Par Lola BRETON
« L’innovation doit être au service de la transformation digitale », estime Stéphane de Saint Albin, président de Rohde & Schwartz Cybersecurity France. Les enjeux sont multiples et les menaces omniprésentes. Lors de son Cybersecurity Summit, le 4 juin dernier, Rohde & Schwarz a réitéré son engagement dans le secteur français et européens, qu’il convient aujourd’hui de défendre face à l’influence des GAFAM. L’entreprise, qui développe des solutions de sécurité numérique à destination des entreprises travaille à porter cette dynamique européenne. Elle garde à l’esprit le besoin croissant en automatisation, industrialisation, et auto-scaling, sans perdre de vue la sécurité, « la protection des données, qui reste un enjeu majeur », comme le rappelle son président. Pour cela, trois défis sont à relever : souveraineté, verrouillage partenaires (lock-in) et amélioration des dispositifs de sécurité, à l’heure du tout-cloud.
Adopter des solutions cloud sécurisées
La tendance est, en effet, au passage au Cloud. Cette solution de stockage des données s’impose à rythme différé dans des entreprises parfois réticentes face aux risques qu’elle pourrait engranger. En effet, en octobre 2018, Teknowlogy Group publiait les résultats d’une enquête effectuée auprès de 150 décideurs autour du cloud et de la cybersécurité. 63 % des entreprises confiaient alors penser que les services de cloud public étaient vecteurs de vulnérabilités. Leur crainte principale : les atteintes aux données. Comme l’indique Mathieu Poujol, Vice-Président Sécurité, Cloud et Infrastructures chez Teknowlogy Group, « le Cloud apparait de plus en plus distinctement comme une solution à lier à la cybersécurité des systèmes. Comme ce qui existe aujourd’hui sur le marché est encore exposé à des menaces importantes, on tend vers la sécurisation du Cloud par le Cloud ».
Hyper-industrialisation et automatisation
Cependant, les sociétés n’évoluent pas toutes à la même vitesse. « Chez OUI SNCF, nous avons commencé une migration vers le Cloud interne ces dernières années afin de promouvoir l’innovation, améliorer notre réactivité et notre performance et ainsi accélérer le cycle de déploiement en production », explique Francis Bergey, RSSI adjoint de l’entreprise. « Cette migration vers le Cloud pousse à l’hyper-industrialisation, ajoute-t-il. Nous n’y sommes pas encore toalement, mais nous avons déjà fait l’expérience des avantages du Cloud. Parallèlement aux cycles de releases plus rapides, et des corrections plus réactives, cela nous permet de recruter de nouveaux profils de développeurs. Ne pas être dans le Cloud est un frein pour recruter aujourd’hui. »
L’humain au cœur des enjeux
Le recrutement et l’humain sont en effet au cœur des sujets et des enjeux. Le cloud et la cyber ne sont pas uniquement une affaire de technologie. Les compétences humaines sont essentielles à la bonne conduite de solutions digitales sécurisées et performantes. Chez Natixis, l’automatisation est très attendue, notamment pour permettre la réduction des coûts et le recrutement de profils à plus forte valeur ajoutée. « Nous allons avoir besoin de plus de développeurs et programmeurs qui maîtrisent le script pour enclencher ce mouvement vers l’automatisation », souligne Karim Bentoumia, chargé de Sécurité au sein du groupe bancaire.
Protéger les données des entreprises dans le Cloud
Pour relever les défis posés, de nouvelles solutions doivent être pensées. La première étape consiste à adopter une approche de security by design, pour le Cloud comme pour les autres innovations technologiques. « Les cyber-attaquants sont également très fortement industrialisés. Nous nous devons de mieux sécuriser nos données. C’est un défi quotidien et une obligation de chaque instant », appelle Francis Bergey.
Attention également, comme le souligne Stéphane de Saint Albin, à ne pas s’enfermer dans une solution Cloud dont on ne pourrait jamais sortir. Pour l’éviter, Rohde & Schwarz prône le recours à des solutions applicatives de sécurité agnostiques du fournisseur de Cloud. Elle a notamment développé « la solution Trusted Gate, qui permet aux entreprises de garder la main sur leurs données ». En effet, elle consiste à chiffrer les documents sensibles pour les fragmenter et les répartir sur des Cloud multiples. Les documents sont ainsi reconstitués uniquement lorsqu’un individu habilité à y avoir accès en fait la demande. « En différenciant le niveau d’activité du niveau de chiffrement, nous rendons les données plus sécurisées », explique Ali Mokhtari, pre-sales Manager Rohde & Schwarz.
Vers une souveraineté numérique sur les données ?
Ces solutions de sécurisation des données pourraient bien plaire aux entreprises encore réticentes à s’engager pour des solutions Cloud dans un contexte où la souveraineté sur les données n’est pas assurée. « La promulgation du Cloud Act américain a été un frein total pour Natixis, confie Karim Bentoumia. C’est pour cette raison que nous avons sélectionné les données qui pour des raisons stratégiques, ne peuvent pas aller dans le Cloud tel qu’il existe et tel qu’il est sécurisé et régulé actuellement ». En effet, ce principe d’extraterritorialité du droit – qui permet désormais aux autorités américaines d’obtenir des informations stockées sur les serveurs de Cloud américains, qu’ils soient situés aux Etats-Unis ou ailleurs – fait peur, et pousse les acteurs français du numérique à vouloir créer leurs propres solutions.
Rohde & Schwarz a choisi de s’allier à un écosystème de PME pour construire un environnement sécurisé et fiable aux entreprises françaises et européennes. Son alliance avec Pradeo, développeur de solutions sécurisées pour les applications, lui permettra notamment d’innover avec des solutions intégrées pour lutter contre la fraude, par exemple. Rohde & Schwarz a également lancé un partenariat avec le géant américain Microsoft, pour que la solution Trusted Gate soit déployée sur la plateforme Cloud Microsoft Azure. Un moyen peut-être d’apposer le savoir-faire de cybersécurité français à la puissance des GAFAM et ainsi assurer un certain contrôle sur nos données.
Pour faire face à ces défis, il est donc essentiel de se renouveler et innover, prendre des risques et se remettre en question, à l’image de la championne, Marion Bartoli, joueuse de tennis, vainqueur de Wimbledon en 2013 qui s’est exprimée lors du Cybersecurity Summit : « Pour atteindre l’excellence, il faut cultiver notre capacité à se remettre en question en permanence. Il faut douter pour toujours se surpasser. Sans le doute, on n’avance pas. »