Cloud et protection des données : une histoire de liaisons dangereuses (Par François GRATIOLET, Fondateur et Managing Partner, Business Digital Security)

La donnée, le nouvel or noir de l’économie

Les cyber-attaques sont de plus en plus globales, ayant pour cible les données clients, et s’intensifient à la fois en termes de fréquence, d’impacts financiers et de visibilité :

• La violation de données a coûté à la société Target une baisse significative de ses bénéfices, qui a été estimée à environ 40% au 4ème trimestre de l’année 2013
• En octobre 2016, la société Talk Talk[1]a été sanctionnée par le régulateur Information Commissioner’s Office (ICO) à payer une amende de 400,000 £ suite au vol de données de 150,000 enregistrements de ses clients en 2015.

Les actifs informationnels d’une société représentent une valeur considérable, et la nécessité de les protéger n’a jamais été aussi critique. Des approches émergentes en termes de protection de l’information, malgré une offre technologique pléthorique

Une approche pragmatique consiste à non plus « ériger un mur » autour des infrastructures informatiques, mais de protéger en priorité les données les plus stratégiques pour l’entreprise (i.e. « les joyaux de la couronne ») en fonction de la valeur qu’elles représentent pour l’entreprise. Ces démarches résolument orientées business sont préconisées auprès des Directions Générales par les cabinets de conseil en stratégie (AT Kearney, [2]McKinsey…).

Cependant, peu de sociétés en France semblent avoir adopté une approche centrée sur les données :

• Des politiques de classification et de protection des données ont été définies, et documentées, mais ne sont pas ou peu appliquées.
• Certaines initiatives (telles que l’identification des informations sensibles, la classification des données, le contrôle d’accès aux serveurs de fichiers, ou le déploiement de solutions de partage sécurisé de fichiers, de solutions de messagerie sécurisée, de solutions Enterprise Right Management-ERM…) se développent, mais il existe un manque de stratégie « holistique ».

L’approche reste centrée sur l’informatique et insuffisamment sur la donnée. Cela conduit à mettre en place des projets technologiques souvent sur un périmètre très restreint en nombre d’utilisateurs sans un déploiement généralisé, en réponse ponctuelle à des audits et des exigences réglementaires. Les défis prioritaires restent de découvrir et d’identifier les données les plus précieuses.

De manière paradoxale, le marché mondial de la sécurité des données est inondé par un tsunami de solutions technologiques, beaucoup avec un chevauchement des fonctionnalités et des offres peu lisibles pour les utilisateurs finaux. Forrester a identifié une vingtaine de segments et plus de 200 fournisseurs[3], le marché de la sécurité des données représentant en 2014 environ 17% du marché technologique de la sécurité.

L’accélération de l’adoption du Cloud

Dans un contexte de transformation digitale (Know Your Customer, nouveaux services…), le Cloud apporte de nombreuses opportunités, et l’adoption du Cloud quel que soit son modèle (IaaS/PaaS/SaaS/DaaS) ou son mode de déploiement (public/communautaire/privé) est désormais inéluctable.

Le Cloud présente aussi des risques à connaître (avec des impacts en termes d’image, de pertes financières ou de non-conformité, qui varient selon l’entreprise et son contexte) et à maîtriser en connaissance de cause. Ces risques sont liés principalement à une atteinte à la confidentialité des actifs informationnels qui créent de la valeur pour les lignes métiers d’une entreprise.

Par ailleurs, la pression réglementaire, en particulier dans le secteur de la finance, devient très forte dans les différentes régions du monde (Autorité de Contrôle Prudentiel et de Résolution en France, Financial Conduct Authority au Royaume-Uni, Financial Services Authority au Japon…) avec une attention particulière sur le Cloud et la protection des données à caractère personnel (EU General Data Protection Regulation), ainsi que des obligations pour les opérateurs critiques (EU NIS Directive, LPM en France…).

Le phénomène du Cloud ne permet que difficilement aux grandes entreprises, mais aussi pour les PME et TPE, de prendre conscience de leurs responsabilités concernant leurs données[4].

