3’:HIKNPA=\U^UUW:?k@a@a@n@f";M 03507 - 3H - F: 9,00 E - RD

Belgique : 9,50 € - Luxembourg : 9,50 € - Suisse: 16,20 CHF

IMPÔTS : L’ANNÉE BLANCHE ? CYBERSÉCURITÉ : LA MENACE FANTÔME

CLASSEMENTLES MEILLEURS

AÉROPORTS

DOMINIQUEDESSEIGNE

LAURAFLESSEL

DOMINIQUECERUTTI

ISABELLEKOCHER

BERTRANDPICCARD

ANNE-SOPHIEPICLA REDOUTE

DEUX ENTREPRENEURSLA RESSUSCITENT

EMMANUEL MACRON DONALD TRUMPNATHALIE COLLIN CLARA GAYMARD

GUILLAUME POITRINAL VITALIE TAITTINGER JEAN TODT

SPORT BUSINESSRONALDO • MESSI • NEYMAR • GRIEZMANN • POGBA • MBAPPÉ

LES STARS LES PLUS RENTABLES

www.forbes.fr FORBES N °3 - 2018 | 103

La cybermenacefantômeLe cybercrime paie, plus que jamais. Le piratage demusiques et de films est largement dépassé. Le butaujourd’hui peut être de détourner des millions lors detransactions financières, d’obtenir le paiementde rançons très élevées, de fabriquer frauduleusementde la cryptomonnaie, de nuire à des concurrents,de truquer des élections voire de discréditer ungouvernement.PAR PIERRE MANGIN, FORBES

La France s’est abstenue (comme elle le faitgénéralement).

La dimension internationale est de plusen plus souvent mise en avant et brouillela distinction entre cybercriminalité etcyberguerre. L’agence de presse allemande DPAa révélé fin février 2018 que des cybercriminelsavaient réussi à pénétrer le réseau informatiquedu Bundestag, le parlement fédéral à Berlin. Ceréseau porte les échanges entre le parlement,la chancellerie, la Cour des comptes, lesministères et les services de sécurité. Lesattaquants, désignés sous les noms de FancyBear, APT28 / 29, TURLA ou Tsar Team,seraient liés au renseignement russe. Ces entitésauraient attaqué TV5 Monde, mais égalementla convention démocrate lors de l’électionprésidentielle américaine et déjà en 2015, leBundestag. La Russie a toujours nié.

PC, smartphones, scanners IRM,casques VR…

Les cyber-attaques d’Etat suivent les aléas destensions diplomatiques. Lors de l’inaugurationdes JO d’hiver de Pyeongchang en Corée duSud, le site web, dont l’infrastructure était géréepar le français Atos, a été durement éprouvédurant plusieurs heures. Les soupçons se sontportés plutôt vers la Russie (quasiment excluedes JO pour dopage) que vers la Corée duNord. Le malware identifié, baptisé ‘OlympicDestroyer’ utilisait en effet un mode de

OH, LES ‘RANSOMWARES’(OU RANÇONGICIELS),comme le célèbre WannaCry, bienque stabilisés ou en baisse, n’ont

pas disparu et les sommes récoltées ne sont pasnégligeables. Ainsi, durant l’été 2017, d’aprèsla société canadienne Cytelligence, une grandefirme nord-américaine a accepté de payer425 000 dollars canadiens en bitcoins pourrécupérer ses données1. Leur propagation estdue à un ‘botnet’ (un réseau ‘robot’ constituéd’ordinateurs zombies, contaminés par un‘trojan’ ou cheval de Troie). C’est le cas deNecurs, qui aurait déjà infecté 5 millionsd’ordinateurs dans le monde. Une singularitéà noter : ce dernier ne s’exécute pas lorsque leposte visé est paramétré en… russe.

En juin 2017, plusieurs institutions d’Ukraineont été victimes de cyber-attaques, dont cellesutilisant ‘NotPetya’ contre des sites web maisressemblant à des ‘ransomwares’. Le pays a misen cause son voisin, la Russie. En février 2018,parallèlement à l’affaire de l’empoisonnementde l’ex-agent russe Sergueï Skripal, Londres aexplicitement repris cette accusation contrela Russie, accusant l’armée russe d’être « trèsprobablement responsable de la cyber-attaque ».Les Etats-Unis lui ont emboîté le pas, ainsi quel’Australie, la Nouvelle Zélande et le Canada.

