Le Cloud Computing au cœur de la mobilité

12 novembre 2012 | ACTUALITÉS, Entreprises et cultures numériques

L’un des ateliers proposés dans le cadre des Assises pour la sécurité des Systèmes d’Information 2012 avait choisi de valider ou non ce qui se répète au sein de l’écosystème numérique : « Pas de mobilité en entreprise sans Cloud Computing ». Le lien entre Cloud Computing et mobilité est-il avéré ? Dans ce cas, comment appréhender la sécurité du système d’information ? Pour en débattre :

  • Thierry Auger, Deputy CIO and CSO du Groupe Lagardère
  • Bernard Duverneuil, Vice-président du CIGREF, DSI Essilor International,
  • Jean-Marc Gremy, Vice-président du CLUSIF

Bernard Duverneuil rappelle que le CIGREF travaille depuis de nombreuses années à la fois sur la sécurisation de la mobilité et sur la sécurité du Cloud Computing. Il précise que lorsque l’on croise ces deux éléments, on débouche sur la notion d’accessibilité avec ses avantages et ses inconvénients. En effet, l’avantage pour les utilisateurs et pour l’entreprise est qu’elle permet d’accéder à ses applications et ses informations à peu près de n’importe où. Mais la contrepartie est que cela crée une porte d’accès beaucoup plus importante avec les risques de failles qui l’accompagne. 

« Cette ouverture qui doit renforcer la notion d’authentification qui est le principe à retenir pour réduire le risque au minimum. Or bien souvent les accès au Cloud se font simplement à partir d’un login et d’un mot de passe ce qui est extrêmement faible. La principale préoccupation des grandes entreprises qui déploient des solutions accessibles depuis un appareil mobile est principalement ce souci de sécuriser l’accessibilité. Autre souci, les traces qui peuvent être laissées sur les devices et l’accès que l’on peut avoir sur ces devices quand ils sont volés ou perdus ».

Peut-on faire de la mobilité sans Cloud Computing ?

« Lorsque l’on a une solution de mobilité à déployer on pense à des applications « full web » ou accessibles par le cloud. De plus en plus, le réflexe est de définir les applications accessibles en cloud public. Le cloud public est plutôt un oxymore de type « une colère tranquille » ou « le racolage passif » ! Le cloud public permet une accessibilité à partir de n’importe quel périphérique, qui procure soit l’accès au système d’information lorsque celui-ci est partiellement positionné dans le cloud public, soit à des applications classiques avec une entrée fortement sécurisée.

Le CIGREF a publié il y a presque deux ans sa position sur le Cloud Computing. Il n’était ni contre ni très favorable, parce qu’il était déjà très conscient des enjeux de sécurité. Néanmoins, si l’on regarde le portefeuille de nos membres, il existe une diversité de secteurs d’activités. Il faut relativiser par rapport au type d’activité, à la règlementation à laquelle l’entreprise est soumise, à l’intensité concurrentielle dans laquelle elle opère. Les grandes entreprises n’ont donc pas une réponse unique à cette question ».

Mobilité de l’information et sécurité

Jean-Marc GREMY, Vice-président du CLUSIF, Club de la Sécurité de l’Information Français, explique que la tendance est d’aller vers le cloud. Les utilisateurs de la sécurité de l’information constatent que « le cloud est la réponse à la question de la mobilité et la mobilité est la réponse à la question du cloud » ! Pour autant, ce n’est pas une réponse à la question de la sécurité.

Il ajoute que la mobilité en tant que telle n’est pas seulement celle de l’utilisateur, mais aussi la mobilité de l’information. De fait, l’envoi de documents via les web mail se pratique depuis longtemps, « ce n’est plus réellement la mobilité du device qui préoccupe nos utilisateurs, c’est plutôt celle de l’information. Elle devient tellement diffuse qu’il est difficile d’en contrôler la sécurité. Nous insistons davantage sur la nécessite de faire attention à l’information plus qu’à l’usage d’un terminal. Notre message est « maitrisez votre information et vous maitriserez votre sécurité informatique ».

Pour Jean-Marc GREMY, beaucoup d’entreprise manquent de visibilité sur la notion d’information. Ce qui fait que beaucoup d’informations sensibles sont stockées sur des ordinateurs portables, sans sécurité, voire sans sauvegarde : « je pense que c’est avant tout une question d’organisation, d’éducation, de sensibilisation. Il ne faut pas hésiter à rebondir sur les exemples qui paraissent dans la presse, évoquer les raisons pour lesquelles les mêmes problèmes seraient possibles ou au contraire ne le seraient pas dans notre organisation ».

