dimension_data_roundtable_oct-2016_02Lors de sa quatrième table ronde dédiée à la cyber-sécurité, organisée en collaboration avec Blue Coat-Symantec, Dimension Data abordait la problématique de la sécurisation à l’heure du cloud. Peut-on, aujourd’hui, s’assurer de la maîtrise de ses données tout en recourant à des solutions largement mutualisées ? Par ITnation

La sécurisation de l’information à l’heure du cloud et du software as a service soulève de nombreuses interrogations. Pour beaucoup, la perte de la maîtrise des données constitue un frein difficile à lever. Et les révélations relatives à de la surveillance de masse, orchestrée par des organisations comme la NSA, ne sont pas de nature à encourager les responsables de la sécurité des entreprises à envisager les choses autrement. Pourtant, aux yeux du business, des solutions comme Dropbox, facilitant le partage de l’information, Office365, Skype for Business ou même Service Now, présentent de nombreux attraits. Et que penser de l’usage de Facebook ou Google Drive au niveau de l’entreprise ?

Profiter des opportunités du cloud tout en gérant le risque

dimension_data_roundtable_oct-2016_03

Dimension Data invitait des responsables de la sécurité informatique d’organisations luxembourgeoises (100,7 FM, Kneip, PwC, LIH,…) à échanger sur la protection de l’information et des systèmes à l’ère du cloud. Pour l’occasion, Frédéric Lavend’Homme, Dimension Data Cybersecurity Lead, avait convié son partenaire, Blue Coat-Symantec, pour évoquer cet enjeu. « Le défi est de mettre en œuvre les dispositions nécessaires pour assurer une protection optimale de l’information tout en profitant des possibilités offertes par le cloud, évoquait, en guise d’introduction, Alain Levens, Blue Coat Security Lead. Les responsables de la sécurité des entreprises sont confrontés à des collaborateurs désireux de profiter de plus de flexibilité, d’outils qu’ils utilisent en privé pour plus facilement partager l’information et y accéder où qu’ils soient, peu importe l’appareil qu’ils utilisent. »

Sécuriser au niveau du trafic

Aussi, comment faire ? Peut-on faire confiance aux solutions largement mutualisées offertes par les grands acteurs du web ? Quelle est la menace ? Comment y faire face ? Alain Levens a souhaité apporter des éléments de réponse aux questions que se posent, légitimement, les responsables de la sécurité. « Il apparaît évident, vu l’hétérogénéité des pratiques, qu’il ne sera plus possible de sécuriser chaque terminal. Par contre, en ayant conscience des vecteurs de risques en matière de cyber-sécurité, on comprend qu’il est préférable d’investir dans la sécurité au niveau du trafic par lequel transite la menace mais aussi l’ensemble de l’information », poursuit Alain Levens.

Pouvoir monitorer ce qui transite par le cloud

Blue Coat a mis au point une plateforme intégrée de cyber-défense. Une des clés pour assurer une protection optimale dans le cloud réside dans la mise en place d’un logiciel gardien entre l’utilisateur, où qu’il soit, et l’ensemble des solutions auxquelles il peut accéder, quelle que soit la plateforme qui les héberge, cloud privé ou public. Le software, chargé d’analyser le trafic entre l’utilisateur et les solutions, peut alors intercepter tout trafic malveillant, mais aussi donner une meilleure visibilité à l’entreprise sur la manière dont est partagée (ou disséminée) l’information. « Le logiciel a un œil sur l’ensemble du trafic ainsi que sur l’information qui est partagée. Il permet une meilleure gouvernance et un meilleur suivi », poursuit Alain Levens. Si un utilisateur souhaite partager une information par un moyen jugé comme inapproprié, elle peut être stoppée. L’utilisateur, lui, pourra être conscientisé.

Encrypter avant d’envoyer dans le cloud

dimension_data_roundtable_oct-2016

« Mais, si je dois protéger une information sensible, afin de garantir la protection de personnes, comment être sûr, si elle transite par une solution cloud publique, qu’elle restera à l’abri des regards indiscrets ? », interroge Pascal Tesch, CIO de Radio 100,7. Une meilleure gouvernance, en effet, ne rime pas forcément avec confiance dans les acteurs du cloud. Pour Blue Coat, une réponse à cette problématique peut se trouver dans une couche d’encryption, au moment où l’information transitant par le web est analysée par le logiciel gardien. « L’information qui est hébergée dans le cloud est encryptée et, dès lors, non consultable via des tiers », poursuit Alain Levens.

Définir la meilleure politique

Si les approches de gouvernance et de protection présentées lors de cette table ronde ont suscité un réel intérêt dans le chef des participants, force est de constater que la sécurisation dans le cloud pose encore beaucoup de question. « La première étape, pour permettre à l’entreprise d’évoluer dans un environnement digital changeant, est de parvenir à définir des politiques et des règles claires à l’égard des données présentes dans l’entreprise, en fonction de leur sensibilité », assure Frédéric Lavend’Homme. Aussi, si certaines données doivent être protégées à tout prix, d’autres pourraient être traitées via des outils cloud. Dans ce contexte, c’est avant tout la sensibilité des données qui doit permettre de trancher. « Il est clair que, pour nous, un outil comme Salesforce peut apparaître comme extraordinaire. Cela dit, au vu de notre métier, dans notre secteur d’activité, son utilisation et son accès doivent être gérés correctement en raison de l’accès “anytime/anywhere” aux données sensibles », argumente Lee Marshall, Head of IT, Infrastructure & Operations chez KNEIP. A chaque entreprise de bien évaluer les possibilités, entre risques et opportunités.