Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cloud Indépendance Day : En marche vers le RGPD

juin 2017 par Marc Jacob

Pour sa 3ème édition, « la Cloud Independance Day » organisée par l’association Cloud Confidence avait choisi pour thème le RGPD. Pour tous les intervenants, le RGPD devrait permettre d’accroître la confiance dans le Cloud. Par contre, ils ont de façon quasi- unanime insisté sur l’importance des actions de l’Etat et de la commande publique pour développer les start-up et des champions européens.

En préambule de cette journée, Olivier Darrason, Président de Cloud Confidence et de CEIS estime que le RGPD va permettre au Cloud de prendre son envol et de renforcer la souveraineté numérique sans enferment.

Il a souhaité que la commande publique aide les start-up innovantes. De plus, il s’est félicité que les archives publiques doivent choisir un Cloud souverain pour conserver les archives publiques.

La mise en place d’un Cloud de confiance passera par la labellisation

Puis Guillaume Poupard, DG de l’ANSSI, Thierry Delville, Délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces et Jean-Noël de Galzain, Président d’Hexatrust ont animé le second débat autour du rôle de l’ANSSI, du Ministère de l’intérieur et des PME de sécurité.

Guillaume Poupard a expliqué le rôle de l’ANSSI, en premier lieu de sensibiliser sur les risques inhérents au Cloud Computing. De plus, il a expliqué que l’ANSSI a un rôle important au niveau de la sensibilisation des OIV avec la LPM et la directive NIS. En outre, il a rappelé que l’ANSSI doit qualifier les prestataires de confiance. En ce qui concerne le Cloud une qualification est en cours de développement. Par ailleurs, l’ANSSI collabore avec d’autres pays d’Europe comme l’Allemagne et le Royaume Uni afin de mettre en place un label qui sera valable dans tous les pays de l’Europe.

Thierry Delville considère que le première enjeu du Ministère de l’Intérieur est de protéger ces propres infrastructures mais aussi aider les victimes en collaboration avec l’ANSSI.

Jean-Noël de Galzain explique qu’il y a un lien entre le Cloud de Confiance et l’économie numérique avec deux caractéristiques :
- le temps court avec la résilience afin d’être en état de marches en permanence
- le temps long avec la marque laisse dans l’histoire. En effet, tout ce que l’on fait reste en mémoire. Ainsi, il faut des garanties sur le service, la conservation des données de façon intègre...

Pour lui, les cyberattaques doivent être prise aux sérieux car même s’il n’y a pas de dégât humain pour l’instant ce n’est pas dit que la situation ne pourra pas se dégrader. Il va donc falloir aider toux ceux qui n’en ont pas les moyens à s’équiper pour mieux se protéger.

Selon Guillaume Poupard, certaines données doivent être conserver au niveau nationale. Pour d’autres les règles trop extrémistes ne s’imposent pas. Pour lui, les données doivent se trouver là où s’applique le droit européen. Pour se faire. Il est nécessaire d’avoir un label européen valable dans tous les pays d’Europe. De ce fait, il faut garder une extrême vigilance sur les accords économiques internationaux.

Thierry Delville considère que dans les entreprises il faut qu’il y ait des responsables de la données afin de déterminer ce qui est essentiel pour les entreprises, faire le choix des architectures nécessaires... il est aussi nécessaire de sensibiliser les entreprises mais aussi le grand public comme le Ministère de l’intérieur l’a fait avec le passeport numérique qui a permis de sensibiliser plusieurs milliers d’écoliers.

Jean-Noël de Galzain a rappelé qu’Hexatrust c’est d’abord la création d’un label de partenaires de confiance. Ainsi, Hexatrust souhaite véhiculer le principe d’un Cloud de Confiance auprès de RSSI français mais aussi à L’étranger. Il espère une meilleure collaboration entre les acteurs du Cloud et ceux de la sécurité afin d’assurer une meilleure collaboration et la mise en place d’un Cloud de Confiance.

Le RGPD doit induire un changement de mentalité

Maître Olivier Iteanu a animé la table ronde autour du RGPD avec Gwendal Legrand de la CNIL, Stéphane de Saint Albin de Deny All, Alain Bouillé, Président du CESIN, le Sénateur du Finistère Michel Canévet et Alma Taleb VP du CNM. 