1 Ces ransomwares muent. Les dernières versions s’introduisentvia des PDF. La moyenne des paiements obtenus en 2017 serait de522 dollars.

INNOVATION@

104 | FORBES N°3 - 2018 www.forbes.fr

propagation proche de BadRabbit et NotPetya,généralement attribué à la Russie…

L’univers de la finance reste régulièrementvisé par ces attaques DDOS (sortes debombardements de requêtes mettant à genouxles serveurs d’accès) mais l’univers high-tech n’yéchappe pas. Ainsi, en France, à plusieurs reprisesdepuis septembre 2016, l’hébergeur OVH a faitl’amère expérience de charges atteignant 1,5 To/s(soit 1 500 Gigas/s !) provenant de 10 000 sourcesdifférentes issues de 1 600 systèmes autonomes.Beaucoup proviennent des botnets Pbot ou Mirai,mais des dérivés plus sophistiqués apparaissent(Reaper, IOTroop).

Les smartphones ne sont pas épargnés – denombreux utilisateurs en France ont été lacible du malware Locky, capable d’envoyerdes emails avec des pièces jointes piratées,ou du logiciel espion Skygofree qui aspire lesdonnées et permet la prise de contrôle (accès‘root’). Même les appareils médicaux - appareilsde radiographie, scanners IRM - peuventêtre infectés. Depuis 2015, c’est la spécialitéd’un groupe de hackers, Orangeworm. Pourdes activités d'espionnage visant des sociétésmultinationales, il installe le ‘malware’‘Kwampirs’. Le but premier, selon Symantec,serait d’apprendre comment ces appareilsfonctionnent.

Les casques de réalité virtuelle sont, euxaussi, victimes de vulnérabilités dans le kitde développement ‘OpenVR’. Il y a là aussidanger : les contenus affichés au joueur, dont ladélimitation de l’espace physique, pourraientêtre modifiés à son insu.

… et surtout, crypto-monnaiesMais depuis quelques mois, les cybercriminels

se sont massivement orientés vers le nouveauterrain de jeu que sont les crypto-monnaiesou ‘crypto-actifs’ (terme recommandé par laBanque de France). Selon Ernst & Young, plus de10% des fonds provenant de levées de fonds encrypto-monnaie ou ICO (Initial coin offerings)- forme de ‘crowdfunding’ qui utilise la‘blockchain’ (comme le fait le Bitcoin) – ont étéperdus ou volés par des pirates informatiques.Le seul fonds 372 ICO a perdu 400 millions dedollars sur les 3,7 milliards collectés entre 2015et 2017.

« En moyenne, les pirates volent 1,5 millionde dollars de crypto-monnaie chaque mois »,constate le rapport Sécurité 2017 de Symantec.

« L’essentiel des vols est dû à du ‘phishing’ » (ouhameçonnage).

Ainsi, les cybercriminels s’exercent désormaisau cryptojacking, qui consiste à lancer desexécutions de « minage » ou fabrication decrypto-monnaie, à l'insu des possesseursd'ordinateur - le minage (‘mining’) résultantde longues opérations d’encryptage/décryptageet nécessitant des ressources informatiquesconséquentes. Or, détourner des ordinateurspour faire du ‘mining’ est plus simple qued'installer des virus. Et même les ordinateursrelativement bien protégés peuvent être« agrippés » lors d’une simple visite sur unsite web, comme Showtime (pour fabriquerla crypto-monnaie Monero). Apple vient deretirer de l’AppleStore l'application Calendar 2qui permettait de « miner » de la monnaiesubrepticement. Pour l’utilisateur, cela se traduitpar un ralentissement de l’ordinateur et unesurchauffe subite de l’appareil et de sa batterie,assez vite repérable.

Tous les ordinateurs sont des ciblespotentielles. En février, Securityweek relataitqu’un logiciel d’exploitation de stationsd’épuration en Europe, d’origine GeneralElectric, était porteur d’un agent pirate decrypto-monnaie.

