Le cloud est-il sécurisé?

Andres Bang de LinkedIn, Gary Clark de Juniper, Tom Leighton d'Akamai, Gordon Ritter d'Emergence Capital et Cristina Alesci de Bloomberg.

Le cloud est-il sécurisé? Un certain nombre de membres du panel présents au Bloomberg Enterprise Technology Summit la semaine dernière ont évoqué cette question, en particulier à la suite des révélations de Snowden et de la violation de la cible. La plupart étaient optimistes quant au potentiel des fournisseurs de cloud public à offrir une meilleure sécurité que presque tous les services de données internes. Pourtant, même les plus optimistes ont reconnu que de nombreuses entreprises se sentent plus à l'aise avec un contrôle accru de leurs données.

Par exemple, Andres Bang, responsable des ventes et des systèmes opérationnels mondiaux pour LinkedIn, a déclaré que son entreprise était un gros client de services de cloud public et dépendait donc de ces fournisseurs. Mais, a-t-il déclaré, la société conservait les informations de ses membres sur un cloud privé, ce qui lui donnait davantage de contrôle. Gary Clark, directeur technique de Juniper Networks, a déclaré qu'il voyait de nombreux départements informatiques devenir des courtiers en services cloud, avec au moins 80% de leurs applications dans le cloud et le reste sur un cloud privé. De manière générale, il a constaté que les entreprises gardaient leurs informations les plus privées en interne.

Selon Tom Leighton, PDG et cofondateur d’Akamai Technologies, la sécurité dans le centre de données est un modèle qui est sur le point d’échouer. Il ne suffit pas de se défendre uniquement avec les produits du centre de données; vous devez intercepter et traiter avant qu'il ne soit envoyé au centre de données.

CIA: Vous êtes "seulement aussi fort que votre maillon le plus faible".

Gus Hunt, ancien responsable de la technologie à la CIA

Lors d'une autre séance, Gus Hunt, ancien responsable des technologies à la CIA et actuel PDG de Hunt Technology, a déclaré que les grands fournisseurs de services de cloud offraient tous une sécurité "superbe", car ils en avaient besoin pour attirer les clients. Il a expliqué comment la CIA utilisait le cloud d'Amazon, bien que ce soit dans une copie spéciale gérée par Amazon derrière les murs de la CIA (protégés à leur tour par des armes à feu et toute autre sécurité physique).

Mais il a noté que la sécurité est "aussi forte que votre maillon le plus faible". Il a expliqué que si vous avez une charge de travail avec une vulnérabilité sur le dessus d'un fournisseur de cloud, ces vulnérabilités continuent d'exister. Mais une vulnérabilité dans une charge de travail n'affecte pas les autres dans le nuage. Alors, at-il dit, sécuriser vos propres charges de travail reste une tâche critique.

Hunt a déclaré que le problème de la sécurité est en train de devenir une "chose extrêmement difficile et difficile" et a déclaré qu'il était très difficile pour une entreprise individuelle de trouver le moyen de se protéger. Il a donc assisté à la montée en puissance des sociétés de sécurité en tant que service qui vont instrumentaliser votre réseau et contrôler la sécurité. Mais il a dit que c'était une "course aux armements sans friction" avec des informations partagées presque instantanément sur des choses comme les logiciels malveillants, ce qui les rend de plus en plus difficiles.

En fin de compte, a-t-il déclaré, nous allons nous concentrer davantage sur la protection des données que sur les réseaux. "Ce sont les données, stupide", dit-il. Nous devons faire en sorte qu'il soit difficile de trouver les données. Mais si quelqu'un passe à travers, il doit être rapidement détecté et corrigé.

Sur le long terme, Hunt a déclaré que les gens gagneraient davantage de contrôle sur leurs données et leur vie privée, grâce à des techniques telles que le cryptage et le décryptage, et la capacité d'usurper l'emplacement. C'est formidable pour les simples citoyens, a-t-il déclaré, mais pose de gros problèmes pour les forces de l'ordre. "Vous serez en mesure de contrôler vos données à un point de grain fin."

