Transformation in die Cloud - welche Cloud darf es sein?
Sécurité Industrielle

Sécurité et simplicité, maintenant.

28 juil. 2016

M. Abolhassan, il y a pléthore d’études et de sondages consacrés à la sécurité informatique et publiés chaque semaine. Les résultats en sont similaires. Les menaces grandissent, et les sociétés ne se sentent pas suffisamment armées pour se défendre.
Cependant, les incidents remarqués ne sont pas liés au cloud informatique, alors que c’est précisément ce cloud informatique que les entrepreneurs semblent considérer comme un facteur de risque. Les conclusions semblent donc certes similaires, mais aussi contradictoires. 

De nombreuses sociétés sont encore dans l’incertitude et trop peu informées sur l’informatique. Mais le sujet est à la mode. Tout le secteur de l’informatique veut participer au débat. La plupart des grandes contributions ont commencé par des incidents spectaculaires et des scénarios catastrophiques, car c’est ainsi qu’on attire l’attention... Mais c’est aussi fatiguant pour de nombreuses entreprises. Les producteurs aiment alors rapporter les incidents à leurs produits, semant plus le trouble parmi leurs clients plus qu’ils ne les informent ou les soutiennent.
Security
Les chevaux de Troyes ne sont pas les seules à menacer la sécurité IT des entreprises.

Devrait-on mettre plus l’accent sur les réponses à apporter aux cyber-risques ?

La discussion me semble stagner. On se borne à tourner autour des pare-feu, des antivirus et autres outils censés repousser les attaques et qui doivent effectivement être utilisés. Mais que faire face à des attaques millimétrées, au travail de professionnels ? Comment répondre à de nouveaux risques résultant des tendances observables dans le monde de la numérisation telles que la mise en réseau des appareils ? Avant tout, comment organiser la sécurité de manière à ce qu’elle soit mise en application, facile à obtenir et à pratiquer ? Il reste beaucoup à faire de ce côté.

Mais les choses deviennent de plus en plus complexes et compliquées, notamment à l'égard de cette interconnexion entre de nombreux appareils...

La sécurité informatique et sa complexité ont tendance à rebuter les gens. C’est pourquoi ils préfèrent se cacher la tête dans le sable et faire comme si de rien n’était. C’est une tactique qui peut fonctionner un certain temps. Plus de deux tiers des experts en informatique affirment ne pas avoir noté d’incident majeur dans leurs sociétés ces dernières années. Mais j’ai des doutes à ce sujet, car bien des attaques demeurent inaperçues. De plus, plus d’un tiers d’entre eux admet dans ce même sondage avoir eu à faire face à un ou plusieurs incidents majeurs ces dernières années. L’Allemagne et ses quelque 330 000 entreprises et dix fois plus de salariés représenteraient alors plus de 100 000 victimes de cybercrimes. Je pense que ce chiffre nous intime de traiter le sujet avec le sérieux qu’il mérite. 

Quelle est votre réponse ?

Il nous faut affronter le problème dès le départ. « Pensez Sécurité ». Faites de la sécurité informatique un outil simple. Simple à obtenir, à comprendre et à utiliser. Nombre d’utilisations souffrent encore de n’être maîtrisées que par les experts de la sécurité. Ne pourrait-on pas imaginer un logiciel de sécurité ne détectait pas seulement les programmes malveillants connus mais aussi inconnus ? Un logiciel pouvait suivre toutes les opérations réalisées par un smartphone et détecter toute opération inhabituelle, un peu à l’instar d’un électrocardiogramme chargé du suivi de l’activité cardiaque ? Et si les algorithmes d’apprentissage automatique étaient capables de déterminer automatiquement les meilleures manières possibles de repousser les attaques ? Il se trouve que nous avons mis au point Mobile Protect Pro, une solution de sécurité permettant tout cela. Ayant découvert un téléphone de fonction infecté, le système va l’exclure automatiquement du réseau interne de l’entreprise. Cette information remonte ensuite jusqu’au propriétaire de la société et au département chargé de la sécurité, qui prendront ensuite les mesures nécessaires pour ce qui est de la suite des opérations. Voilà ce qu’on entend par simplicité.

Outre des solutions plus simples, quels aspects importants pourraient contribuer à réduire les cyber-risques qui pèsent sur les entreprises ? 

Il nous faut assembler nos forces. C’est pourquoi nous avons décidé de coopérer avec notre partenaire AlienVault pour proposer un système de sécurité permettant à nos clients professionnels de bénéficier du savoir-faire et des connaissances d’autres sociétés par le biais d’une plateforme d’échange. Les membres de cette plateforme, qui sont plus de 30 000, y déposent des rapports faisant état de cas ou de schémas d’attaques en temps réel. On y échange également des méthodes servant à repousser de telles attaques. Cela signifie que tout le monde s’entraide et que la sécurité en sort améliorée à une large échelle. La plateforme Cyber Security Sharing and Analytics e. V. (CSSA) a été établie sur la même idée. De larges groupes partagent leurs expériences en matière de cybersécurité sur la base d’un donnant-donnant équitable. Tous les membres de la plateforme, parmi lesquels on compte Allianz, BASF, Siemens et bien sûr Telekom, sont convaincus du fait que le partage de savoirs est essentiel pour une défense efficace. 

M. Abolhassan, pour achever notre entretien, j’aimerais que vous nous parliez de la sécurité dans le cadre de l’informatique en cloud. L’étude « eco study » se concentre principalement sur la sécurité, notamment sur la sécurité des appareils mobiles ou encore les logiciels malveillants sur le réseau. Quel regard portez-vous sur cela ?

La nature humaine est ainsi faite que l’on voudrait tout contrôler soi-même, c’est une chose que je peux comprendre. Nous savons chez Telekom être dans les petits papiers des pirates, qui lancent entre 4 et 6 millions d’attaques par jour sur nos pots de miel. Pour nous protéger et protéger les données de nos clients, nous faisons de notre mieux pour que nos centres de données, réseaux, plateformes et services soient aussi sûrs et fiables que faire se peut. 
Il y a de plus la loi fédérale allemande sur la confidentialité des données, la Bundesdatenschutzgesetz (BDSG). A nos mesures de sécurité s’ajoute notre programme de gestion Zero Outage (zéro panne de courant). Outre les technologies, nous suivons de près nos processus et notre personnel en permanence. Nous pouvons proposer à nos clients des services d’informatique en cloud sur la base de cette approche généraliste. Aucune PME ne peut assumer seule les coûts et efforts que nous prenons sur nous. Seul un acteur d’échelle mondiale comme nous peut aujourd’hui assurer le maximum en termes de sécurité et de qualité.