« In Cloud We Trust ? » Un point d’interrogation lourd de sens posé par le FIC, qui ouvre ses portes mercredi 5 avril. Le contexte géo-politique actuel y est pour beaucoup. Mais pas seulement.

« Alors que 70 % des données européennes sont stockées et traitées en dehors du continent, la menace d’une prise en otage de celles-ci au gré des tensions internationales n’est plus théorique. »

Le message est clair. Pour sa 15ème édition, le FIC (Forum International de la Cybersécurité), qui ouvre ses portes mercredi 5 avril au Grand Palais de Lille, pose la question de la confiance. « In Cloud We Trust ? », peut-on lire sur la home page de l’événement devenu incontournable.

Un point d’interrogation qui suscite la réflexion. Certes, la question de la confiance n’est pas nouvelle. Elle n’a eu de cesse, d’ailleurs, d’évoluer au fil du temps. Voici quelques années, on s’interrogeait sur le type de cloud, privé ou public. On évaluait alors les critères fonctionnels et financiers.  « La cybersécurité s’évalue, se mesure, se compare, tandis que la confiance repose sur une appréciation nettement plus subjective que les contrats suffisent rarement à conforter. Résultat : nous sommes souvent contraints de faire confiance ‘par défaut’ ! »

Prise en otage

Même si la mutualisation des moyens qu’autorise le cloud computing est un avantage en matière de cybersécurité, la concentration des données constitue aussi une vraie faiblesse en termes de résilience : une attaque sur un hyperviseur peut par exemple créer un risque systémique. Au plan stratégique, la dépendance qu’il crée, voire le « lock-in » que génèrent parfois les contrats, peuvent aussi affaiblir les organisations, voire à terme bouleverser les chaînes de valeur traditionnelle.

Aujourd’hui, dans un contexte géopolitique tendu, la question de la confiance est mise à mal par la multiplication des lois à portée extraterritoriale. Et là, ne nous leurrons pas, nous sommes dépendants des hyperscalers américains. « La menace d’une prise en otage de celles-ci au gré des tensions internationales apparaît de plus en plus réelle », insiste le FIC.

Confiance… ou extrême dépendance ?

Du technique et du financier, on passe au politique. Pour faire face à ces menaces et toucher, à son tour, les dividendes de la révolution cloud, l’Europe ne peut plus se satisfaire de cette situation d’extrême dépendance. D’autant qu’elle dispose de nombreux atouts : des acteurs performants et innovants, une industrie traditionnelle puissante, un marché potentiel important etc.

« Tous les leviers, qu’ils soient techniques, organisationnels, juridiques ou politiques, doivent être mobilisés pour renforcer la cybersécurité et créer la confiance », insiste encore le FIC. A raison. L’EUCS (European Cybersecurity Certification Scheme) ne progresse pas. Pas d’entente autour des différents scénarios avancés pour répondre aux exigences en matière de souveraineté dans le prochain système de certification pour les fournisseurs de cloud.

Or, la finalité rassemble : maintenir les données de l’UE hors de portée des juridictions étrangères. Pour ce faire, elles imposent notamment la localisation des centres de données européens, une immunité vis-à-vis des lois et des conditions extra-européennes pour les personnes ou les organisations qui contrôlent le fournisseur de services cloud.

Bien que le système ne soit pas obligatoire en soi, son niveau de garantie « élevé » pourrait devenir exigible pour des secteurs tels que les opérateurs d’énergie et les banques, considérés comme hautement critiques en vertu de la directive sur la sécurité des réseaux et des systèmes d’information (SRI2) récemment révisée. Une table ronde sera d’ailleurs organisée sur ce dossier sensible : « Du rififi sur le schéma de cybersécurité européen dans le cloud ? »…

Le cloud aux différents rendez-vous du FIC 2023

Autour de 6 parcours thématiques, sécurité et stabilité du cyberespace (management des cyber-risques ; sécurité des données et transformation numérique ; lutte anti-cybercriminalité ; souveraineté numérique et sécurité opérationnelle) le programme du FIC s’attachera à répondre notamment aux questions suivantes : « quelles priorités pour assurer la cybersécurité et la résilience des infrastructures cloud, dont la surface d’exposition aux risques croît de façon exponentielle ? »,  « Comment construire la confiance entre l’ensemble des acteurs de l’industrie ? », « Comment l’Europe peut-elle concilier les exigences d’une transformation numérique rapide et sa volonté, désormais assumée, d’asseoir sa souveraineté numérique ? »

Il sera également question du cloud durant les différentes séances plénières : « Cloud : et si le ciel nous tombait sur la tête ? », « La confiance est-elle soluble dans le numérique ? » et « Cloud : L’Europe veut-elle faire sa révolution ? » 

Parmi les thématiques des tables rondes, il sera question de la cybersécurité dans le contexte du conflit en Europe de l’Est : « Quel rôle pour l’Europe dans la reconstruction de l’Ukraine ? », « La crise ukrainienne va-t-elle sonner le réveil de la défense cyber européenne ? » et « Le cœur cyber de l’Europe bat-il à l’Est ? ». Relevons encore des sujets comme
« Les groupes de ransomware sont-ils trop gourmands pour durer ? », « Est-on prêt pour NIS2 ? » ou « CISO sous l’eau, gare à la noyade ? »

.