Parmi les éléments suivants liés à la cyber-sécurité, quels sont ceuxauxquels votre entreprise a été concrètement confrontée au coursdes 12 derniers mois (142 répondants) SOURCE: CESIN

EN MOYENNE,LES PIRATESVOLENT 1,5MILLION DEDOLLARSDE CRYPTO-MONNAIECHAQUE MOIS

INNOVATION@

BULLETIN D’ABONNEMENT

MagazineJe m’abonne à Magazine, Edition françaiseParution trimestrielle

� 1 an / 4 numéros : 30 € au lieu de 36 €

� 2 ans / 8 numéros : 50 € au lieu de 72 €

Je règle par chèque à l’ordre de :360 BusinessMedia (société éditrice de Forbes France)

Mes coordonnées� Mme � Mlle � Mr

Nom : ................................................................................................

Prénom : ..........................................................................................

Société (facultatif) :......................................................................

Adresse : .........................................................................................

..............................................................................................................

Code Postal : .................................

Ville : .................................................................................................

E-mail : .............................................................................................

Tél. : ...................................................................................................

A compléter et à envoyer accompagné de votre réglement à :Forbes France - 33 rue Galilée - 75016 Paris

E-mail : info@forbes.fr

ARRIVE EN FRANCE

106 | FORBES N°3 - 2018 www.forbes.fr

INNOVATION@

Protéger lesdonnées etles processuscritiques : vers uneSecurity By DesignLe RGPD nous impose et nous apprend à penserla « privacy by design ». Si les points de vue del’entreprise et celui des « personnes concernées »peuvent différer, les mesures de protectionconvergent, dans l’intérêt de tous. Cause communedonc pour le security and privacy by design !PAR MYLÈNE JAROSSAY, CISO DU GROUPE LVMH

LA CYBERSÉCURITÉ a pourprincipal objectif de protégerl’information qui a de la valeur pourl’entreprise, parce qu’elle soutient

sa stratégie, parce que cette protection estnécessaire à la conformité réglementaire, maisaussi parce que cette protection, lorsqu’elleconcerne des individus, apporte la confiancenécessaire à la relation entre l’entreprise et cespersonnes. Si l’information était divulguéeou altérée, cela aurait un impact négatif surla réputation de l’entreprise, sur le lien tisséentre l’entreprise et ses clients, ses salariés, sesactionnaires, ou encore ses partenaires.

Même si l’effervescence autour de l’applicationdu RGPD fait que les efforts du moment seconcentrent sur la protection des données,la cybersécurité se doit aussi de protéger lesprocessus critiques de l’entreprise car ceux-cisont de plus en plus intimement liés au systèmed’information. Des incidents sur le SI peuvententraîner de très fortes dégradations de cesprocessus. Cette dépendance au SI dépassed’ailleurs les frontières de l’entreprise. Il fautconsidérer l’entreprise étendue, un écosystèmeavec des partenaires et sous-traitants au niveaudes métiers et du SI lui-même, notamment

des offreurs de solutions dans le nuage. Cetteentreprise étendue a besoin de partager un SIsécurisé et fiable.

Dans un contexte complexeLe challenge actuel est de protéger des

processus et des données qui s’appuient surdes systèmes morcelés, disséminés, éparpillés,avec une surface d’attaque considérablementaugmentée, une dimension spatiale etorganisationnelle telles que les cartographierdevient trop complexe.

En ajoutant l’axe temporel de la transformationdigitale, qui construit des solutions sur des cyclestrès courts, il devient illusoire de pouvoir faire letour complet du propriétaire avant de juger de laprotection la mieux appropriée.

D’autant qu’il n’est question, ici, que deprotéger ce qui est connu, sans intégrer, pardéfinition, le « shadow IT ». Même flous, lescontours de ce dernier laissent présager quenombreux sont ceux qui succombent auxsirènes des offreurs de systèmes d’information àmonter soi-même, dont le modèle économiquepremier consiste à capter les données, souventillégitimement et quelquefois illégalement.

La bonne nouvelle, peut-on penser, est qu’une

L’ENTREPRISEÉTENDUE ABESOIN DEPARTAGERUN SYSTÈMED’INFORMATIONSÉCURISÉ ETFIABLE

www.forbes.fr FORBES N °3 - 2018 | 107

constellation de « petites » solutions préserved’une dépendance à un système unique, avecdes impacts potentiels forts s’il était corrompuou indisponible. Sauf que ces solutionss’appuient souvent sur une intégration plusou moins maîtrisée de la sécurité des briquesd’infrastructure des mêmes poids lourds ducloud public avec leur propre écosystème, étenduet complexe. Double peine d’une intégrationdangereuse et de la dépendance.

