Cloud. Ce type d'attaque consiste à chiffrer les données présentes sur un service Cloud et à réclamer une rançon afin de les déverrouiller. Il y a de quoi avoir des sueurs froides avec l'explosion des services de stockage dans le Cloud comme les Dropbox, Box et autres Skydrive !

Une autre tendance qui est relevée tant par Mikko Hypponen que par Jean-Dominique Nollet (Head of Unit, Forensics, Research, Development - European Cyber Crime Centre - EC3) est l'apparition de monnaies électroniques dont le fleuron est le Bitcoin.

Cette monnaie électronique qui permet d'effectuer des transactions financières de façon masquée ou de blanchir des fonds douteux est aussi une nouvelle façon d'utiliser des botnets ou des infrastructures Cloud pour le "Bitcoin mining". Il n'y a pas à douter que les objets connectés seront eux-aussi détournés pour ce genre d'activités.

Concernant les menaces futures, le centre EC3 d'Interpol a récemment publié un document présentant les menaces à l'horizon 2020 (« Facing Future Cyber Threats » 25 septembre 2013) : une très bonne initiative pour lever la tête et regarder les choses avec un peu de recul. Selon Jean-Dominique Nollet de l'EC3, c'est la première fois dans l'histoire que le crime n'est plus directement lié à une localisation géographique : détecter et traquer les cybercriminels est donc de plus ardu et la coopération entre acteurs essentielle.

Introduction de Daniele Catteddu, Managing Director EMEA - Cloud Security Alliance

focus sur quelques activités de la Cloud Security Alliance

Cette session 2013 du congrès EMEA a été l'occasion de présenter l'avancement des activités et initiatives de la Cloud Security Alliance.

Parmi les activités ayant retenu mon attention, il y a évidemment l'annonce de la CSA STAR Certification, un schéma de certification sécurité de services Cloud. Cette certification est basée l'ISO27001 assortie des contrôles de la CCM (Cloud Control Matrix). Cette démarche va clairement dans le bon sens : elle permet de mettre en avant les fournisseurs de services Cloud ayant mis en place un Système de Management de la Sécurité de l'Information (SMSI - cf. ISO27001) sur la base d'un référentiel de mesures de sécurité (la CCM - Cloud Control Matrix - une ISO27002 complétée de contrôles spécifiquement adaptés aux services Cloud). 

D'un autre côté, la version v3.0 de la CCM (Cloud Control Matrix) a été annoncée : ce document liste les contrôles de sécurité adaptés aux offres de Cloud en les regroupant dans 16 grandes catégories. Par rapport à la version précédente, de nouveaux domaines ont été créés pour regrouper les contrôles relatifs à la gestion du chiffrement et des clefs de chiffrement (EKM - Encryption and Key Management). Par ailleurs, les contrôles de sécurité ont été regroupés selon des groupes ou zones fonctionnels pour faciliter leur mise en œuvre et leur lisibilité.

Concernant le BigData, la Cloud Security Alliance a publié un document « Big Data Analytics for Security Intelligence » qui explique comment les technologies de type BigData peuvent être utilisées pour la sécurité. Ce document vient compléter ceux de présentation des risques liés aux technologies BigData (risques liés aux infrastructures elles-mêmes mais aussi ceux pesant sur nos vies privées et libertés individuelles). 

l'approche sécurité de grands acteurs du Cloud

Au-delà des travaux de recherche ou d'interventions d'experts, nous avons eu la chance d'avoir des présentations de grands acteurs comme Amazon, Microsoft ou Adobe. Chacun a pu présenter comment les enjeux liés à la sécurité et la compliance sont pris en compte au sein de leur stratégie Cloud.

Une chose est acquise : tous prennent en compte la sécurité nativement dans le développement de leurs services avec les approches "SDLC" (Security Development Lifecycle) et "PrivacyByDesign" pour Microsoft ou encore "SPLC" (Secure Product Lifecycle) du côté d'Adobe. La sécurité est bien à prendre en compte dès le départ d'un projet et pas à la fin.

Tous les 3 intègrent une démarche de maintien en condition opérationnelle de sécurité visant à s'assurer que les systèmes sont sous supervision de sécurité permanente et régulièrement mis à jour. L'approche en 3 temps d'Adobe qu'a présenté David Lenoe (Director - Product Security - Adobe) a particulièrement retenu mon attention : "Good Hygiene", "Rapid anomaly detection" et "rapid response".

Rien que du très classique diront certains et ils auront raison. Après, toute la difficulté est de gérer cela dans le temps et d'être en mesure de le faire de façon homogène sur l'ensemble des services : c'est souvent là que les choses se compliquent. Les présentations d'Amazon et de Microsoft m'ont cependant laissé un petit goût de "trop beau pour être vrai" et j'ai clairement préféré le côté direct, franc et terre à terre de David Lenoe d'Adobe.

protection des données à caractère personnel : USA vs Europe

Concernant la protection des données à caractère personnel, la table ronde a été particulièrement intéressante. En résumant je dirais que les acteurs Européens sont en attente de la réglementation Européenne à venir et que les USA ont une vue clairement opposée sur le sujet.

Pour les USA, c'est le marché et le business avant tout. Du côté de l'Europe la protection doit se faire en amont et l'utilisation des données à caractère personnel doit être encadrée. A ce titre, les échanges entre le représentant de la CNIL (Gwendal Le Grand, Head of IT Experts Department) et de celui de Google (Eran Feigenbaum, Director of Security, Google Apps) étaient clairement sur des longueurs d'ondes bien différentes mais tout s’est déroulé avec courtoisie comme il convient. :-)

J'en retiens que la prochaine réglementation Européenne sur la protection des données à caractère personnel est très attendue. Gageons qu'elle arrive rapidement.

que retenir de ces deux journées dédiées à la sécurité du Cloud ?

Tout d'abord, il est désormais nécessaire que les fournisseurs de Cloud ajustent leur stratégie de façon à intégrer les risques liés aux acteurs gouvernementaux : le Cloud concentrant les données et les traitements, il concentre donc les convoitises des gouvernements.

Les fournisseurs de services Cloud doivent accélérer leurs actions et initiatives autour de la transparence : les démarches de certification comme la CSA STAR Certification vont dans le bon sens. Mais ce n'est qu'une étape car à terme la mesure de la conformité devra être permanente ("real-time compliance monitoring").

La protection des données à caractère personnel est déjà un sujet sensible, mais avec l'Internet des objets, ce sujet prendre encore plus d'importance. Gageons que les gouvernements trouvent un terrain d'entente qui puisse satisfaire les fournisseurs de services Cloud et leurs utilisateurs.

Cette session 2013 du congrès EMEA de la Cloud Security Alliance a été un très bon cru. Et cette année, Orange Business était sponsor de l’évènement.

Jean-François AUDENARD (aka Jeff)

Consultez ici la version anglaise de l'article.