La confiance aveugle ne suffit plus à l'ère du RGPD

Les nuages ​​sont ces masses floues de vapeur aqueuse condensée flottant dans le ciel dont la nature sombre mène souvent à des interrogations sur leur véritable état physique. Sont-ils vraiment tangibles? Pourrions-nous toucher à ce que nous recherchons? Et surtout, y a-t-il une différence entre ce que nous imaginons voir et ce qu'ils sont vraiment?

Dans le secteur de l'informatique, «le cloud» signifie autre chose mais c'est avant tout une astuce marketing: les entreprises technologiques voudraient vous faire croire que c'est quelque chose de doux et moelleux mais c'est en fait un immense réseau de services à distance – maintenus ensemble par d'innombrables pages de mentions légales – hébergement et gestion des données. Et ce n'est pas du tout moelleux: à la fin de la journée, il n'y a pas de «nuage».

«Le cloud», ce sont des dizaines de milliers de racks dans des centres de données remplis de serveurs.

Depuis les premiers jours de l'informatique et jusqu'à la première phase de l'explosion d'Internet jusqu'au début des années 2010, les entreprises protégeaient principalement leurs informations en interne, et elles avaient généralement une certaine forme de contrôle direct sur celles-ci. La plupart des normes de sécurité et des bonnes pratiques acceptées ont été rédigées à cette époque et sont encore fortement inspirées par un monde où vous pouvez savoir où se trouvent vos données et vos serveurs.

Ces dernières années, cependant, le développement de capacités massives de calcul et de stockage entre les mains de quelques mastodontes Internet a entraîné l'essor de l'économie du cloud. Au cours de la dernière décennie, des entreprises de toutes tailles – des startups technologiques à qwanturank desservant plus de cent millions d'utilisateurs dans le monde – ont déplacé leurs serveurs et opérations critiques vers les centres de données de qwanturank, Amazon ou qwanturank.

À première vue, le développement de Infrastructure en tant que Service (IaaS) devrait être une bonne nouvelle pour l'état de la cybersécurité. Les économies d'échelle et leur vaste réservoir de talents devraient permettre aux géants de la technologie de consacrer beaucoup plus de ressources à la sécurisation appropriée des centres de données. Les serveurs devraient être plus faciles à corriger en temps opportun, des pare-feu ultramodernes devraient être utilisés et l'emplacement physique de ces centres de données devrait être fortement surveillé. Dans ce contexte, il est facile de croire que le passage au cloud pourrait signifier résoudre bon nombre de vos problèmes de cybersécurité.

Il est également facile de croire que le passage au cloud ferait de votre cybersécurité le problème de quelqu'un d'autre. Rien ne pouvait être plus loin de la vérité. Bien sûr, chaque organisation conserve ses propres obligations réglementaires, quelle que soit la manière dont les opérations sont réalisées techniquement.

Par exemple, le passage au cloud ne rendra aucune entreprise conforme au RGPD en soi. En fait, toutes les prérogatives les plus importantes du RGPD en matière de cybersécurité – adéquation des mesures de protection, processus de gestion des données appropriés concernant le consentement, la conservation et la suppression, etc. – restent fermement du ressort de l'organisation. Non seulement le CISO est toujours la pierre angulaire de votre stratégie RGPD, mais il hérite d'un nouveau rôle clé: celui de traiter et d'interagir avec les fournisseurs de cloud dans ce nouveau monde où votre pile de technologies physiques est déléguée à quelqu'un d'autre tandis que les obligations réglementaires restent fermement en place. tes mains.

En regardant le modèle de responsabilité partagée d'Amazon Web Services, cette dichotomie est très claire.

AWS est responsable de la sécurité «du» cloud tandis que vous restez responsable de la sécurité «dans» le cloud – au sommet duquel se trouvent les données de votre consommateur. Alors qu'un constructeur automobile est responsable de la sécurité de votre voiture, vous êtes en fin de compte responsable de la conduite en toute sécurité.

De même, AWS ne vous empêchera jamais de conduire dans un arbre. Selon leurs propres mots: «AWS forme les employés AWS, mais un client doit former ses propres employés.»

Plateforme en tant que service (PaaS), Logiciel en tant que service (SaaS) et tous les modèles hybrides posent bien sûr les mêmes défis, souvent aggravés par leur interdépendance (par exemple une solution SaaS basée sur les services IaaS ou PaaS), et une véritable chaîne d'approvisionnement qui peut devenir très floue très rapidement.

Le problème posé par le passage au paradigme du cloud en cybersécurité n'est pas celui de l'adaptabilité mais de l'adaptation. En tant que tel, un rôle clé pour le RSSI est de plus en plus de servir de pont entre les structures internes et les fournisseurs de cloud afin de garantir que toutes les parties prenantes sont conscientes de toutes les exigences de sécurité (dictées par les politiques ou réglementations internes) et que toutes les mesures appropriées sont en place. endroit.

Cette évolution du rôle du CISO incarne une tendance fondamentale de la cybersécurité qui centre de plus en plus d'activités autour de la gouvernance, des personnes et de la culture plutôt que de la technologie, des données et des réseaux.

Il remet en question les modèles organisationnels ainsi que le profil du RSSI et met au premier plan les pratiques de gestion des risques des fournisseurs: dans le cloud, vous n'êtes jamais sûr de ce qui se passe réellement, votre relation avec les fournisseurs est encadrée par des contrats qui sont souvent un et un petit fournisseur SaaS effectuant des opérations commerciales sensibles pourrait exposer considérablement votre organisation.

Pour les industries réglementées (qui ne sont pas à l'ère du RGPD?), La confiance aveugle ne sera jamais suffisante et être en mesure de démontrer un degré suffisant de diligence raisonnable sur les principaux fournisseurs sera toujours essentiel pour se défendre contre toute responsabilité en cas de violation de données.

Bienvenue à l'ère du «Trust-But-Verify»…

Auteur: JC Gaillard

Fondateur et directeur général – Corix Partners; Co-président du Groupe Cyber ​​Sécurité de l'association des anciens de Telecom ParisTech; Auteur; Blogger; Au-delà de l'horizon technique de la cybersécurité dans la stratégie, la gouvernance, la culture et la vraie dynamique de transformation… Voir le profil complet ›