Atténuation des risques et "effet Snowden"

Wade Baker de Verizon Enterprise Solutions, Mike K. Brown de BlackBerry, Dr. Burt Kaliski Jr. de VeriSign, John N. Stewart de Cisco

John N. Stewart, responsable de la sécurité chez Cisco, a fait remarquer qu'un problème réside dans le fait que nous n'avons pas une bonne définition de bonne ou mauvaise en sécurité d'entreprise. Il est donc difficile de comparer la sécurité d'un fournisseur de cloud à un cloud d'entreprise. Et Wade Baker, directeur de la recherche et de l'intelligence chez Verizon Enterprise Solutions, a déclaré que même si des problèmes de sécurité peuvent survenir dans le cloud, peu importe, car ils sont rarement causés par le cloud.

Burt Kaliski, directeur de la technologie de VeriSign, a également évoqué le concept de passer à une "approche centrée sur l'information", avec de nombreux mécanismes de protection, mais en gardant la plupart de ces éléments invisibles pour l'utilisateur final.

Selon Stewart, la sécurité dans le nuage ne fait qu'amener "chaque péché que nous n'avons pas résolu" au premier plan, en évoquant des problèmes tels que celui des noms d'utilisateur et des mots de passe. Il a dit que les entreprises étaient trop concentrées sur le périmètre - le "dur dehors" - pas sur le centre de leurs données, et que cela devait changer. Il a noté que la protection des données avait acquis une mauvaise réputation auprès de DRM, mais pouvait s'avérer très importante. Mais il a averti que "la plupart des utilisateurs ne se préoccupent pas du risque, ils veulent que leur travail soit effectué de la manière la plus efficace possible".

Selon Kaliski, il existe de nombreux autres facteurs importants dans la sécurité des entreprises, notamment une bonne gestion de l'information, mettant l'accent sur la confiance de tous les éléments d'un système, l'audit et la gestion des clés.

Tous ont convenu que "l'effet Snowden" avait attiré l'attention sur les questions de sécurité. De nombreux consommateurs internationaux considèrent désormais les États-Unis comme un mal, alors que d'autres pensent que cela signifie que les États-Unis savent comment y remédier.

Raimund Genes de Trend Micro, Rick Howard de Palo Alto Networks, Cedric Leighton, anciennement de la NSA, Michael Riley de Bloomberg News

Le colonel Cedric Leighton, ancien directeur adjoint chargé de la formation à la NSA et désormais directeur général de Cedric Leighton Associates, a évoqué une autre séance consacrée à l'impact de Snowden. La principale préoccupation était que cela conduise à la "tribalisation de l'Internet". Il a noté qu'Internet avait été conçu pour être mondial, mais nous entendons maintenant parler d'un "nuage allemand" ou d'un "nuage suisse" en plus du "grand pare-feu de la Chine". Les révélations de Snowden ont servi d'excuse pour renationaliser les choses, a-t-il déclaré, ce qui nuit considérablement au monde et à Internet, avec de nombreuses conséquences imprévues.

Raimund Genes, directeur des technologies de Trend Micro, a indiqué que Snowden avait également lancé une discussion sur la sécurité en général. "Si Snowden peut obtenir des documents de la NSA, que dit-il de notre industrie?" Il a demandé. Il a souligné combien il était difficile de faire confiance aux contractants internes et à la nécessité de créer un Internet plus sécurisé en général, affirmant que le gouvernement avait un rôle à jouer.

Il a convenu que "l'Internet a été créé pour être mondial" et a déclaré que certaines des nouvelles règles européennes conçues pour conserver les données dans leur pays ou région d'origine sont ridicules.

Bien que Leighton et lui aient convenu que le gouvernement avait un rôle à jouer dans la sécurisation de l'Internet, Rick Howard, responsable de la sécurité chez Palo Alto Networks, a déclaré que l'incident entier prouvait que le secteur avait fourni un bon travail en matière de sécurité. Il faut bien améliorer la sécurité en intégrant davantage de solutions. "Les clients devront être assurés indépendamment de ce que le gouvernement fait", a-t-il déclaré.