L’exercice difficile consiste à identifier,retrouver et protéger ses pépites du moment,dans une topologie inextricable et mouvante.Les attaquants profitent largement de l’allureindescriptible de cet ectoplasme informationnelet de l’asymétrie intrinsèque entre eux et lesdéfenseurs. Entre deux lutteurs à mains nues, lesarmes étaient égales. Le défenseur d’un villageavait fort à faire pour bloquer toutes les issuessans compter les menaces internes qu’il fallaitdébusquer. Sur des SI désormais protéiformesaux multiples points d’entrée, l’attaquant estnettement avantagé par rapport au défenseur.Sans compter que le défenseur doit aussi réagirà des attaques dont il n’est pas la cible première,juste un dommage collatéral, colocation dans lecloud oblige.

Les outils de la défensePour répondre à ce contexte de risques, la

cybersécurité s’appuie sur du contractuel etsur des organisations, des processus et desmoyens techniques. Plus les systèmes sontrépartis auprès d’acteurs du cloud, plus la partcontractuelle prend son importance, car ils’agit d’acheter un service et non plus de bâtirdes architectures en propre. L’évaluation de lamaturité en matière de sécurité des prestataireset des solutions ainsi que la sécurisationdes contrats sont essentielles et vertueuses.Elles concourent à l’amélioration continuedes solutions et permettent d’écarter cellesqui présentent des risques inacceptables.Néanmoins, les moyens contractuels peuventparfois se heurter à des questions de niveaux deresponsabilités pour les petits prestataires et decapacité de contrôle des plus gros.

Les stratégies de défense se déroulent selontrois grandes phases, premièrement avec desmoyens de prévention et protection, puis desmécanismes de surveillance et de détection, etenfin des dispositifs de réponse à incident et derésilience pour rétablir l’activité nominale. Duvaccin au traitement de choc, en passant par unsuivi diagnostique régulier.

La prévention et la protection constituent unepart fondamentale indispensable. A conditionde s’efforcer de bien isoler et protéger les actifsles plus critiques car la surface d’attaque nepermet plus une couverture complète. Il ne faut

INNOVATION@

SUR DESSYSTÈMESD’INFORMATIONPROTÉIFORMESAUX MULTIPLESPOINTSD’ENTRÉE,L’ATTAQUANTEST NETTEMENTAVANTAGÉ PARRAPPORT AUDÉFENSEUR.

Priorité des entreprises en matière de sécurité pour les18 prochains mois SOURCE: IDC/IBM, 33 GRANDS COMPTES FRANÇAIS (07/2017)

©TH

AN

AN

IT

108 | FORBES N°3 - 2018 www.forbes.fr

pas diluer ses dispositifs de protection etprendre le risque de l’homéopathie et de laperméabilité.

La surveillance et la détection, à traversla mise en place de Cyber SOC, jouent unrôle de plus en plus déterminant dans lesstratégies de défense. Repérer les signauxfaibles et prendre le remède dès que lesymptôme est là pour être en mesure de fairele bon diagnostic et apporter une réponseimmédiate et ciblée plutôt que se protéger auhasard.

En aval, les mécanismes de réponseà incident et de cyber-résilience sontles derniers remparts pour sécuriser lesactivités métiers. Lorsque les SI étaient desmonolithes hébergés dans des infrastructuresmajoritairement locales ou privées, l’effort seconcentrait sur la construction de datacentersredondants. La réplication permettaitde basculer, dans le meilleur des cas, d’undatacenter sur son clone en cas de sinistre. Lesnouveaux SI mettent à mal les traditionnelsplans de reprise d’activité.

Il s’agit maintenant de savoir maintenirson activité si tel ou tel composant critiquedu SI disparaissait complètement sous unecyber-attaque destructrice. Il s’agit égalementde repérer les intersections sensibles entredifférents composants. Il s’agit enfin de répartirses ressources avec des solutions alternativesindépendantes et fondées sur des technologiesautres. La proposition de la cyber-résilience esten ligne avec les nouveaux SI disséminés qu’elleprotège. Elle joue la carte de la dispersion et dela diversification. Ceci afin de pouvoir rebondiravec agilité d’une solution sur une autre, sous lepilotage d’un RSSI urgentiste.

