L’interview sécurité : les DSI face aux enjeux juridiques et réglementaires du Cloud, partie 2

Temps de lecture : 8 minutes

Après la revue de presse sécurité Revolve Job Zero, nous vous proposons un nouveau format régulier sur la sécurité Cloud. Dans cette série d’interviews, nous allons à la rencontre de spécialistes sécurité qui travaillent sur le Cloud pour faire un état des lieux des tendances et des pratiques. Pour compléter les points de vue techniques abordés jusque-là, nous continuons notre exploration des aspects juridiques de la sécurité et de la conformité : nous accueillons aujourd’hui Quentin Sgard, Most Valuable Risk & Compliance Manager chez Devoteam Cyber Trust.

Peux-tu te présenter ?

Je suis spécialisé en droit du numérique. J’ai une formation de juriste, et j’ai toujours eu une forte appétence pour le sujet de la protection de la donnée, et des obligations réglementaires qui y sont associées.

J’ai toujours été un peu geek, j’aime installer, déployer et administrer des serveurs. Drôle de passion pour un juriste, j’en conviens, mais c’est une passion qui m’a permis de comprendre les implications techniques dans mon métier de DPO et de consultant en cybersécurité : quelles obligations, tant juridiques que réglementaires, pèsent sur les entreprises, et comment on les met en œuvre opérationnellement – y compris techniquement.

Quelles sont les principales problématiques rencontrées par tes clients ?

Il y a une forte activité liée à la protection de l’information et des systèmes d’information, par exemple avec la révision de la directive NIS, ou encore l’adoption du règlement sur la résilience DORA. Ensuite, nous sommes également sollicités sur la transposition des textes de l’UE au niveau français. Enfin, une partie de mon activité est consacrée aux questions de souveraineté, notamment au niveau des choix de l’ANSSI pour élargir et renforcer la norme SecNumCloud.

(Le règlement DORA vient expliquer l’ensemble des obligations en matière de résilience opérationnelle, c’est-à-dire la capacité à pouvoir continuer son activité malgré un événement sur le SI, panne ou cyberattaque. DORA s’applique aux établissements de crédit et de paiement.)

Quelle est la position des entreprises en matière de conformité ? 

De nombreuses entreprises nous sollicitent non pas pour se mettre en conformité, mais pour anticiper ce que sera le paysage réglementaire et les obligations en cybersécurité dans les 3 à 5 ans à venir.

Je pense que l’expérience de la mise en place du RGPD a secoué les entreprises, pour beaucoup d’entre elles ce sujet aurait dû être anticipé bien avant 2018. Pour bien faire, la préparation au RGPD aurait dû commencer dès 2016, or aujourd’hui de nombreuses entreprises sont encore en démarche de conformité vis-à- vis du RGPD. Sur des textes comme la directive NIS ou DORA, les entreprises ont saisi l’importance de se mettre en conformité rapidement. 

Qu’est-ce qui explique le besoin croissant de conseil sur ces sujets ?

Auparavant les sujets de sécurité étaient considérés uniquement à un niveau C level. La cybersécurité concerne maintenant les plus hauts niveaux de hiérarchie de l’entreprise, jusqu’au CEO, notamment car les amendes sont de plus en plus importantes. Auparavant, la pénalité représentait au plus quelques centaines de milliers d’euros; avec NIS2, l’amende est indexée sur le chiffre d’affaires de l’entreprise, l’échelle change de niveau.

C’est donc un risque qui pèse sur la direction générale de l’entreprise, à charge pour elle de prendre les actions nécessaires pour se protéger, affecter un budget en conséquence à la cybersécurité, et provisionner du risque. Ces différents textes ont provoqué un basculement. Il ne s’agit plus de s’interroger sur la conduite à tenir en cas de cyberattaque, mais sur ce qui est mis en œuvre pour l’empêcher. On est sur une approche préventive, et les amendes s’inscrivent dans cette logique. En mettant en place des sanctions aussi fortes, l’Union Européenne donne un signal aux entreprises : vous ne devez pas craindre uniquement le coût d’une cyberattaque, mais aussi le coût de l’amende.

Quels sont les organismes chargés de l’application de ces textes ?

Chaque État membre de l’UE dispose d’un organisme chargé de la protection des données. En France c’est la CNIL, et pour la cybersécurité c’est l’ANSSI. Ce modèle est répliqué dans toute l’UE, chaque État dispose de deux organismes, avec des moyens propres pour diligenter des enquêtes, et le cas échéant établir une amende. Cela concerne les entreprises privées comme les organismes étatiques (les administrations), qui ont l’obligation de protéger les données des citoyens, de la même façon qu’une entreprise doit le faire.

Qu’en est-il des PME/TPE et des petites administrations locales ?

Aujourd’hui les collectivités territoriales et les entreprises de taille intermédiaire (ETI) sont le maillon faible en matière de cybersécurité. Elles sont très mal armées contre la criminalité informatique, et généralement elles ne disposent pas d’un département propre en matière de cybersécurité.

L’actualité récente nous a montré des entreprises de taille moyenne, ou grandes, qui ont fermé suite à une cyberattaque. Elles n’ont pas eu la capacité opérationnelle de remettre en œuvre leur chaîne de production.

