Nataraj Nagaratnam d’IBM sur les cyberdéfis auxquels sont confrontés les services cloud

L’essor du cloud

La technologie, en particulier l’informatique d’entreprise, s’est développée massivement tout au long de la carrière de Nataraj. Bien que cela ait créé des opportunités pour les solutions d’entreprise, cela comporte également certains risques. « Dans l’histoire de l’informatique, il y a trois grands chapitres : les ordinateurs centraux, puis le Web, et maintenant il y a le cloud », explique Nataraj. « C’est un moment décisif dans l’ensemble de l’espace informatique, et j’ai la chance de définir et de diriger le travail sur la sécurité, du Web au cloud. »

S’appuyer sur des données et des services dans le cloud peut être difficile, car les organisations doivent s’assurer que les données restent partageables sur les réseaux, tout en mettant en place des protections suffisantes pour garantir la confidentialité et la protection des données. C’est particulièrement le cas pour les industries fortement réglementées, telles que les secteurs de la défense, de la santé et de la finance. C’est devenu un moment déterminant pour ces industries, qui sont préoccupées par le risque, la sécurité et la conformité.

Plutôt que de s’appuyer sur le terme subjectif de « confiance », qui implique que l’on peut avoir confiance ou compter sur quelqu’un ou quelque chose, Nataraj préfère utiliser « l’assurance technique ». L’assurance technique démontre que des processus technologiques et humains ont été mis en place pour assurer la protection des données.

Une partie de cela consiste à s’assurer que la gestion des identités et des accès (IAM) est traitée uniformément sur toutes les plates-formes cloud de l’organisation, de leurs capacités de stockage cloud à leurs services sur site. Étant donné qu’il n’y a jamais deux plates-formes cloud identiques, cela peut compliquer les choses, car plus d’une plate-forme est généralement utilisée.

Défis dans le cloud

L’expansion rapide du secteur de la technologie signifie qu’il existe un déficit croissant de compétences en matière de sécurité, qui doit être comblé. Cela a laissé les organisations lutter pour remplir des rôles d’importance vitale et s’appuyer sur des sous-traitants externes à la place. Cela ajoute des coûts supplémentaires, surtout si une quantité importante de travail est requise, car les entrepreneurs sont coûteux pour les projets à long terme.

Pour répondre à ces préoccupations, les organisations se tournent vers les outils IAM pour agir comme une superposition dans leur infrastructure cloud existante. « Si nous standardisons la gestion des accès et la superposition de sécurité, et que nous les activons avec l’automatisation et la surveillance continue, nous pouvons résoudre des problèmes complexes », explique Nataraj. « L’adoption d’une approche multicloud hybride avec automatisation de la sécurité et de la conformité répond à ce problème avec cohérence et surveillance continue. »

Protection des données et échange d’informations

La politique gouvernementale évolue également, à mesure que les régulateurs deviennent de plus en plus conscients de la technologie, avec des exigences supplémentaires en matière de protection des données lors du partage de données entre régions. Il y a toutefois eu une plus grande collaboration entre les pays à cet égard. Par exemple, le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) est effectivement devenu une norme mondiale de facto pour la protection des données, car les pays se rendent compte que le commerce dépend d’un flux de données sans entrave.

« Les législateurs et les régulateurs commencent à comprendre l’impact de la technologie, et que les politiques et les normes doivent évoluer de manière à s’adapter à ces technologies, tout en offrant un niveau de risque et de conformité réglementaire. La normalisation doit être mise en œuvreppen »

Nataraj Nagaratnam, IBM

« Les lois, les règlements et les politiques sont de plus en plus sensibilisés à la technologie », explique Nataraj. « Les législateurs et les régulateurs commencent à comprendre l’impact de la technologie, et que les politiques et les normes doivent évoluer de manière à s’adapter à ces technologies, tout en offrant un niveau de risque et de conformité réglementaire. La normalisation doit avoir lieu, plutôt que chaque pays ait ses propres exigences réglementaires, car cela aura sa propre complexité. »

L’échange d’informations entre différents pays étant dépendant des accords de partage de données, les organisations recherchent des approches qui leur permettent de répondre aux exigences réglementaires et techniques.

« Il y a quelques semaines, lorsque j’étais en Inde, nous avons parlé de cette notion d’ambassades de données – le concept fondamental est que si vous exploitez des services au sein de ces centres de données et fournisseurs de services, vous bénéficiez de l’immunité vis-à-vis de certaines lois », explique Nataraj. « Un pays peut avoir une ambassade de données dans un pays, et en réciprocité, il peut avoir une ambassade de données dans son pays. Il y a des idées novatrices et créatives à venir dans différentes parties du monde. C’est le reflet d’une politique et d’une approche pratique pour résoudre ce problème de partage de données, et cela va évoluer. »

Ces ambassades de données sont similaires au projet Texas proposé par TikTok, qui verrait la plate-forme de médias sociaux stocker toutes les données aux États-Unis sous la surveillance de la société américaine Oracle. Ces ambassades de données pourraient évoluer vers des organisations tierces indépendantes.

