Conférence RSA : les risques de cyberconflit et ceux du cloud inquiètent
La sécurité du nuage informatique a plané sur la conférence RSA qui se déroulait cette semaine à San Fransisco, mais la problématique d'un cyberconflit a été aussi très discutée, avec la présence de représentants de la Maison Blanche et du FBI qui ont encouragé la participation des entreprises privées aux efforts de défense.
PublicitéDurant une table ronde d'experts, un directeur de la formation technique de la NSA (National Security Agency) a indiqué qu'il n'avait pas confiance dans les services cloud. Parlant en son nom et non au titre de l'agence, Brian Snow explique que « l'infrastructure cloud délivre des services auxquels les clients accèdent de manière sécurisée, mais la nature des échanges engendre des doutes sur d'éventuelles attaques via d'autres utilisateurs dans le cloud ». Dans une présentation, Art Coviello, président de RSA, la division de sécurité d'EMC, estime que les clients ont besoin de savoir que le cloud est sûr. Le responsable pense que son adoption est inéluctable au regard des bénéfices financiers importants attendus, mais pas sans un niveau de sécurité élevé. « Le gros problème est la confiance », résume-t-il, en soulignant, comme exemple, la réponse apportée conjointement par Intel, VMware et EMC pour mesurer les niveaux de sécurité des prestataires d'offres cloud. Une plateforme pour lancer des botnets En parallèle, le sommet de l'alliance sur la sécurité du cloud (CSA), qui s'est tenu, au sein de la conférence RSA, a annoncé la réalisation d'un rapport sur les questions de sécurité et notamment de la documentation sur les risques d'utiliser les infrastructures cloud comme plateforme pour lancer des botnets. Le même consortium, regroupant utilisateurs et fournisseurs, a pointé les différentes failles des services proposés, ainsi certaines API ne sont pas assez sécurisées et laisse la porte ouverte à une attaque via le cloud. La solution pour éviter cela, est l'implémentation combinée d'une authentification forte, d'un contrôle de l'accès et de transmissions cryptées. L'autre temps fort de cette conférence a été l'intervention de la Secrétaire d'Etat américaine à la sécurité intérieure en tant que recruteur, car le gouvernement ne peut pas gérer seul les différentes menaces. Elle a donc confirmé la recherche de spécialistes de la cybersécurité y compris issus d'entreprises privées. Janet Napolitano a aussi lancé l'idée d'un concours sur la création d'un programme national de sensibilisation à la cybersécurité auprès du grand public, en leur montrant comment les gens peuvent contribuer à l'amélioration de la sécurité. Ce programme devrait être diffusé via les réseaux sociaux pour renforcer son efficacité. Le gouvernement américain ne peut pas s'occuper tout seul de la sécurité, car la majorité des infrastructures réseaux sont des propriétés privées. Elle a donc exhorté les différents acteurs « à redoubler d'efforts pour augmenter la sécurité, la fiabilité et la qualité de leurs produits qui entrent dans cet écosystème virtuel ». Janet Napolitano a également appelé à une automatisation des règles de sécurité et indiqué que le gouvernement travaille sur système de prévention d'intrusion (IPS) pour protéger les réseaux des agences fédérales. Une évolution de la plateforme de détection d'intrusion, Einstein 2 vers Einstein 3 est en cours. Cet outil a déjà été déployé au sein de 9 agences fédérales, mais aussi sur les réseaux des opérateurs AT&T, Qwest et Sprint. Verizon devrait prochainement rejoindre la liste. Einstein 3 aura pour mission de détecter automatiquement les activités malveillantes et de désactiver les tentatives d'intrusions.
Article rédigé par
Jacques Cheminat avec IDG NS
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire