Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Club de la Presse Informatique B2B : Le Cloud plus sécurisé que le fait maison !

septembre 2019 par Marc Jacob

Pour ce premier débat de la rentrée le Club de la Presse Informatique B2B a organisé un débat sur le thème Cybersécurité : fait maison ou as a service ? José Diz avait réuni Vincent Meysonnet, directeur technique chez Bitdefender, Arnaud Cailleau, directeur exécutif de la BU cybersécurité chez Sopra Steria, Gilles Casteran, directeur d’Accenture Security pour la France, Luis Delabarre, directeur technique cybersécurité chez Capgemini, Guillaume Jolicart, manager Gouvernance et Cybersécurité chez Digital Security-Econocom et Jérôme Chagnoux, manager cybersécurité chez Oracle France.

Pour lutter contre les cyberattaques et protéger à la fois les systèmes informatiques et les terminaux des utilisateurs ou clients, on voit apparaître de plus en plus de solutions cloud, mais aussi des logiciels traditionnels. Puissance, ubiquité et agilité, le cloud semble adapté pour répondre : gestion des identités et des accès, protection des données, redirection des flux d’information…
La complexité croissante des applications multiformes (sur site, cloud, APIs, containers…) et des infrastructures hybrides pousse-t-elle forcément à externaliser la sécurité ? Et avec quels moyens ? Le cloud incarne-t-il un choix pertinent ?

Guillaume Jolicart, manager Gouvernance et Cybersécurité chez Digital Security-Econocom considère que le Cloud a connu un développement très rapide ces 10 dernières années grâce aux progrès technologiques notamment en matière de performances réseaux et de virtualisation. Le Shadow IT dans les entreprises est une illustration de ce développement et de la facilité d’accès aux services Cloud, y compris des services de confiance et de sécurité, ou Cybersécurité as a Service. Mais le Shadow IT est aussi un symptôme des problèmes inhérents au Cloud auquel doivent de plus en plus faire face les gestionnaires de la sécurité des SI.

Pour Luis Delebarre Cap Gemini, les DSI ont consciences des demandes des métiers pour consommer de l’IT mais elles ont besoins de garder le contrôle sur les données. Vincent Meysonnet, de Bitdefender rappelle que par exemple Dropbox n’a signé aucune convention dans le cadre du RGPD. Pour Arnaud Cailleau, de Sopra Steria les métiers comptes sur les équipes IT et Securité pour vérifier qu’il n’y ait pas de problème lors de l’utilisation des portail en SaS. Le problème est que les métiers ont besoin d’aller vite pour le déploiement alors que els équipe IT et. Sécurité ont du mal à suivre. Jérôme Chagnoux Oracle, explique que son entreprise donne des outils du surveillance des comportements des utilisateurs face à l’usage du Cloud et des garanties de sécurités à ses clients. Pour lui, la sécurité se décide main dans la main avec le Cloud provider avec des solutions poussées par tous les éditeurs sérieux du marché. Ces derniers suggèrent des conseils pour implémenter la sécurité dans l’offre. De plus, les éditeurs passent des accords entre eux pour avoir des solutions de sécurité en commun. Ainsi il cite à titre d’exemple l’accord récent entre Oracle et Microsoft Azur.

José Diz : comment choisir sa bonne solution technique ? Est-ce que es offres Cloud son mature fiable et son utilisée ?

Selon Gilles Casteran il est important de voir la cohérence de l’ensemble de l’offre. La menace est de plus de plus forte et il faut donc assurer la protection tout l’écosystème de l’entreprise jusqu’au sous-traitants. Par exemple, pour mettre en place une solution d’IAM en interne, il est plus intéressant aujourd’hui de choisir une solution dans le cloud. Luis Delebarre rebondit en expliquant qu’il y a sentiment de perte de contrôle des DSI. Aujourd’hui on est face à une hyper spécialisation des offres. Il y a donc un problème de gouvernance de la cybersécurité. De ce fait quelle place ont les sociétés de conseil ? Sans doute celle de conseiller les DSI pour les aider à choisir la solution la mieux sécurisé à l’instant « T » quitte à en changer lorsque c’est nécessaire.

Jérôme Chagnoux considère qu’il est compliquer de surveiller la sécurité des autres mais qu’il faut plutôt analyser le comportement des utilisateurs lorsqu’ils se servent des outils proposés par les éditeurs de services Cloud. Guillaume Jolicart, Digital Security-Econocom estime qu’il est important d’avoir fait au préalable une analyse de risque. Celle-ci devra inclure les services Cloud en s’assurant que les fournisseurs Cloud sont bien dans la ligne de la politique de sécurité de l’entreprise. Arnaud Cailleau Sopra Steria explique que dans le cas du multicloud pour bien analyser les incidents de sécurité il faut savoir comment récupérer les signaux qui viennent de l’ensemble de la chaîne.

José Diz : Comment avoir une gestion globale Cloud ?

