En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

L'affaire Prism, un vrai danger... sous-estimé par nos entreprises

Malgré l'ampleur du scandale des écoutes de la NSA, l'agence nationale de sécurité américain, les sociétés françaises ne veulent pas renoncer aux bénéfices du cloud computing. Mais elles considèrent avec intérêt la montée en puissance de l'offre hexagonale, devenue désormais une alternative fiable.

Cela me fait sourire…” Lorsqu'on demande aux experts en sécurité d'évoquer les conséquences pour les entreprises de Prism, le programme d'écoutes mondiales de la NSA (l'une des 15 agences de renseignement des Etats-Unis), ils ont tous le même rictus. Un sourire un brin revanchard envers leurs directions générales : elles ne pourront pas dire qu'ils ne les avaient pas prévenues…
Depuis les révélations d'Edward Snowden et l'affaire Prism, le monde de la sécurité espère être davantage écouté. Car oui, les données des administrations et des sociétés hébergées dans les serveurs américains d'Amazon, de Google, de Microsoft ou de Yahoo font bien l'objet d'une surveillance du gouvernement américain. “ Ces révélations ont permis de mettre tout le monde d'accord, avance Gérôme Billois, manager sécurité chez Solucom. Jusqu'à présent, lorsque nous évoquions de telles menaces d'espionnage, on nous traitait souvent de paranos ! ” Pourtant, les entreprises hexagonales ne semblent pas vouloir changer leurs habitudes. Nous avons cherché à comprendre pourquoi.

La sécurité est d'abord vécue comme une contrainte

L'avis du Clusif, le Club de la sécurité de l'information français, est sans appel : “ Le bureau du Premier ministre est l'un des rares organismes à avoir réagi. Dans la plupart des structures, l'affaire n'a suscité aucun intérêt pour la sécurité informatique. ” Confirmation de l'un de ses membres, salarié d'un grand groupe bancaire, qui garde l'anonymat. Selon lui, en France, les organisations peinent à intégrer les risques dès lors qu'elles ne les voient pas. “ Or le vol d'informations de type Prism est invisible. Tant que des millions d'euros ne seront pas partis en fumée, les directions générales ne se sentiront pas concernées ”, déplore-t-il.
Prism ou pas, les questions de sécurité sont perçues comme des boulets entravant la production. Justin Ziegler, DSI de Priceminister, assume cette position. “ Nous utilisons les Google Apps et je ne suis pas plus inquiet que cela. La sécurité, dans sa forme la plus aboutie, est un frein à la création de valeur. Surtout pour des entrepreneurs qui doivent rester concentrés sur la créativité. ” Une majorité d'acteurs semble de cet avis. Tous les deux ans, le Clusif réalise une étude sur la gestion des sinistres.
En six ans, la conscience des risques liés à la sécurité de l'information en entreprise est passée de 40 à seulement 50 %. Bien trop peu pour Lionel Mourer, PDG de la société de conseil Atexio qui coordonne l'étude. Selon lui, “ la plupart des intéressés sont à des années-lumière des bonnes questions. Comme celle de savoir où vont leurs données dans le cloud. ” C'est encore plus vrai en situation de crise budgétaire, quand le premier critère pour choisir une offre cloud est l'économie réalisée.

Les PME ne se sentent pas concernées

Si les révélations de l'affaire Prism n'ont pas entraîné plus de panique, “ c'est aussi parce que les sociétés très concernées par l'espionnage industriel ont déjà pris leurs mesures ”, estime Olivier Franchi, directeur de la société de conseil en sécurité Sysdream. “ Il n'y a aucune chance pour qu'Airbus ou Thales aient placé des données sensibles dans des clouds américains, qui plus est non sécurisés. ” Sans compter que beaucoup de grands comptes doivent respecter un minimum de bonnes pratiques en matière de sécurité, par obligation légale. Comme les banques et les assurances, soumises aux réglementations Bale et Solvency (normes prudentielles). Bref, les sociétés du CAC 40 se protègent déjà.
Quant aux milliers d'entreprises plus modestes, notamment les PME, elles ne se sentent globalement pas visées par les écoutes de la NSA. Le témoignage de ce manager d'un groupe pharmaceutique reflète assez bien l'état d'esprit général. Il est client de Google pour sa messagerie et son partage de fichiers : “ Ces vingt dernières années, à notre connaissance, nous n'avons jamais été victimes d'espionnage industriel. Pourquoi cela changerait-il avec Google ? ” Ils sont une majorité comme lui à penser que leurs informations n'intéressent potentiellement aucune société étrangère. Evidemment, ce discours fait bondir les professionnels de la sécurité, selon lesquels l'espionnage industriel cible aussi bien les grands comptes que les PME innovantes.