Vers une security by designL’essentiel pour tous ces dispositifs de

sécurité, quel que soit le moment pendant lequelils entrent en jeu, est qu’ils soient pensés dèsqu’un nouveau projet est envisagé. La « securityby design » est l’atout maître du défenseur.Déterminer les enjeux et la bonne prescriptiondès le début, avec une implication dupropriétaire métier concerné, permet de faire dela sécurité un élément natif de la solution. Celapermet de mettre des moyens proportionnés etpertinents au regard des risques, de bien régler

le curseur au plus près des enjeux métiers.Cela permet aussi d’éviter une sécurité tardivequi risque d’agir comme un couperet, face àl’innovation.

Il se trouve que les dispositifs de sécuritétendent à être en ligne avec les solutions qu’ilsprotègent. Ils sont souvent réalisés dans lecloud, peu intrusifs et agiles, faciles à monter etdémonter. Ils exploitent des grandes quantitésde données, notamment des journaux d’activité,en s’appuyant sur des techniques de big data.Ils recourent à des ressources distribuées et àla demande. Les programmes de bug bountyen sont une illustration. Enfin, ils utilisent destechniques de renseignement et de profilage.L’analogie se poursuivra si les promesses dumachine learning et de l’intelligence artificiellesont tenues.

Dans tous les cas, la sécurité by design nese fera pas sans expert. Il faut des expertspour faire de l’analyse de risques, pour desdéveloppements sécurisés, pour concevoir desarchitectures solides, pour bien configurer lesoutils, pour auditer, exploiter, surveiller, gérerles crises et réparer. Il faut des experts dansles équipes sécurité. Il faut aussi de l’expertisesécurité parmi ceux qui conçoivent les nouvellesformes de nos SI. La sécurité ne doit pas êtreseulement autour des solutions, mais égalementlogée à l’intérieur.

LA « SECURITYBY DESIGN »EST L’ATOUTMAÎTRE DUDÉFENSEUR

INNOVATION@

110 | FORBES N°3 - 2018 www.forbes.fr

INNOVATION@

Le dilemme du RGPDEntré en vigueur depuis quelques jours, le Règlement européen deprotection des données pose à toutes les entreprises une question cruciale.Comment gérer la transformation numérique des organisations dans unenvironnement réglementaire de plus en plus complexe ?PAR PHILIPPE COURTOT, CEO ET PRÉSIDENT DE QUALYS

LA TRANSFORMATIONNUMÉRIQUE DESENTREPRISES – l'utilisationdu cloud computing, de la mobilité,

de l’internet des objets et d'autres nouvellestechnologies pour rendre les organisations plusinnovantes, agiles et flexibles – devrait mobiliser6 000 milliards d’euros dans le monde, selonl’analyste IDC. Cet avènement est d’abordune chance, nécessitant toutefois anticipation,adaptation et vigilance car elle est en mêmetemps source de vulnérabilités et de menacesmultidimensionnelles considérables, capable decréer des crises mondiales.

Simultanément, les gouvernements élargissentla réglementation. Partout dans le monde, lesorganisations doivent désormais savoir quellessont les données personnelles des résidents del’Union Européenne, où elles sont stockées,avec qui elles les partagent, comment ellesles protègent et à quoi elles les utilisent. Lerèglement général de protection des données del'Union européenne (RGPD) exige égalementune réponse rapide aux demandes des résidentseuropéens, y compris la suppression, ou letransfert de leurs renseignements personnels.Les violations de données doivent êtresignalées dans un intervalle de 72 heures. Lesorganisations doivent également prouver qu'ellesont obtenu le consentement des citoyens dontelles traitent les données et s'assurer que lestiers avec lesquels ils partagent des données -fournisseurs, partenaires - se conforment auxexigences réglementaires.

La confluence de ces deux tendances obligeles organisations à accélérer leur transformationnumérique et à repenser la sécurité comme unenjeu de performance qui peut s’avérer vital. Or,il n’est pas raisonnable de continuer à ajouterdes solutions de sécurité pour chaque nouvelenvironnement ou réglementation.

Il devient donc nécessaire de couvrir lesnouveaux besoins réglementaires à partir d’uneseule et même plate-forme qui apporte unevue unique aux responsables informatiques,aux équipes de sécurité et auditeurs deconformité. Cela suppose de redéfinir les outilsde prévention et d’analyse en se tournant versdes architectures et des solutions basées sur desarchitectures cloud qui permettent de visualiser,partager et automatiser en permanence à la foisla posture de sécurité et de conformité.