Le Cloud a-t-il changé la donne ?

Le cloud est intéressant à plusieurs titres. On parle aussi bien du cloud privé que public, et les clients les moins matures ne font pas encore la distinction entre les deux. Ensuite, il y a la question de la localisation des données : pour beaucoup de clients, la question n’est pas de savoir où sont les clés de chiffrement, ou si les données sont chiffrées, mais tout simplement où sont stockées les données.

D’une part, le niveau de compréhension technique de beaucoup de clients en matière de protection des données présente une faible maturité, d’autre part il est difficile de faire la part des choses quand on a plusieurs solutions SAAS différentes, certaines en mode Cloud, d’autres avec des sous-traitants, etc. Donc, avant de savoir si la donnée est chiffrée, il faut éplucher les contrats pour identifier la localisation.

Enfin, la dernière question qui se pose dans le contexte de fortes obligations réglementaires pour certaines entreprises, est celle de la souveraineté. Les OIV par exemple ont l’obligation de faire un choix souverain en matière de Cloud, donc de choisir un fournisseur qui dispose de la qualification SecNumCloud. L’ANSSI a apporté un peu de confusion sur ce sujet l’année passée, en promettant la naissance d’un environnement de Cloud de confiance, qui aurait allié le meilleur des deux mondes, les technologies américaines les plus utilisées, et une protection équivalente SecNumCloud. C’était une annonce politique qui n’a pas été suivie d’une feuille de route claire, précise et complète, et aujourd’hui il n’y a pas de référentiel venant expliquer la qualification d’une solution cloud de confiance. Le SecNumCloud est la seule garantie, néanmoins les différentes tentatives du marché pour proposer une offre de Cloud de confiance sont intéressantes car elles apportent plus de transparence.

Comment la guerre en Ukraine a-t-elle changé la doctrine sur la souveraineté ?

Nous sommes passés d’une guerre économique où la principale crainte concernait les Etats-Unis à une guerre géopolitique réelle, sur terrain, où nous devons protéger nos biens et ressources  vis-à-vis de nouveaux blocs comme la Chine, la Russie ou d’autres états. 

Initialement, la question de la souveraineté a été portée dans le RGPD avec une vision un peu “bisounours”, dans laquelle il fallait protéger les données personnelles des européens face aux Etats-Unis. Ce qui était sous-entendu, c’est la crainte d’un espionnage industriel américain sur les données des entreprises européennes. On ne l’a pas dit, car les Etats-Unis sont nos alliés économiques, donc on a un peu dévoyé la façon de concevoir la souveraineté dans les années 2010. La guerre en Ukraine est venue tout remettre à plat.

Si on s’intéresse aux conditions de naissance des premières législations sur la protection des données, il s’agissait initialement de protéger les données des individus face aux ingérences de l’Etat. La CNIL est née en 1978, en pleine guerre froide, avec des Etats peu démocratiques, le bloc de l’Est, la RDA et une vision très différente de la vie privée. La crainte de voir ce modèle se répliquer à l’Ouest nous a amenés à considérer la protection des données des citoyens. Aujourd’hui, le citoyen lambda ne s’émeut plus de savoir de quelles informations l’Etat dispose sur lui. 

Nous avons donc une même loi qui sert à se protéger contre différents risques : l’Etat qui espionne les citoyens, les ingérences économiques, et maintenant une guerre informationnelle. Et à vrai dire, l’impact des fake news est plus inquiétant que l’idée que l’Etat viendrait manipuler les données publiques des citoyens.

Comment les DSI anticipent ces questions? Le travail avec les entités juridiques se fait-il naturellement ?

Elles se préparent de trois façons. Tout d’abord, en renforçant leur budget, et en embauchant des profils mixtes, des personnes capables de comprendre la technique et le contexte économique, géopolitique et celui de l’organisation. Ce sont des profils qui peuvent à la fois mener des analyses de risque sur le déploiement des ressources et analyser les obligations réglementaires.

Ensuite, cela se traduit dans la conception du cycle de vie d’un produit, pour traiter le risque technique, le risque métier, le risque économique, le risque environnemental, etc.

Enfin, le RSSI est maintenant indépendant du DSI dans l’organigramme des entreprises. De plus en plus souvent, il rend compte directement au CEO. Dans les organisations les plus matures, le RSSI dialogue avec le Responsable de la Sécurité de I’information (RSI) mais rend compte au plus haut niveau de l’échelon. Et c’est nouveau. Pendant longtemps dans le couple RSSI/RSI, le RSSI restait cantonné à son périmètre.

Il est intéressant de constater que NIS2 ou DORA viennent remettre de l’importance sur le rôle du RSSI et lui donner de l’indépendance dans la hiérarchie. De même, le DPO répond au plus haut niveau, pour permettre aux DG d’avoir une vision complète des risques et de l’état en matière de sécurité, de cybersécurité, ou de protection de l’information.


A lire également sur le sujet : Les DSI face aux enjeux juridiques et réglementaires du Cloud, avec Marine Hardy, Avocat Directeur des pôles Innovation & Sécurité au sein du cabinet ITLAW Avocats.

Commentaires :

A lire également sur le sujet :