Jean-Jacques Cockx, Unisys : « En passant au cloud, les entreprises doivent garder le contrôle de leurs opérations »

Jean-Jacques Cockx, Unisys : « En passant au cloud, les entreprises doivent garder le contrôle de leurs opérations »
Le fournisseur de solutions de sécurité aux entreprises Unisys vient de lancer « Stealth », une solution de sécurisation des données pour l'entreprise, qui a fait la Une de la presse Hi-Tech l'an dernier : celle-ci a en effet été testée et adoptée par le Département de la Défense des États-Unis pour garantir la confidentialité de son système d'information. A l'heure où les projets de virtualisation se multiplient dans les entreprises, la confidentialité, l'intégrité et la disponibilité des données hébergées dans les datacenters sont devenues des enjeux majeurs autour du cloud computing. Jean-Jacques Cockx, Vice-Président Europe, Technologie Consulting et Intégration Solutions pour Unisys, revient en détails sur les défis de sécurité liés au passage au cloud computing dans les entreprises.

CCM - On assiste depuis deux ans à une accélération des projets de virtualisation des applications et postes de travail dans l'entreprise. En quoi la tendance générale vers le cloud computing modifie les règles de sécurité informatique ?


Jean-Jacques Cockx - L'avantage du cloud computing est aussi perçu comme un désavantage, car il force les organisations à dépendre d'un prestataire externe auquel elle confie les opérations, dont la sécurisation de l'information.
Il est donc essentiel que les entreprises qui envisagent le cloud computing s'assurent que les fournisseurs potentiels puissent leur offrir un contrôle permanent, notamment sur les éléments garants de la pérennité et de la stabilité de leurs opérations.

Certains éléments de contrôle sont juridiques : comme la définition de la propriété des systèmes d'information et la définition de la propriété des informations qui circulent ou qui sont stockées dans ces systèmes virtualisés. Il faut y ajouter la problématique de la protection de la vie privée : cet élément est souvent ignoré ou traité avec retard, ce qui complique le déploiement des services en ligne.

Il y a aussi d'autres questions primordiales : que se passe-t-il si le fournisseur décide de mettre fin à son service? Comment gérer les évolutions futures ou comment de nouveaux développements rendent incompatibles les services loués avec les systèmes de l'organisation cliente? Que se passe-t-il en cas de reprise du fournisseur par une autre société?

D'autres éléments sont d'ordre organisationnel : comment définir une organisation conjointe de traitement des incidents ? Qu'ils soient de nature opérationnelle propre ou de nature sécuritaire.

L'importance et les limites des politiques de confidentialité est également un sujet que le candidat à la virtualisation de services doit vérifier auprès du futur prestataire. Je prendrai comme exemple l'extra-territorialité des serveurs et des bases de données. Ou sont-ils situés physiquement, quels sont les lois qui s'appliquent et les politiques de confidentialité qui priment ?

CCM- Les solutions de sécurisation des données que vous proposez (Stealth) ont retenu l'attention du Département de la Défense des États-Unis. Quelle type d'innovation technologique a bénéficié de cette intérêt particulier ?

J-J-C. : Afin de réduire les coûts, le DoD était à la recherche d'une solution garantissant la confidentialité des informations de bout en bout et leur permettant de réduire les coûts opérationnels tout en maintenant le niveau de sécurité requis. Stealth a été considéré comme la réponse à ce besoin, car il garantit un accès contrôlé à l'information et la confidentialité et l'intégrité de l'information lors du transport et du stockage. Il permet de réduire sensiblement les infrastructures et d'augmenter la flexibilité dans la gestion opérationnelle des systèmes d'information.

Au fond, il n'y a pas de différence majeure entre le secteur de la Défense et celui des entreprises performantes dans le secteur privé ou public. Le Département de la Défense, comme bien des entreprises, exploite des réseaux d'information à multiples niveaux de sécurité, du non-classifié au très-secret. La méthode traditionnelle de sécurisation et de préservation de la confidentialité consiste donc à prévoir des infrastructures totalement séparées, ce qui implique dédoublement des serveurs, des bases de données, des stations de travail et d'équipes opérationnelles dédiées.


CCM - L'un des intérêts du cloud, c'est bien sûr de permettre aux collaborateurs l'accès distant aux applications de l'entreprise, notamment via leurs smarpthones. Or ceux-ci sont l'objet de nombreuses inquiétudes du point de vue de la sécurisation des connexions à distance. Quels sont aujourd'hui les garde-fous technologiques contre ces risques ?


J-J-C. : L'accès à distance par smartphone est un problème réel mais peu connu des utilisateurs. Le problème se complique par la multitude des systèmes d'exploitation disponibles : comme Symbian, RIM Blackberry, Iphone OS, Windows et Android. Chaque OS a ses forces et faiblesses, chacun nécessite une analyse de risque propre. Les menaces les plus courantes sont les logiciels malicieux et espions, l'exploitation de fonction privilégiés, l'absence de séparation de privilèges ou l'auto-exécution par média externe.

La méthode de sécurisation est de ce fait relativement complexe, la seule défense consistant à une appréhension globale du problème. Les smartphones font partie intégrante de l'infrastructure réseau au même titre qu'un poste de travail. Elle passe par une meilleure information des utilisateurs, d'une gestion intégrée du parc des téléphones mobiles et si possible par l'uniformisation des systèmes d'exploitation, l'emploi généralisé du chiffrement, le déploiement d'antivirus et de pare-feu.

CCM - Les grandes entreprises voient bien évidemment un intérêt économique à passer aux environnements virtualisés. C'est moins évident pour les plus petites entreprises. Ont-elles malgré tout intérêt à virtualiser leurs données et applications ?


Les PME possèdent des besoins très spécifiques en matière de support informatique mais bien souvent leur complexité est comparable aux besoins des grandes entreprises. La dépendance d'un support informatique fiable, évolutif et sécurisé est essentielle pour les entreprises, qu'elles soient petites ou grandes. Les conséquences d'une interruption d'un service informatisé, la perte ou la corruption de données ont le même effet pour une PME que pour une grande entreprise. De plus, il est rare qu'une PME puisse s'offrir le personnel nécessaire à une gestion optimale et sécurisée de leur infrastructure. il est d'ailleurs prouvé que lors d'un accident informatique, elles sont souvent plus exposées qu'une grande entreprise.

Cependant, à la différence d'une grande entreprise, les économies d'échelle pour les PME sont moins évidentes. Mais je reste persuadé que le cloud computing est une solution qu'elles devraient envisager, typiquement pour des applications non-spécifiques.


CCM - On sait qu'une partie de la sécurisation des données informatiques passent par le comportement rationnel des collaborateurs. Quels conseils pratiques les entreprises hébergeant leurs données/applications dans des datacenters doivent-elles fournir à leurs employés ?

J-J-C. - Je ne crois pas qu'il y ait une différence fondamentale pour le comportement des utilisateurs entre la sécurisation des données en site propre et en site virtuel. Les politiques de sécurité s'appliquent dans des domaines similaires : accès, manipulation et distribution de données, utilisation de mots de passe, respect des règles d'utilisation et de conservation du matériel, installation non-contrôlée de logiciels externes, règles d'utilisation d'Internet, etc.

Enfin, toute bonne politique de sécurité comporte un volet de sensibilisation des utilisateurs à la sécurité informatique, je pense que c'est la pierre angulaire de toute bonne sécurisation de l'information.

En savoir plus
Le site internet d'Unisys France
A voir également