Oliver Iteanu a fait un bref rappel dès grand principe que RGPD qui sera effectif le 25 mai 2018. En particulier, les amendes, la Privacy By Design, les nouveaux droits et obligations avec entre autre la notification, le DPO, plus de droit pour les citoyens, la quasi assimilations du sous-traitants au responsable de traitement. Enfin le RGPD doit être vu comme une évolution de la Loi Informatique et Liberté plutôt qu’une rupture. Le plus important pour Olivier Iteanu est que le RGDP impose de fait un changement de mentalité.

Gwendal Legrand explique que le RGPD s’appliquera de façon égale à toutes les entreprises dans le monde à partir du moment où elles traitent de données à caractère personnel d’européens. Selon lui, moins d’un tiers des entreprises estiment qu’elles seront conformes au RGPD. Ainsi, sur le site de la CNIL des fiches d’information seront mises en lignes pour aider les entreprises à être conforme. La CNIL va en outre mettre en ligne des guides pour aider les entreprises à faire des analyses d’impact. Il considère que quatre vingt mille postes e DPO devront être créés en France. La CNIL a pour but de fournir un cadre clair pour éviter aux entreprises d’être sanctionnées. Il estime qu’au niveau européen ce texte sera appliqué de façon uniforme dans tous les pays européens.

Stéphane de Saint Albin considère que les entreprises vont devoir faire une évaluation des risques, mais aussi identifier les traitements avec une refonte de l’expérience utilisateur. Il va falloir aussi travailler sur la collecte des données en supprimant toutes celles qui sont inutiles à la fourniture des services. Sans compter la mise en place de système pour accéder aux demande de modification, de suppression ou de rétrocession des données. Il va falloir en outre faire du "DevSecOps" afin de faire de a Sécurité By Design. Il faudra aussi faire du masquage de données, du chiffrement... aujourd’hui tous les éditeurs travaillent sur leurs contrats. Au delà de ce travail, les entreprises utilisatrices ont tout intérêt à collaborer avec des fournisseurs européens afin de garantir une meilleure conformité au RGPD.

Amal Taleb, pour sa part, explique que la protection des données personnelles est un principe de souveraineté. Le RGPD dans ce cadre permet des avancées certaines mais est loin d’être suffisant. En outre, il faut aussi changer les mentalités de tous, des personnes publiques, aux grands groupes. Elle estime qu’en Europe actuellement la jurisprudence est particulièrement active ce qui pourrait ajuster les articles du RGPD et permettre d’avoir à terme une véritable souveraineté numérique en Europe.

Alain Bouillé, Président du CESIN explique que le travail des RSSI en matière protection du patrimoine informationnel est de plus en plus compliqué surtout en matière de protection des données. En effet, de très nombreuses données se trouvent dans le Cloud et souvent dans des Cloud public non européens et surtout américains. Ainsi, les RSSI ont de moins en moins confiance dans ces Clouds. Il y a 3 types d’entreprise : celles qui sont dans des Cloud public quelles essayent de protéger, les collectivités territoriales qui ont des obligations spécifiques et celles qui résistent en essayant de proposer d’autres solutions plus conformes aux exigences des règlements et lois. En outre, il a cité l’exemple allemand qui a, sans tout réinventer, proposé des solutions souveraines. Le RGPD pour lui est un outil indispensable pour aller vers une souveraineté européenne. Par contre, il ne faut pas négliger la protection du patrimoine informationnel comme les brevets...

Le sénateur Michel Canévet a rappelé que les législateurs doivent à la fois mettre en place les règles pour protéger les citoyens mais aussi aider au développement économique des entreprises. Dans ce cadre il faut que l’Europe aide à l’émergence de champions européens.

Le data center : le cœur du Cloud

Olivier Micheli, Président de France DataCenter a animé le débat sur le rôle des data centres entre Emmanuelle Olivié-Paul directrice associée de Markess, Julien Pellerin, directeur commercial et marketing de Telehouse, Humberto Abreu, responsable Parc Datacentre France IMEX ITP BNP Paribas et Jérôme Totel, sales Engineering and Product Development de Data4 Group.