En pratique, les questions clés que le client devrait poser à son fournisseur de Cloud sont aussi bien de nature organisationnelle, opérationnelle, sécuritaire (et souveraine) que juridique, par exemples (non exhaustifs) :

• Dans quel pays le fournisseur Cloud est-il établi ? l’infrastructure du fournisseur est-elle limitée à un pays ou s’étend-elle dans plusieurs pays ?
• La législation applicable au titre du contrat est-elle la même que les législations susceptibles de s’appliquer aux données (du fait de leur lieu de traitement, etc.) ?
• Où les données seront-elles physiquement stockées ? Le fournisseur est-il en capacité de garantir la suppression immédiate des données client à l’issue du contrat ?
• Comment les données de la société cliente (qui lui appartiennent en propre ou qui appartiennent à ses propres clients) sont-elles protégées, traitées et transférées ?
• Comment les données sont-elles chiffrées par le fournisseur Cloud ? Le client est-il en capacité de chiffrer ses données à l’aide de clefs cryptographiques gérées par lui-même ?

L’émergence récente des solutions technologiques d’accès sécurisé au Cloud

Les besoins d’accès sécurisé au Cloud et de protection des informations confiées au fournisseur deviennent ainsi un enjeu stratégique pour les entreprises clientes.

Protéger les informations stratégiques est devenu un défi colossal pour les entreprises. Se focaliser dans un premier temps sur les informations hébergées dans le Cloud permet également d’initier de manière concrète, pragmatique et visible au sein de l’organisation une démarche de protection de l’information.

Même si les solutions Cloud disposent de plus en plus de capacités « natives » de chiffrement, les clients souhaitent disposer d’un tiers de confiance de protection des données qui permet entre autres de découvrir les données sensibles qui quittent l’entreprise (de manière non intentionnelle ou malveillante), de chiffrer les données avec leurs propres clefs cryptographiques, d’encadrer l’accès à certains services Cloud…

Un marché de fournisseurs technologiques spécialisés (appelé Cloud Access Security Broker-CASB par Gartner, ou Cloud Data Protection-CDP par Forrester) se développe à grande vitesse. Ces solutions fournissent un point de contrôle unique pour l’accès simultané à de multiples services de cloud, pour tout utilisateur ou périphérique.

Ce marché présente les caractéristiques suivantes :

• Des acteurs en majorité d’origine américaine ou israélienne
• Une intensité concurrentielle très forte. En 2015, Forrester[5] a identifié 17 « pure players » : Actifio, Adallom, BetterCloud, CipherCloud, CipherPoint, CloudLink, CloudLock, Digital Guardian, nCrypted Cloud, Perspecsys, Porticor, Skyfence, Skyhigh Networks, Sookasa, Trend Micro, Vaultive, and Voltage Security
• En phase de consolidation : par exemples, rachat en 2015-2016 d’Elastica et Perspecsys par Blue Coat puis Symantec, rachat d’Adallom par Microsoft

Le règlement GDPR de protection des données à caractère personnel de l’Union Européenne, combiné avec l’adoption massive du Cloud par les entreprises de moyenne ou grande taille, est probablement l’un des facteurs clefs de la croissance du marché de la protection des données en Europe et en France au cours des années à venir. Ce règlement pourrait en effet imposer des amendes pouvant aller jusqu’à 4% du chiffre d’affaires global d’une société pour des violations de données graves qui résultent d’une négligence caractérisée. La violation de données chiffrées n’entrainera pas les mêmes sanctions, ce qui aura pour effet d’inciter les entreprises à chiffrer leurs données externalisées. Ainsi, l’acteur Skyhigh Networks vient d’annoncer[6] en octobre 2016 la disponibilité d’un service « GDPR ready ».

Bien que des solutions technologiques et opérationnelles matures existent, celles-ci restent peu déployées en France et Europe. Un effort important d’évangélisation a été effectué par des acteurs américains comme CipherCloud ou Elastica (désormais Symantec) et a permis d’éduquer le marché.

Le marché du CASB ou CDP reste cependant un marché de niche mais est à très fort potentiel (marché estimé à 7.51 Milliards $ en 2020[7]). Ainsi, des acteurs français innovants se positionnent sur le marché français et européen telle que la société Difenso[8], et proposent une alternative aux offres d’éditeurs américains.

[1] http://www.wired.co.uk/article/talktalk-fine-hack-400000

[2] https://www.atkearney.com/paper/-/asset_publisher/dVxv4Hz2h8bS/content/the-golden-rules-of-operational-excellence-in-information-security-management/10192

[3] Forrester TechRadar TM: Data security, Q2 2014

[4] Le cloud et le faux sentiment de propriété (https://business-digital-security.com/cloud-and-the-false-sense-of-data-ownership/

[5] Market Overview: Cloud Data Protection Solutions (February 25, 2015)

[6] http://www.globalsecuritymag.fr/Skyhigh-Networks-propose-un,20161004,65901.html

[7] http://www.marketsandmarkets.com/PressReleases/cloud-access-security-brokers.asp

[8] https://www.difenso.com