Squad expert DevOps

[Webinar] Peut-on parler de révolution Cloud ? A-t-on réellement la main sur nos données ?

Dans la seconde partie du webinar, nous avons discuté de la protection des données. Existe-t-il un concensus commun à tous ? Sommes-nous protégés ?

[#2] Sommes-nous maîtres de nos données ?

Le Cloud Act correspond au territoire numérique des Etats-Unis, seule une décision de la justice américaine permettra de donner l’accès aux données. C’est théoriquement faisable. « Pour moi, le problème c’est qu’on accepte que ce soit possible. On se prive de notre souveraineté », Christophe Chaudier. Pour le moment, il n’y a aucune discussion politique sur ce sujet et le Cloud Act fait foi.

« Même si on héberge nos données chez un opérateur avec nos propres clés, à un certain moment où on décrypte ces données, l’opérateur a accès à ces clés. Pendant quelques secondes, ces données sont disponibles dans la mémoire du serveur. Il y a alors une autre problématique : ne doit-on pas chiffrer aussi la mémoire de l’opérateur ? »

Abdelfettah SGHIOUAR

Il y a encore quelques années, le chiffrement était interdit en France. Ici encore, une question doit être posée : qui a la souveraineté pour décrypter des données ? Dans le cas ci-dessous, le FBI avait demandé à Apple de débloquer un iPhone dans le cadre d’une enquête et cette dernière a refusé. Finalement, le FBI a réussi à décrypter l’appareil sans l’aide de la société

Au-delà de la légalité du cryptage, protéger les données est une affaire de tous. Des employés d’une banque sudafricaine ont sorti la clé maître d’une banque, faisant perdre des millions de dollars.

"The HMK is the key that protects all the keys, which, in a mainframe architecture, could access the ATM pins, home banking access codes, customer data, credit cards, etc.," the researcher told ZDNet.
Il ne faut jamais sortir la clé du compte root. C’est évident, et pourtant, beaucoup d’entreprises doivent payer ce type d’erreur banale. La formation ou la sensibilisation est-elle meilleure aujourd’hui ? Doit-on obliger les entreprises à la sensibilisation à la cybersécurité ?

« Il faut se former sur les aspects légaux, et pas seulement techniques ».

Christophe Chaudier

Certaines sociétés restent persuadées qu’elles sont à niveau. Pour Abdel, il faut une stratégie pour pouvoir aider les employés à éviter les erreurs de base.  « Les questions que je pose à mes clients tous les jours « est-ce que le PC de ton développeur est crypté ? Est-ce qu’il a un dispositif pour bloquer l’ordinateur après 5 minutes ».

 « Le DevSecOps, c’est du DevOps qui est fait correctement. Ce n’est pas quelque chose d’à part entière. La sécurité qui fonctionne le mieux est une sécurité qui accompagne et non pas une sécurité qui sanctionne ».

Jordan Assouline

La sécurité ne doit pas être contre-productive. « Il faut plutôt prendre des bonnes pratiques, plutôt que d’aller tout sécuriser », ajoute Christophe.   


Conclusion

La grande tendance de la révolution « Cloud » est l’hybridation. Globalement, les entreprises aiment avoir la main sur leur infra. Le serverless est l’une des technologies émergentes avec le KNative et le Edge Computing (et pas seulement pour le Gaming). Sur ce point, la grande problématique est la dépendance à la technologie : quand bien même nous sommes en On-Premise, nous n’avons aucune garantie qu’Intel ou HP n’augmentent leurs tarifs.

Au niveau de la Gouvernance, malgré le chiffrement et la sensibilisation, cela reste insuffisant pour protéger nos données. La question qu’il faut se poser : qu’arrivera-t-il si les Etats voudront avoir accès aux données ? Faut-il mettre fin au chiffrement ?

nhuynh

Structure

Add comment