Emmanuelle Olivié-Paul rappelle en préambule que sans data center il est impossible de faire du numérique. A titre d’exemple, elle explique que dans le domaine bancaire il est aujourd’hui impossible de fournir des services sans activités numériques. Il faut que les entreprises soient très agiles et c’est là qu’intervient le Cloud Computing. Ainsi, en dix ans le marché du Cloud a été multiplié par 10 et cette croissance n’est pas près de s’arrêter. Selon elle, le SAAS est le marché porteur du Cloud même si le poids des IAAS est aussi en pleine croissance du fait de l’émergence des PRA. On a deux grands approches soit avec des Cloud privé soit des Cloud public ou encore mixte. Cette stratégie induit des problématiques d’interconnexion des ces différents Cloud. De ce fait, les prestataires font évoluer leur offres avec des services verticalisés comme par exemple vers l’hébergement des données de santé, mais aussi certains vont vers L’internationalisation ou encore vers la labellisation de leurs offres. Jérôme Totel fait part des résultats d’une étude que son entreprise a réalisé qui monte que les préoccupations des clients sont tout d’abord la Sécurité, le respect des règles, la démultiplication des plateforme qui nécessite un réseau très performant et très sécurisé. Les Sécurité européens veulent de la Sécurité, des engagements sur la localisation des données et d’avoir des engagements clairs sur la disponibilité.

Humberto Abreu explique son choix de Cloud privé par le fait de la volonté de mieux maîtriser çes risques même si le coût est extrêmement élevé tant en termes d’immobilier que d’exploitation.

Julien Pellegrin évoque d’une part les problèmes d’intrusions physiques et physiques. Pour la Sécurité logique il rappelle l’importance des outils a tissé DDOS mais aussi des tests de vulnérabilités.

Humberto Abreu s’inquiète pour sa part des attaques physiques contre les data centres. Il rappelle que dans le passé dans les années 70 les data Center avaient des vitres blindées cette tendance était un peu passé de mode, elle revient et se renforce aujourd’hui.

Lors du débat l’impact écologique des data center a été évoqué. Ainsi, chez Data4 Group des efforts ont été fait tant auprès des collaborateurs que des clients pour les sensibiliser à ce problème. La société a plusieurs certifications ISO mais aussi du Code of Conduct. L’opérateur a mis en place du free Colling direct, des plafond spéciaux... chez Telehouse le même type de démarche est fait avec entre autre un comité Green IT, une certification du Code Of Conduct, un travail avec les clients... un objectif de réduction des consommations énergétiques de 5% par an a été fixé, la société utilise quasiment 100% de son énergie avec des sources renouvelables. Enfin son dernier data Center de Londres a un PUE de 1,16. Pour sa part, Humberto Abreu explique que sa banque s’est engagée sur une réduction de 25% des consommations énergétiques dans les prochaines années.

La CybertaskForce de la France est en marche

Coralie Héritier DG d’IDnomic, Michel Canévet et Isabelle Valentini (adjointe de l’amiral Arnaud Coustillere) ont présenté la CybertaskForce créée tout récemment le 23 mai 2017. Isabelle Valentini explique que cette TaskForce travaille avec des PME innovantes, l’ANSSI, des parlementaires... mais aussi le pôle d’excellence Cyber de Bretagne. Coralie Héritier en tant que membre actif de cette cybertask force fait porter la voix des PME. Elle y apprécie son agilité mais aussi le fait qu’elle fait appel à des PME. Selon, elle les PME ont bien sûr besoin de financement, comme le crédit impôt recherche...mais aussi de commandes publiques. Elle insiste aussi sur la formation des jeunes dans le domaine cyber. Michel Canévet considère que l’association des parlementaires dans la Taskforce est importante. Il estime que la France est en avance dans la prise en compte des risques cyber. Pour Coralie Héritier cette cybertaskForce permet de mieux mutualiser les efforts pour porter ce sujet.




Voir les articles précédents

    

Voir les articles suivants