Le cloud demeure malgré tout un système sûr

L'autre réaction commune aux acteurs recourant à des services clouds à l'étranger (dont le Clusif note au passage qu'aucun n'est retourné en arrière), c'est de voir les avantages de ceux-ci avant leurs inconvénients. Pourquoi craindre les services de Google ou de Microsoft quand la sécurité qu'ils proposent reste globalement meilleure que celle des systèmes de messagerie classiques ?
“ Avant de passer sous Gmail, nos serveurs Lotus Notes étaient disséminés dans plusieurs pays et passaient par différentes passerelles gouvernementales. En théorie, je pouvais me faire pirater par n'importe quel pays. Aujourd'hui, avec l'environnement sécurisé Google, je ne risque en théorie qu'une surveillance de l'Etat américain ”, précise ce manager d'un groupe pharmaceutique, qui reconnaît cependant ne pas être indifférent aux écoutes. “ Si c'était à refaire, je ne sais pas si nous signerions avec Google. Toujours est-il qu'aujourd'hui, nous nous montrons pragmatiques. ” Dans la même lignée, Justin Ziegler, de Priceminister, estime “ qu'il y a finalement plus de chances que des applications hébergées dans l'entreprise soient victimes de hackeurs que de voir piraté son accès cloud ”.

L'offre française de cloud computing devient une alternative crédible

Le phénomène est récent, mais les offres nationales de solutions dans le nuage sont enfin mûres. Citons les deux récents clouds souverains Cloudwatt et Numergy, ou avant eux OVH et Outscale (le fournisseur de Dassault Systèmes). Ces services ont considérablement musclé leur composante sécurité, et en font même un argument de poids pour s'imposer face aux mastodontes d'outre-Atlantique. L'argument du cloud souverain semble ainsi commencer à porter ses fruits. “ Nos commerciaux ont vu leurs nombres de contacts chez les prospects augmenter nettement ces dernières semaines, affirme Philippe Tavernier, président de Numergy. Mais nous ne savons pas dire si cela résulte de l'affaire Prism ou de la maturité du marché. ”
Autre signe, plus concret encore : certaines entreprises commencent à faire du recours à un cloud national une condition nécessaire à la signature de tout contrat. “ A l'origine, notre offre ne s'appuyait que sur un cloud américain, celui d'Amazon. Mais devant les demandes répétées de nos prospects, nous sommes en train de nouer un partenariat avec un acteur sinon hexagonal, du moins européen ”, reconnaît Damien Tournoud, directeur technique de Commerce Guys, un service hébergé de développement de plates-formes d'e-commerce.
Si, à l'heure actuelle, les entreprises françaises refusent de charger de tous les maux les solutions américaines qu'elles exploitent, les experts demeurent persuadés que les lignes vont bouger dans les mois à venir. Olivier Franchi, de Sysdream, se souvient ainsi “ qu'en 2006, après que le Pentagone a annoncé une attaque chinoise sur le système de défense américain, les budgets sécurité dans le monde se sont progressivement débloqués ”. De son côté, Lionel Mourer, d'Atexio, espère qu'une réglementation hexagonale ou européenne naîtra de l'affaire Prism. “ Le marché de la sécurité informatique ne fonctionne qu'à coup de réglementations. C'est, hélas, la seule façon pour cette discipline de gagner du terrain dans les entreprises. ”

10 milliards de dollars, c'est le budget estimé de la NSA en 2013
Source : Edward Snowden

12 000 demandes d'informations ont été adressées à Yahoo par les autorités américaines en 2013
Source : Yahoo

2 milliards de dollars seront déboursés pour le futur centre d'interception de la NSA dans l'Utah.
Source : NSA

