IBM #ThinkParis2019 : Imaginer le monde de demain au travers du prisme technologique

L’hégémonie des GAFA et des BATX (l’équivalent chinois) inquiète. On s’interroge sur la possibilité de bâtir des acteurs européens capables de rivaliser avec les plateformes de ces géants du numérique. A l’occasion de l’événement IBM Paris Think 2019 Nicolas Sekkaki, Président d’IBM France a livré quelques pistes intéressantes avec des plateformes Business et des plateformes technologiques. Tout est encore possible…

Le monde des « Business Plateforms ». Dans une économie moderne axée sur la donnée on oublie que 80% des données ne sont pas accessibles par des moteurs de recherches car elles sont détenues par les entreprises. Il y a donc là un énorme potentiel pour créer de nouvelles plateformes avec des services bien différents de ceux proposés par les GAFA. Cela suppose néanmoins que les entreprises collaborent entre elles au-delà de leurs différences et de leur compétition pour fédérer des services communs à un domaine. C’est loin d’être impossible comme l’a expliqué Nicolas Sekkaki. Dans les transports maritimes IBM a créé le consortium « Tradelens » avec le transporteur Maersk qui a été ouvert ensuite à d’autres acteurs comme MSC et CMA-CGM. Le monde des transports était encore très peu digitalisé et une importante documentation papier accompagnait chaque container. La blockchain (Hyperledger) a été utilisée pour dématérialiser l’ensemble des documents et des processus via des smart contracts. Même approche dans le monde de l’alimentation avec une plateforme de traçabilité alimentaire à base de la blockchain: « IBM Food Trust ». Cette « business platform » permet d’assurer la traçabilité alimentaire, de mesurer l’efficacité de chaque maillon et de valoriser les filières.  Un autre type plateforme tout aussi intéressante concerne les compétences. Certaines organisations comme l’AP-HP ont regardé des cas d’usage pouvant aider le personnel à mieux utiliser la technologie au quotidien dans leurs métiers. On voit apparaitre des plateformes de compétences (ou factory cognitive) qui regroupent des compétences multidisciplinaires et imaginent comment des technologies telles que l’intelligence artificielle pourraient assister le personnel médical et le soulager de certaines taches fastidieuses. On assiste dans la radiologie à une explosion de l’imagerie médicale alors que l’on manque de radiologues. L’IA s’avère dans ce cas là d’une aide considérable pour raccourcir le temps d’analyse des radios.

Les plateformes technologiques axées sur l’open source. Un énorme virage a été pris par IBM avec l’acquisition de RedHat : celui de l’Open Source.  Si RedHat garde son autonomie, IBM entend bien être son premier partenaire. Nicolas Sekkaki considère que 80% du patrimoine des entreprises ne se prête pas au cloud de manière simple du fait de leur conception monolithique. La solution viendra sans doute des technologies de containers et on peut estimer d’après Agnieszka Bruyere d’IBM que la majorité des systèmes d’information sera containerisée d’ici 2025. C’est aussi le moyen d’assurer la portabilité des applications et de supprimer leur adhérence à un cloud particulier. La technologie Openshift de RedHat jouera un rôle crucial pour containeriser les applications et de les orchestrer avec Kubernetes. On aura ainsi l’assurance qu’une application containerisée pourra être utilisée sur n’importe quelle plateforme dans n’importe quel cloud. Nicolas Sekkaki estime que la containerisation aura plus d’impact que la virtualisation sur les dix dernières années. Ce virage vers l’Open Source est aussi l’occasion d’une importante transformation au sein d’IBM et une refonte des services. L’Open Source est un vecteur d’innovation du fait de sa large communauté. Les bonnes idées émergent et l’adoption par le plus grand nombre établit des standards de fait.

L’humain a été un sujet récurrent pendant Think 2019 au travers de l’entreprise « augmentée » Pour Barbara Lavernos de L’Oreal la transformation numérique doit résonner avec une libération des individus et nécessite de les impliquer à tous les niveaux. Nicolas Sekkeki a rappelé le lancement en septembre du projet P-Tech en France qui reproduit l’initiative née en 2011 aux Etats Unis, grace à Barak Obama et IBM, pour préparer les jeunes des filières professionnelles aux métiers de demain.

 

Optimiser l’expérience client imposera de nouveaux modèles de données (étude Adobe)

Il est relativement peu fréquent de demander aux professionnels de l’IT leur perception sur l’expérience client. C’est tout l’intérêt du rapport Tendances digitales 2019 d’Econsultancy/ Adobe qui apporte un éclairage sur la nécessaire collaboration entre professionnels de l’IT et les directions métiers pour faire entrer l’expérience client dans une nouvelle phase. L’occasion également de mieux comprendre les dernières annonces d’Adobe.