Le risque de l’informatique quantique

L’une des préoccupations futures les plus importantes auxquelles seront confrontées les organisations qui s’appuient sur des services cloud sera le risque posé par l’informatique quantique, qui pourrait perturber la sécurité du cryptage. Le recours aux technologies de cryptage existantes n’est pas une option, car les vitesses de traitement offertes par les ordinateurs quantiques leur permettraient de casser rapidement le cryptage, d’autant plus que certains algorithmes à clé publique se sont révélés sensibles aux attaques informatiques quantiques.

La technologie d’infrastructure à clé publique (PKI) la plus couramment utilisée dans le monde est le protocole TLS (Transport Layer Security), qui sécurise les données en transit. En tant que tel, cela devrait être considéré comme le plus grand risque, car si les données sont capturées en transit aujourd’hui, le cryptage pourrait être rompu dans cinq ans, si l’informatique quantique devient disponible sur le marché. En tant que tel, nous devons repenser la façon dont nous abordons le cloud hybride, la connectivité sécurisée et TLS.

« En ce qui concerne la sécurité quantique, je crois que la première chose à corriger est la connectivité. Il y a deux ans, nous avons introduit la prise en charge des algorithmes quantiques sûrs dans le cloud IBM », explique Nataraj. « Lorsque vous effectuez des transactions d’application sur le réseau, cette liaison peut être quantiquement sûre. Vous vous préparez à la menace. Cela doit être l’une des premières choses, en matière de sécurité du cloud, que l’on doit surmonter. »

Avec les niveaux croissants de fonctionnalités offerts par l’intelligence artificielle (IA) et l’apprentissage automatique (ML), l’automatisation deviendra une partie croissante de la posture de sécurité d’une organisation. La surveillance automatisée de la sécurité et de la conformité permet une sécurité continue.

En outre, le déploiement de la sécurité sera automatisé, comblant ainsi le fossé entre les RSSI et les DSI et les équipes informatiques. Cela garantira qu’ils sont tous cohérents les uns avec les autres et alignés sur les exigences mondiales de sécurité et de conformité de l’organisation.

« Il reste encore beaucoup à faire en matière de sécurité et de conformité continues imprégnées d’automatisation, et de la façon dont nous passons d’une architecture de référence qui peut être dans un diagramme Visio à quelque chose de prescriptif, déployable et automatisé », explique Nataraj.

Préparer l’avenir

Les préoccupations concernant la souveraineté des données et la résidence en matière de confidentialité des données sont susceptibles d’augmenter, compte tenu de la conformité réglementaire et des aspects géopolitiques du traitement des données. Par conséquent, il sera nécessaire de disposer de contrôles et de technologies plus démontrables qui peuvent aider à protéger les données et la vie privée, qui seront imprégnées d’informatique confidentielle.

« Les applications de l’informatique confidentielle en sont encore à leurs balbutiements et il reste encore beaucoup à faire, car il ne s’agit pas seulement d’une technologie, mais aussi de ses cas d’utilisation dans l’IA confidentielle », explique Nataraj. « IBM a tiré parti de la technologie informatique confidentielle pour permettre des cas d’utilisation uniques autour de la gestion des clés de chiffrement appelée Keep Your Own Key, où un client a l’assurance technique qu’il est le seul à avoir accès aux clés, où les clés sont protégées dans le matériel ainsi que dans des enclaves sécurisées. Ceci est désormais étendu à la gestion de clés multicloud hybride via Unified Key. »

Le secteur informatique subit un changement fondamental, alors qu’il passe d’un modèle basé sur le Web à un modèle reposant sur les services cloud. C’est en cours deompoignée par les questions technologiques et réglementaires qui viennent au premier plan. Un système multicloud peut améliorer l’adaptabilité aux tendances changeantes du marché, mais cela pose certains défis. L’automatisation des politiques de gestion du réseau permet un partage rapide et efficace des informations au sein des réseaux, quel que soit leur emplacement, tout en garantissant le maintien de la conformité aux réglementations changeantes.

« Nous pouvons aider l’industrie, les gouvernements et d’autres intervenants à aller de l’avant », conclut M. Nataraj. « Nous collaborerons avec les gouvernements et leurs politiques pour y parvenir. »