Comment gérer la crise de sécurité grâce au Risk Management ? Quand et pourquoi utiliser un cloud public ? Comment se mettre en conformité avec la RGPD ? Quid du Cloud hybride ? Comment assurer la sécurité de son application web sur AWS ?

Dans un marché en pleine mutation, ces questions taraudent de nombreuses entreprises ayant une présence sur le web. Le 16 novembre dernier, une vingtaine d’acteurs du marché se sont retrouvés pour échanger sur ces sujets à l’occasion de l’événement « La Très Haute Sécurité », organisé par NBS System et Amazon Web Services. Très appréciée par ses participants, la matinée a été l’occasion pour ces derniers de poser leurs questions à des experts du secteur, et surtout de trouver des réponses !

Vous n’avez pas pu être présent ? Voici le bilan des échanges et collaborations réalisés lors des ateliers.

AWS et NBS System présentent la Très Haute Sécurité

Expert : Emile Heitor, Research and Expertise Department, OT Group

Accédez à la présentation AWS, sécurité et compliance : fantasme vs réalité

Risk Management : comment gérer la crise de sécurité ?

Expert : Christian BELVAL, Directeur Développement, Verlingue

« Une bonne crise, c’est une crise qui a été anticipée en amont » : c’est le message principal qu’il faut retenir selon Christian Belval. En connaissant vos failles et les risques encourus par votre organisation, vous en effet pouvez préparer la gestion de crise en créant, par exemple, des scénarios de réponse selon les différents cas possibles.

Quelles personnes solliciter ? Quelles procédures pour adopter le bon discours ? Vous aurez déjà les réponses à ces questions et pourrez-vous concentrer, par exemple, sur votre communication. Élément crucial en cas de crise, comme l’a montré récemment OVH, elle doit s’adapter aux enjeux et connaissances techniques de vos interlocuteurs.

Christian Belval donne également d’autres conseils. Par exemple, gardez un œil sur les directives françaises et européennes en matière de cybersécurité (PCI-DSS, SecNumCloud…). Même si vous n’êtes pas soumis à compliance, ce sont des sources de bonnes pratiques. Surtout, pour éviter les crises de sécurité, mettez à jour vos environnements ! 70% des incidents ont lieu grâce à l’exploitation d’une faille informatique dont le correctif est déjà disponible…

Accédez à la présentation Risk Management – gérer la crise de sécurité

Cloud public : quels cas d’usage ?

Expert : Marc PAUPERT, Ingénieur cloud, Scaleo

Aujourd’hui, la majorité des entreprises souhaitant utiliser le cloud public AWS sont en cours de migration. C’est d’ailleurs le sujet principal autour d’AWS en ce moment, qui a représenté en 2016 la plus grosse part du chiffre d’affaire des partenaires du géant ! Pour ces organisations, le retour sur investissement suite à l’utilisation d’AWS n’est plus à démontrer, mais ce dernier n’est pas pour autant trivial pour toutes les situations.

Pour la majorité des entreprises, la migration consiste simplement à déplacer, telles quelles, ses applications vers le public cloud : c’est le Lift & Shift. Un bémol cependant : il est impossible pour certaines organisations d’envisager le 100% cloud dans l’immédiat, surtout quand leurs infrastructures actuelles gravitent autour de bases de données on-premise. L’interconnexion, indispensable à l’interaction entre ces bases et le cloud, exige un apprentissage parfois pénible… Le Lift & Shift n’est cependant pas la meilleure approche, particulièrement en termes de coûts : l’idéal est de réétudier l’architecture de l’application pour l’adapter aux services qu’offre le cloud, et de tendre vers l’Infrastructure as Code.

C’est l’un des points à prendre en compte pour la migration sur AWS : elle n’est pas aussi évidente que cela puisse paraître. La sécurité des données et des environnements sur le cloud, ou encore l’utilisation de containers, sont des enjeux importants ou intéressants, mais nécessitent de l’expertise, de l’expérience et du temps humain ! C’est pour ça que les partenaires AWS sont là, mais attention à ne pas leur donner des accès trop étendus sur votre plateforme.

Le cloud hybride au coeur des enjeux

Expert : Patrick ROHRBASSER, VP France et Afrique du Nord, VEEAM

Le cloud hybride, c’est un environnement utilisant plusieurs clouds (privé et public) ou bien à la fois du cloud et de l’infrastructure On-premise. L’offre de clouds se multiplie au travers de différents acteurs tels qu’AWS, Microsoft Azure ou encore des hébergeurs. Pour associer efficacement ces différents clouds cependant, vous devez bénéficier de compétences internes fortes et d’un accompagnement professionnel !

Vous maximiserez alors vos chances de trouver l’équilibre entre agilité, flexibilité et sécurité informatique. Il existe un écart entre le rythme rapide permis par l’automatisation et le DevOps, et les processus plus lents exigés pour la protection des données. Et si l’agilité et la haute disponibilité sont gérés par de nombreux prestataires, il manque encore un outil global pour unifier la sécurité.

Selon Patrick Rohrbasser, la solution est d’adopter la « Privacy by design » ou « sécurité globale », d’utiliser l’hybridation de clouds et de se « débarrasser » de l’infrastructure, pour ne plus gérer que de la production pure et ainsi protéger ses données.

RGPD : un saut pas si compliqué

Expert : Mael Fablet, Avocat, EY Société d’Avocats

Le RGPD a pour objectif d’uniformiser le droit de la donnée personnelle dans toute l’Union Européenne et de renforcer les droits des personnes. Il entrera en application le 25 mai 2018. Il est conseillé de lancer des actions de mise en conformité au plus tôt, et Mael Fablet vous conseille de réaliser notamment votre registre des traitements avant cette date.

Analysez les données que vous traitez et la manière dont vous les traitez pour identifier les actions et analyses à réaliser, comme par exemple des études d’impact sur la vie privée, des mentions d’information, etc. Le Groupe de l’Article 29 a publié plusieurs lignes directrices pour vous aider à interpréter cette règlementation et clarifier, par exemple, le rôle du Data Privacy Officer… et il est conseillé d’en nommer un même lorsque ce n’est pas obligatoire !

Découvrez le compte-rendu complet de l’atelier de Mael Fablet sur le RGPD !
Accédez à la présentation RGPD : un saut pas si compliqué

Vous souhaitez vérifier la sécurité de votre environnement sur AWS ?
Découvrez les tests de sécurité informatique réalisés par nos experts !

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.