“ Personne ne peut plus douter de cette surveillance qu'on feignait d'ignorer ”

agrandir la photo

Christian Harbulot, directeur de l'Ecole de guerre économique

Prism va-t-il changer la perception de la sécurité dans les entreprises ? On ne peut plus contourner l’obstacle. Plus personne ne peut mettre en doute cette surveillance qu’on feignait jusqu’à présent d’ignorer. Cette prise de conscience devrait, à terme, aider les entreprises à renforcer leurs outils de sécurité informatique. Mais se limiter à cette position défensive serait insuffisant. Il manque, en France,  une réflexion sur la sécurisation de l’information à un niveau stratégique.

La mise en place de clouds souverains va dans le sens de cette réflexion stratégique... C’est un bon début. Mais il faut faire plus. Depuis la fin des années 90, le gouvernement américain a cherché avec ses industriels à dominer le marché des systèmes d’information. Il a réussi. Aujourd’hui, il fait un pas de plus en mettant désormais la main sur l’information en tant que telle. Dans ce contexte, il devient urgent, en France, de fédérer autour de ces enjeux à la fois les administrations, les politiques et les industriels.

Etes-vous optimiste sur la capacité des industriels à se fédérer autour de cette cause commune ? Pas vraiment. La
génération actuelle des dirigeants du CAC 40 semble dépassée par ces enjeux. Une question d’âge et de entalité sûrement.

Le groupe Bouygues renforce sa sécurité

agrandir la photo

Patrick Chamblet, responsable du centre de sécurité de C2S, SSII interne du groupe Bouygues

"Certes, les révélations d'Edward Snowden apportent des précisions sur la nature de l'espionnage américain. Mais les experts de la sécurité connaissaient l'existence de ces écoutes. Leur médiatisation a été bénéfique pour la politique de sécurité de mon groupe. De plus en plus de salariés envisagent le chiffrement du courriel. Surtout, cette actualité a donné plus de poids aux projets visant à protéger les données sensibles. Comme la prolongation de notre réseau interne sécurisé, reliant nos filiales sans connexion à Internet. Un temps susceptible d'être supprimé, il pourrait être confirmé et renforcé.

Globalement, Prism nous a permis de conserver nos budgets et d'avoir l'appui de notre hiérarchie. L'espionnage de la NSA a eu, lui, peu de répercussions sur notre filiale télécoms, celle-ci ayant déjà pris en compte la menace d'écoutes et de piratage par des puissances étrangères. En tant qu'opérateur d'importance vitale selon l'Agence nationale de la sécurité des systèmes d'information, Bouygues Telecom héberge déjà ses données clients dans ses datacenters en France. Prism devrait inciter les filiales du groupe à atteindre le même niveau de sécurité informatique que Bouygues Telecom."

envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
La guerre des prix entre Google et Amazon sur les offres cloud s’intensifie
Prism : neuf mois après, quels impacts pour les entreprises françaises ?
Cloud computing : l’histoire de l’énergie informatique ne fait que commencer
SAP : le cloud ralentit ses objectifs de rentabilité
Avec un chiffre d’affaires 2013 en hausse, SAP estime avoir réussi le passage au cloud
Thierry Bonhomme (OBS) : « Pas de big data sans big confiance »
Edward Snowden : "J'ai déjà gagné, ma mission est accomplie"
La NSA et le GCHQ ont espionné World of Warcraft, le Xbox Live et même Second Life
NSA : plus d’un million de données fournies par les opérateurs en 2012
Les géants du Web s’allient pour demander une réforme de la NSA
Le cloud, la compétence la plus prisée par les DSI anglais
Les services britanniques ont collaboré avec la NSA pour espionner leurs citoyens
Suite à l’affaire Snowden, les Américains auraient réduit leurs achats en ligne de 14%
L'Epita s’ouvre à l’intelligence économique
La CIA paie l'opérateur AT&T pour obtenir des données téléphoniques
Grâce au cloud, SAS veut mettre l’analytique à la portée des PME
Surveillance: la DGSE aurait un partenariat avec un acteur des télécoms
Cloud Gaming : Orange est prêt mais les éditeurs restent frileux
Pourriez-vous changer de fournisseur de cloud en 15 jours ?