Guilaume Leccese explique que les principales menaces concernent le DDoS en premier
lieu sur les sites de presses, mais aussi entre concurrents. Il recense aussi des
attaques sur les applications Web du fait du nombre de vulnérabilités afin de
faire du phishing, du vol de données, du social engineering... Stéphane Geyres
considère que la faille humaine implique de façon sous-jacente un problème
technologique. Pour Jean-Paul Alibert, il y aura sans doute des failles humaines,
c’est pour cela qu’il faut faire de la prévention dans les entreprises. Il faut
bien entendu déployer des systèmes de protections et enfin mette en œuvre des
solutions de réponses à incidents. Vincent Peulvey explique que bien souvent les
entreprises qui ont subi une attaque se précipitent pour acquérir une solution de
sécurité. Jérôme Chagnoux mentionne pour sa part les objectifs des vols de
données : la revente sur la black market, l’atteinte à l’image, l’espionnage
industriel ou commercial... il estime qu’en 2017 le nombre de menaces devrait encore
croître et ceux au moins jusqu’en 2020. Effectivement, reprend Stéphane Geyres,
pour tatoues les entreprises SI l’on cherche à protéger ces données il faut
partir du principe que les pirates ont de multiples raisons d’attaquer une
entreprises. Il y a donc de plus en plus de difficultés à anticiper les attaques.
Mark Wozynski positionne Equinix comme un fournisseur de hub pour des écosystèmes
ce qui permet à ses clients de communiquer à l’intérieur de ce hub dans un
environnement plus sécurisé.

Selon Jean-Paul Alibert, il y a un retournement par rapport à la perception du
Cloud. SI jusqu’en 2015 la sécurité était un frein à l’adoption du Cloud, elle
est devenu au contraire un argument de vente pur les acteurs du Cloud. La première
responsabilité pour un acteur est de se protéger en premier lieu afin de mieux
protéger ses clients. Ainsi, chez T-Systems une division sécurité a été créée
en réunissant les expertise du groupe. Cette division est constitué aujourd’hui de
1300 personnes.

Les certifications et les Labels importants mais pas suffisants

Quant au Label dit de confiance pour les opérateurs de Cloud, Stéphane Geyres
pense qu’ils sont utiles mais pas suffisants pour garantir le fait qu’ils ne seront
pas perfectibles suite à une attaque. Dans tous les cas c’est le marché qui
l’indiquera. Pour Marek Wozynski les Labels sont une reconnaissance de la fiabilité
d’un site. Vincent Peulvey considère que les éditeurs ont besoin de ces Labels et
ces certifications sont importantes pour rassurer les clients sur la fiabilité
d’une solution. Jean-Paul Alibert abonde dans ce sens mais estime que les
certifications de l’ANSSI ou du BSI sont les seuls à pouvoir rassurer les clients
car ils sont fiables. Toutefois, il estime que ces normes et certifications doivent
être européens. Guillaume Lecesse explique que son entreprise a obtenu norme 27001
sur l’ensemble de son périmètre. De ce fait, il estime que les certifications sont
un atout pour inspirer la confiance aux clients. Jérôme Chagnoux considère que
les normes sont sans doute un premier pas mais n’est pas suffisant pour sécuriser
correctement une solution.

L’authentification forte un atout de sécurité important

Pour lui, la sécurité périmétrique à ses limites elle doit être complétée
par des systèmes d’authentification fortes liées à une analyse comportementale.
Dans ce cadre l’intelligence artificielle est une bonne aide à cette analyse. Pour
lui, l’important est tout d’abord authentifier l’utilisateur mais l’idéal serait
d’authentifier de bout en bout de l’utilisateur aux objets qui veulent se connecter
au SI. Effectivement, reprend Stéphane Geyres, il faut tout authentifier pour
rétablir la confiance. Vincent Peulvey estime que l’authentification est au cœur
des débats. Toutefois, il est aussi important de mener des campagnes de
sensibilisations auprès des utilisateurs.

Quid de la sécurité des données ?

Stéphane Geyres conseille de chiffrer les données qu’elles soient stockées ou en
transites. Jérôme Chagnoux rappelle que les CPU aujourd’hui peuvent être chiffrer
ce qui limite les risques. Guillaume Leccese au final les pirates allant toujours
vers les points faibles, ils vont souvent s’installer sur le poste de travail de
l’utilisateur, d’où la nécessité de sécuriser ce dernier. Vincent Peulvey
rappelle qu’il y a trop de poste qui sont administrés par les utilisateurs qui
permettent aux malwares de s’installer facilement.

RGPD les outils utiles mais…

Quant au RGPD, Vincent Peulvey explique que ses clients sont peu informés des
détails de ce règlement. Marek Wozynski voit de nombreux clients américains
s’implanter en Europe pour répondre aux exigences de localisation. Toutefois
précisé Guillaume Leccese ces entreprises restent soumises à la législation
américaine donc au Patriot Act... pour Jérôme Chagnoux les outils peuvent être
utiles pour répondre aux exigences du RGPD mais ne sont pas encore une fois
suffisants. Jean-Paul Alibert le marché est de l’ordre d’un milliard d’euros, il
devrait être en très forte croissante ce qui justifie l’apparition de nouveaux
acteurs en particulier dans le domaine du Cloud.