Vincent Meysonnet Bitdefender explique que si on a une corrélation entre les différentes solutions de Cloud, il est possible de faire de la détection en amont. Aujourd’hui on a une problématique Produits et Compétences. Le problème est qu’il y a de plus en plus d’outils et un manque de compétences pour les utiliser d’où l’intérêt d’aller vers le Cloud manager par des experts. Grâce au Cloud, il est possible de faire face à des menaces et d’avoir des réponses applicatives plus rapides avec des déploiements quasi immédiats.

Chez Oracle, Jérôme Chagnoux estime que les solutions sont On Premise et dans le Cloud. Sur la partie identité les deux solutions continuent à vivre avec un déploiement plus rapide dans le Cloud, le On Premise étant réservé plutôt aux déploiements complexes. Aux États-Unis, le Cloud a son propre le marché et donc tous les éditeurs doivent avoir les deux offres.

Arnaud Cailleau, Sopra-Steria utilise des solutions qui ne sont pas les siennes mais celle d’éditeurs. Son métier consiste a amener de la cohérence dans l’ensemble. Il a un travail d’intégration et donne des reporting et des conseils pour le déploiement et le maintien en condition opérationnelle. Bien sûr, en tant qu’intégrateur il amène une vision neutre face aux éditeurs.

Pour Jérôme Chagnoux le Cloud est plus sécurisé et n’est pas en opposition par rapport aux services managés.

Pour sa part, Luis Delebarre rappelle que l’on reste dans un environnement hybride a plusieurs niveaux techniques, organisationnels... il faut trouver un juste milieu avec ses clients. Il faut avoir des API pour obtenir des informations du Cloud et des solutions on Premise. L’intégrateur doit donc développer ces API qui nécessitent du temps homme. C’est d’ailleurs cela que Bitdefender apporte à ses clients rappelle Vincent Meyssonnet.

Luis Delebarre explique que les applications sont devenues mobiles grâce à la conteneurisation. L’essentiel de la cyber consiste à avoir les accès, les données les applications. Systématiquement les intégrateurs doivent simplifier les débats pour leurs clients. Luis Delebarre déplore que le chiffrement n’est pas utilisé d’où tous les fuites de données qui sortent tous les jours.

Gilles Casteran rappelle qu’Accenture a acquis Arismore un spécialiste de la gestion des identités qui proposait un service en Cloud qui était beaucoup plus sécurisé que les offres On Premise. Pour lui dans le Cloud on a les moyens de mieux sécuriser une application.

José Diz : est-ce que les offres Cloud sont matures ?

Arnaud Cailleau estime que ses offres sont matures et proposent un très bon niveau de sécurité. Il considère que les clients sont moins effrayés par le Cloud et commencent à y adhérer. Les freins proviennent plutôt des entreprises qui maîtrisent moins leurs données.
Guillaume Jolicart estime que la frilosité vient aussi du RGPD. Pour Luis Delebarre les fournisseurs ont des offres ultra sécurisés comme par exemple l’annonce récente de Microsoft pour améliorer la sécurité d’Office 365. Google pour sa part fournit la plateforme ATOS de sécurisation. Pour lui, avec le chiffrement il est possible d’utiliser des agents de chiffrement à la base ou de chiffrer directement applications par applications en gérant les trousseaux de clés. Selon lui les fournisseurs de Cloud ne veulent plus conserver les clés pour des problèmes de responsabilité.

Pour Luis Delebarre le SOC a toute son importance pour faire du proactif en analysant les signaux faible. Pour cela l’IA est un outil intéressant surtout lorsqu’il est couplé à des SIEM. Guillaume Jolicart considère que la surveillance du Web est du côté technique est souvent externalisé pour des problèmes de compétences et d’image. Pour Vincent Meyssonnet, l’analyse des logs est particulièrement importante pour vraiment faire du préventif.

José Diz : un problème de compétence existe que faire externalisé recruter ?

Gilles Casteran considère qu’il faut développer les compétences en matière d’architecte sécurité. On a besoin de personnes pour mettre en place une architecture de sécurité qui permet de comprendre les besoins métiers, la sécurité, les utilisateurs. Pour Guillaume Jolicart l’architecte sécurité doit pourvoir prendre un peu de hauteur par rapport à l’ingénieur sécurité.

Jérôme Chagnoux explique que chez Oracle ses équipes sécurité son base aux Etats-Unis et en Inde. Par contre il s’attend à ce que ses clients aient des architectes sécurité soit en interne soit via des intégrateurs. Gilles Casteran estime qu’il y a des ingénieurs en France mais pas assez de vocation pour faire de la sécurité. Il travaille avec des écoles et les clients pour former des spécialistes. Arnaud Cailleau considère qu’il y a une pénurie dans ce domaine. Son entreprise investit dans la formation par tous les moyens avec aussi des Master Class. Chez Bitdefender, il y des formations via les partenaires. Il note une pénurie du fait du manque de compétences. Guillaume Jolicart confirme la pénurie générale et même au niveau des risques managers et de la compliance. Luis Delebarre est aussi d’accord. Ces clients veulent avoir des forces spéciales de la sécurité qui sont formées en interne et via des exercices de simulation qui est devenue un vrai sujet via des outils de Red Team et de Blue Team.


Voir les articles précédents

    

Voir les articles suivants