Cette tâche est complexe car les initiativesde transformation numérique introduisentde nouvelles applications et des servicesWeb en constante évolution qui génèrent,collectent et analysent des quantités massivesde données client. La visibilité complète deleur environnement informatique hybride- sur site, dans le cloud et sur les terminauxmobiles - est désormais primordiale poursurveiller et sécuriser en continu ces ressourcesinformatiques et afin de gérer les risques et laconformité.

REDÉFINIRLES OUTILS DEPRÉVENTION ETD’ANALYSE

Dans votre entreprise la transformationnumérique a-t-elle un impact sur lasécurité des systèmes d’information etdes données ? (142 répondants) SOURCE: CESIN

Tout à fait

Plutôt

Plutôt pas

Pas du tout

www.forbes.fr FORBES N °3 - 2018 | 111

La souveraineté des données :une nouvelle bataille perdue ?La souveraineté numérique n’est pas une préoccupation nouvelle mais force estde constater que, sur le plan du matériel, la bataille semble définitivement perduetandis que sur le plan logiciel, même si quelques pépites européennes et françaisestentent de s’imposer, le paysage est largement dominé par les logiciels étrangers etsingulièrement américains. Reste la souveraineté des données…PAR ALAIN BOUILLÉ, PRÉSIDENT DU CESIN (CLUB DES EXPERTS DE LA SECURITE DE L’INFORMATIONDU NUMÉRIQUE)

LA SOUVERAINETÉ DESDONNÉES est devenue unepréoccupation forte au début dela décennie 2010 avec les affaires

d’espionnage américain via le numérique.Chaque acteur averti pouvait se douter deleur existence mais les révélations du lanceurd’alerte Edward Snowden ont mis en lumière unvéritable arsenal qui reposait sur une connivencedes grands acteurs numériques avec les servicessecrets américains. Un des programmesrévélés par Snowden en 2013, PRISM, indiquaitque la NSA disposait d’un accès direct auxdonnées hébergées par les géants américainsdes nouvelles technologies de l’époque etque l’on n’appelait pas encore les GAFAM, àsavoir, Google et YouTube, Apple; Facebook,Microsoft, mais aussi Yahoo, Skype, AOL…La mise en œuvre de ce programme remontaità 2007, dans le cadre des mesures prises aprèsles attentats du 11 septembre 2001. Le recoursaux services du cloud public n’avait pas atteint,à l’époque, le niveau où nous le connaissonsaujourd’hui. Même si les grandes entreprises ontété marquées par ces révélations, elles ne se sontpas, pour la plupart, senties concernées, n’ayantpas encore confié massivement leurs données àces acteurs. Les préoccupations se sont plutôtconcentrées sur les données privées, que chacund’entre nous avait déjà très largement confiéesaux futurs GAFAM via les réseaux sociaux etles messageries essentiellement. Plus de dixans après, cette collecte est désormais arrêtée,ou tout du moins présentée à l’arrêt — leprogramme PRISM est toujours en vigueur,mais sous une nouvelle forme.

La législation américaine, s’appuyant

notamment sur le Patriot Act, le FISAAmendments Act et plus récemment le CloudAct, impose désormais aux acteurs américainsdu numérique de fournir sur demande lesdonnées électroniques de personnes ouentités non américaines dont ils disposent.Un des articles du FISA Amendments Acts’applique particulièrement aux acteurs ducloud computing comme Microsoft, Google,Amazon… Il les contraint à fournir surdemande les données hébergées dans leursdatacenters, qu’ils soient localisés aux États-Unis ou ailleurs à l’étranger. Les annoncesd’ouverture de datacenters en France nediminuent en rien les risques car leursopérateurs demeurent de nationalité américaine,certes soumis aux lois françaises mais aussi auxlois de leur pays d’origine. Cette situation estaujourd’hui considérée comme un risque majeurpour la souveraineté des données européennespar le Parlement Européen. L’expression « colonienumérique » concernant l’Europe vis-à-visdes États-Unis revient régulièrement dans lesdiscours. Mais quand allons-nous passer dudiscours aux actes ? Depuis plusieurs années,

Un grand nombre d’entreprises touchéespar des cyber-attaques cette année SOURCE: CESIN

