Dans quelques années, la grande majorité des organisations dépendra du Cloud Computing. Les larges services de Cloud compteront des dizaines de millions d’utilisateurs finaux. Quels sont les risques si l’un de ces services de Cloud tombe en panne, ou est piraté ?

« Du point de vue de la sécurité, la concentration des données est une ‘arme à double tranchant’. Les grands fournisseurs peuvent offrir le nec plus ultra de la sécurité et de la continuité de services, répartissant les coûts sur de nombreux clients. Mais si une panne ou une faille de sécurité se produit, l’impact est plus vaste, affectant simultanément de nombreuses organisations et tous les citoyens », selon le Dr Marnix Dekker. Ces dernières années, il y a eu de nombreux exemples de pannes affectant les très grands sites bénéficiant de millions d’utilisateurs (par exemple, la panne de l’année bissextile). Ce rapport se penche sur les menaces d’un point de vue PIIC, à savoir comment prévenir les longues interruptions cybernétiques et les grandes cyber-attaques.
Les messages clés du rapport sont les suivantes :

– Les infrastructures critiques : Bientôt, la grande majorité des organisations utiliseront le Cloud Computing, et notamment dans les secteurs critiques tels que la finance, l’énergie et les transports. Les services de Cloud Computing deviennent eux-mêmes des infrastructures d’information critiques.
– Les catastrophes naturelles et les attaques par déni de service : Un avantage du Cloud Computing est sa résistance face aux catastrophes naturelles et aux attaques de déni de service distribué (DDoS), qui sont difficiles à altérer en utilisant des méthodes traditionnelles (serveurs sur site ou seul centre de données).
– Cyber-attaques : Les cyber-attaques qui exploitent les failles logicielles peuvent causer des fuites de données, affectant des millions d’utilisateurs, en raison de la forte concentration d’utilisateurs et de données. La redondance physique ne protège en rien contre certaines cyber-attaques, telles que les violations de données exploitant les failles logicielles.

Le rapport fournit également neuf recommandations pour les entités en charge des infrastructures d’information critiques. Points clés : inclure les services de Cloud Computing au sein des grandes évaluations des risques nationales, du suivi des dépendances de Cloud, et de travailler avec les fournisseurs d’accès sur les systèmes de notification des incidents.

Le directeur exécutif de l’ENISA, le Professeur Udo Helmbrecht, a déclaré : « Le Cloud Computing est une réalité et, par conséquent nous devons nous préparer afin d’éviter des pannes de service et des cyber-attaques sur les services de Cloud Computing. Les stratégies européennes de cyber-sécurité et de Cloud Computing fournissent une feuille de route à cet effet. »

L’ENISA lance un nouveau groupe de travail axé sur la PIIC et sur la sécurité gouvernementale du Cloud.