Pour Thierry AUGER, Deputy CIO and CSO chez LAGARDERE, il n’est plus possible de dissocier cloud et mobilité. « Dans un groupe fait de multiples sociétés, de multiples périmètres ayant des activités très disparates, le réflexe serait d’aller rapidement utiliser les solutions qui sont sur le coud pour répondre à des problématiques que l’on a du mal à gérer au sein de l’entreprise. Ce que l’on rappelle à l’ensemble des gestionnaires dans nos filiales, c’est qu’il est vital de reprendre les processus standards de classification de besoins, d’ajustement de la politique de sécurité, en prenant le temps de bien les classifier. Il est important de savoir qui a besoin de quoi, dans quel contexte, de quelle façon. On peut alors s’appuyer sur les acteurs du cloud qui vont pouvoir nous aider à déployer ce qui correspond aux besoins de l’entreprise. Faute de quoi, on risque d’amplifier un phénomène avec des risques non négligeables ».

Il ajoute que la problématique est d’avoir une visibilité technique et des personnes capables d’appréhender l’ensemble des technologies qu’ils vont devoir manipuler. Il n’est pas simple de mettre à la disposition des utilisateurs l’ensemble des capacités technologiques tout en sachant respecter une politique de sécurité qui fera que l’information sera manipulée correctement.

Bernard Duverneuil relève à son tour qu’en matière de sécurité le CIGREF constate une maturité parfois assez déroutante chez certains partenaires, notamment sur des thèmes comme la réversibilité. Il remarque que si l’on a vu arriver dans les systèmes d’information les technologies telles que le cloud, la mobilité, le BYOD, en revanche, la rapidité avec laquelle ces usages ont été introduits par le biais des utilisateurs eux-mêmes en a surpris plus d’un. Pas seulement les DSI, mais aussi les fournisseurs de solutions qui construisent l’ensemble des composantes nécessaires à la sécurisation et à l’administration de ces systèmes.

Pour lui : « l’époque où l’on pouvait standardiser, homogénéiser est terminée. L’entreprise doit avouer qu’elle ne peut pas contrôler l’ensemble de son système d’information de manière homogène, fiable, sécurisée. La démarche de beaucoup d’entreprises est d’identifier des niveaux de sécurité cohérents pour le type d’informations qu’elles manipulent. Il y a une réflexion à mener sur les différents types d’informations à manipuler pour mettre en place des politiques de sécurité adaptées au contexte. Cela ne veut pas dire qu’il faille abandonner la sécurité des systèmes d’information, mais qu’il existe certains pans sur lesquels il faut admettre un certain niveau d’impuissance ».

Pour Bernard Duverneuil, la définition de la sensibilité des informations est un débat à avoir au sein de l’entreprise. Ce débat nécessite un travail en collaboration avec le juridique, avec l’ensemble des directions métiers, avec la R&D. Pour rédiger une directive de classification de l’information, on doit tenir compte de la culture de l’entreprise, de la définition et la catégorisation, ce qui n’est pas toujours simple. Pour commencer, il n’est pas nécessaire de vouloir obtenir une définition extrêmement précise. Il est utile de se donner les moyens de sécuriser a minima les différents pans de l’information de l’entreprise. A ce stade, ce n’est pas très grave si les gens se trompent en classant une information « très confidentielle » ou « moyennement confidentielle ». L’important est qu’ils l’aient déjà classée comme confidentielle !

_____________________

Cet article s’appuie sur les notes prises pendant cet évènement, avec les risques d’interprétation que cela induit. Il n’engage donc pas les personnes citées.

Politique RSE au sein de l’IT : Contributions positives de la DSI à la politique RSE de l’entreprise

Le Cigref publie, sous forme de rapport, le résultat des travaux de son groupe de travail sur le thème « Politique RSE au sein de l’IT », piloté par Annie STEINMETZ, Responsable Performance environnementale, AG2R LA MONDIALE et Bernard DUVERNEUIL, DSI...

Modèle de pilotage économique et écologique de l’IT 4ème édition – Mise à jour 2022

Le Cigref publie, sous forme de rapport, la nouvelle version 2022 des travaux de son groupe de travail sur le thème « Modèle de pilotage économique et écologique de l’IT », rédigé par Joachim Treyer, Directeur général de Cost House, Steve Gordon,...

Rapport d’orientation stratégique 2022 du Cigref : « Futurs numériques : incertitudes et conséquences »

À l’occasion de sa 52ème Assemblée générale, le Cigref a dévoilé l’édition 2022 de son Rapport d’orientation stratégique, « Futurs numériques : incertitudes et conséquences ». "En publiant cette édition 2022 de son Rapport d’orientation stratégique, le...