UN VÉRITABLEARSENAL, QUIREPOSE SUR UNECONNIVENCEDES GRANDSACTEURSNUMÉRIQUESAVEC LESSERVICESSECRETSAMÉRICAINS

INNOVATION@

112 | FORBES N°3 - 2018 www.forbes.fr

INNOVATION@

les services hébergés dans le cloud progressentfortement auprès des entreprises, de par lesbénéfices qu’ils apportent : pas d’investissementinitial, simplification de la gestion opérationnelle,flexibilité de tarification, scalabilité desinfrastructures, richesse des traitements… Maisforce est de constater qu’en la matière les offressouveraines ne sont pas légion et pour les servicesles plus prisés comme Office 365 proposé parMicrosoft, la seule offre concurrente sérieuse estproposée par… Google !

Sans minimiser les problématiques de laprotection des données privées des citoyens, lesujet de la protection des données sensibles desentreprises est de plus en plus préoccupant. Lescitoyens peuvent encore choisir des opérateursnationaux pour leurs messageries personnelles ;ils peuvent aussi décider de ne pas dévoiler leurvie privée sur les réseaux sociaux, mais quelchoix se présente pour les entreprises en matièrede solutions digitales modernes et évolutives?En septembre 2016, Microsoft indiquait que32 groupes du CAC 40 avaient opté pour sa suitebureautique en mode cloud. Ces entreprisessont informées des risques d’espionnage, elles

ont probablement mené des analyses de risquespar leurs spécialistes sécurité qui ont envisagédes solutions de chiffrement voire des solutionshybrides où la part des utilisateurs la plussensible de l’entreprise resterait « on premises »c’est-à-dire hébergée en interne. Mais la réalitéest que les solutions de sécurisation diminuentdrastiquement l’expérience utilisateur. Unedonnée chiffrée avec des clés de chiffrement

conservées par l’entreprise empêche l’hébergeur/éditeur d’y avoir accès. Du coup ce dernierne peut plus indexer ces données pour offrirdes services à valeur ajoutée et bien souventla réaction de l’utilisateur est de déclassifiersa donnée pour profiter de tous les servicesproposés. De même, les solutions dites hybridessont généralement là pour rassurer le dirigeantmais la réalité est que les deux mondes (celuisensible resté «on premises» et celui moinscritique externalisé dans le cloud public)continuent à communiquer, et des informationssensibles se retrouvent ainsi dans le cloud public,la plupart du temps en clair.

Contraindre les GAFAM à créer des cloudssouverains

Alors que faut-il faire ? Accepter les risquespour profiter pleinement des services offertspar les acteurs du cloud ? Les révélations deSnowden, les ingérences dans les processusélectoraux qui ont bien involontairement misrécemment Facebook et son dirigeant dansla lumière interdisent toute naïveté. Maisest-il encore temps de développer des géantstechnologiques européens pour une véritablemise en concurrence ? D’ici là, leur restera-t-ildes entreprises à servir ? Il convient peut-êtrede s’inspirer de ce qu’on fait les Chinois et, plusproche de nous, les Allemands, en contraignantles acteurs américains à mettre en place uncloud souverain.

Dans ce modèle, c’est un opérateur localobéissant à la seule loi locale qui opère pourle compte des éditeurs américains commetiers de confiance des données, en prenantla responsabilité de protéger les données desclients. Toutes les données sont accessibleset traitées exclusivement par du personnellocal, dans un datacenter local. Dans ce cas lesacteurs américains n’auront donc pas accès àces données, et seront dans l’incapacité de lesfournir sur injonction des autorités américaines.

Encore faut-il que de telles solutions voientle jour au niveau européen : la souverainetédes données devrait se concevoir à l’échelleeuropéenne et plus seulement nationale. Maispour cela il faut un niveau d’implication fortdes États européens avec des exigences clairesen matière de souveraineté des données vis-à-vis des entreprises sensibles, et des pressionsvis-à-vis des GAFAM bien plus contraignantesqu’elles ne le sont aujourd’hui. l

Des cyber-attaques qui dans un cas sur deux ont un impactcorrect sur le business des entreprises touchées SOURCE: CESIN

CONTRAINDRELES ACTEURSAMÉRICAINSÀ METTRE ENPLACE UN CLOUDSOUVERAINEUROPÉEN