Free cookie consent management tool by TermsFeed
C'est pas mon idée !

lundi 19 août 2019

Et le cloud devint bouc émissaire

Banque Centrale Européenne
Quand l'américaine Capital One révélait il y a quelques jours avoir été victime d'un incident de sécurité majeur – concernant plus de 100 millions de ses clients – sur un de ses systèmes hébergés par Amazon, je m'attendais à une attaque en règle sur le recours des institutions financières au cloud computing. Je ne me suis (hélas !) pas trompé…

Peu importe qu'une multitude de fuites de données aient par le passé affecté des applications internes, y compris parmi les siennes propres (!), la Banque Centrale Européenne profite de l'aubaine que représente pour elle la gigantesque faille de Capital One pour exprimer, par la voix d'un de ses directeurs généraux, ses inquiétudes face à la tendance croissante des établissements européens à migrer leur informatique vers les services d'Amazon, Google, Microsoft…, due, selon lui à la pression des coûts.

Certes, monsieur Ibel est prêt à concéder que les solutions de ces fournisseurs ne sont pas particulièrement vulnérables, de façon inhérente, voire même qu'elles peuvent souvent être mieux protégées que des systèmes propriétaires. Pourtant, il estime que la concentration de données précieuses qu'elles recèlent constitue un facteur d'attraction irrésistible pour les cybercriminels… comme si les informations personnelles de 100 millions d'individus ne suffisaient pas elles seules à susciter l'attention !

En conséquence, sa sentence résonne comme une condamnation sans appel : jusqu'à aujourd'hui, l'Europe a évité une catastrophe du même ordre que celle touchant Capital One parce que ses banques ont résisté aux sirènes du cloud computing avec leurs données les plus sensibles, mais, dès qu'elles succomberont à la tentation (comme l'esquisse par exemple Deutsche Bank), elles s'exposeront à l'inévitable… contre lequel la BCE envisagera de prendre des mesures (de renforcement de capital, notamment).

Cloud computing

Or une telle rhétorique est extraordinairement mal inspirée et terriblement contre-productive. Tout d'abord, ses prémisses sont incorrectes, car s'il est vrai que les attaquants privilégient les faiblesses des composants les plus populaires (parce que potentiellement exploitables sur un maximum de cibles), les infrastructures infonuagiques sont loin d'être les premières visées. Les défauts présents dans les logiciels les plus courants sont largement en tête des convoitises, de ce point de vue.

Surtout, la principale source d'insécurité sur les capacités technologiques des institutions financières est leur ouverture sur le monde extérieur (via internet) et le mode d'hébergement sous-jacent n'y change rien. Ce qui fait que la menace croît de jour en jour est lié à l'évolution du monde, dans ce que toutes les interactions de l'entreprise avec ses clients, ses partenaires, ses fournisseurs… sont désormais possibles directement en ligne. Le cloud n'en est qu'une manifestation complémentaire, pas la source !

Dans ces conditions, plutôt que de s'attarder sur un phénomène dérivé (et, d'une certaine manière, révélateur), la BCE devrait concentrer ses efforts sur l'augmentation exponentielle des besoins d'expertise technique des banques à l'ère « digitale ». Car le fond du problème est bien celui-là : leurs systèmes informatiques sont toujours plus complexes et demandent des compétences de plus en plus pointues, non seulement pour leur qualité et pour leur performance mais également pour leur protection.

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)