 

L’expérience client doit se rationaliser pour progresser.Depuis une dizaine d’année, l’expérience client est devenue le leitmotiv des entreprises qui font tout pour surprendre et dépasser les attentes des clients à grand renfort de technologies. Cette expérience client s’est souvent construite sur un assemblage disparate de solutions réparties entre différents départements de l’entreprise sans impliquer nécessairement les directions informatiques.  Cela explique sans doute pourquoi seuls 45% des professionnels de l’IT estiment que leur entreprise est mature ou très mature dans le domaine de l’expérience client. Les solutions échangent entre elles des données de plus en plus nombreuses. Avec le rôle grandissant des technologies l’expérience client ne peut pas faire l’impasse d’une réflexion sur l’infrastructure de données pour en optimiser l’exploitation et assurer une protection des données efficace en étant conforme au règlement européen RGPD. Les directions métiers concernées ont donc tout intérêt à collaborer étroitement avec les directions informatiques. Le rapport met en évidence que pour 46% des professionnels de l’IT l’optimisation de l’expérience client et la protection des données sera une priorité pour leur entreprise cette année.

L’expérience client ne peut se réduire à une course aux technologies. Selon le rapport les professionnels de l’informatique estiment que leur travail, dans l’année qui vient, consistera principalement à déployer des expériences client optimisées et à préserver la sécurité des données de l’entreprise et des clients. La technologie est devenue indissociable de l’expérience client. Elle en fait un sujet technique et complexe qui pâtit souvent d’une absence de vision commune en matière de transformation digitale. Les professionnels de l’informatique ont dû développer une vision stratégique globale en adéquation avec celle de l’entreprise. La question des budgets se pose d’autant plus que les professionnels de l’IT divergent sur la méthode employée pour améliorer l’expérience client. Un quart d’entre eux a recours aux nouvelles technologies alors qu’une proportion sensiblement identique (22%) privilégie l’optimisation des infrastructures existantes (la collecte et l’unification des données restent une préoccupation importante pour 19% des participants). Sans prendre parti pour l’une ou l’autre des approches, l’idéal étant sans doute une combinaison des deux, le rapport note néanmoins une tendance à se précipiter sur les technologies avant de mettre à profit les ressources existantes.

 Décrypter le rapport à la lumière des dernières annonces Adobe. La stratégie d’Adobe consiste à faciliter la collaboration entre l’IT et les autres fonctions. Cela passe par une architecture des données adaptée aux ambitions de l’expérience client. Plutôt que d’échanger des données entre de multiples applications mieux vaut disposer d’une sorte de « lac de données » (datalake) ou chaque application impliquée dans l’expérience client y puise les données nécessaires. En septembre 2018 Adobe, SAP et Microsoft Adobe se sont associés pour créer Open Data Initiative. Grâce à cette alliance, les clients pourront combiner des données provenant de différentes sources en utilisant un seul modèle de données pour créer un profil client en temps réel.  Depuis Adobe a annoncé, en mars 2019, « l’Experience Customer Platform » qui concrétise les principes de l’Open Data Initiative. Cette Plateforme collecte et traite des données en temps réel – des dizaines de millions d’événements par seconde – provenant de sources multiples et les organise en Experience Data Models (XDM). Les entreprises peuvent également importer leurs propres données provenant de solutions d’ERP, de CRM et d’autres sources. Les services d’IA d’Adobe Sensei apportent la couche d’intelligence nécessaire pour associer données et contenu, permettant aux marques de diffuser systématiquement le bon message, au bon moment et sur le bon canal.

L’expérience client bénéficiera d’autant plus facilement des nouvelles technologies telles que l’IA et l’IoT (objets connectés) qu’elle disposera d’une architecture de données unifiées.

 

 

Sesame-IT la Start-up de cybersécurité qui cible les opérateurs d’importance vitale OIV

Vivatech qui vient de s’achever nous a offert une véritable immersion dans le numérique. L’avenir s’annonce comme un foisonnement de technologies qui font émerger d’incroyables usages. Le monde de demain sera indéniablement numérique. Ce festival d’innovations ne doit pas nous faire oublier que notre société devient par la même occasion de plus en plus vulnérable aux cyberattaques. On n’hésite plus à parler de cyberguerre qui pourrait paralyser tout ou partie d’un pays en ciblant les organismes critiques. Rencontre sur le stand de HPE France à Vivatech d’Audrey Gayno-Amédro CEO et co-fondatrice de Sesame-it .

Protéger les entreprises vitales pour le pays. L’état a recensé près de 250 opérateurs d’importance vitale (OIV), dans le domaine privé et public (banques, transports, santé, télécoms, énergie, alimentation). Leur activité est jugée indispensable au bon fonctionnement et à la survie de la nation. La liste est classée secret défense pour d’évidentes raisons de sécurité. Ces OIV ont l’obligation de se protéger en se conformant à la Loi de Programmation Militaire (LPM) et en s’équipant de dispositifs certifiés. L’ANSSI supervise la mise en application de l’article 22 de la LPM par les OIV et certifie les solutions de détection (sonde souveraine) qui pourront être utilisées. Depuis le 4 avril deux sondes ont déjà été qualifiées et la sonde de Sesame-IT est en cours de validation. Les OIV ont désormais deux ans devant eux pour installer des sondes de détection chez eux. En cas de manquement les dirigeants pourront être poursuivis pénalement.

Sesame-IT un pure player de la cybersécurité. Cette jeune entreprise fait partie du programme start-up HPE 2019 et bénéfice ainsi du soutien de l’entreprise pour l’aider dans son développement. Sesame-IT a été fondée en 2017 par deux experts en sécurité et en réseaux rompus aux techniques d’analyse et d’extraction de données dans les réseaux à très forts débits. Les fondateurs sont fortement sensibilisés aux conséquences des cyber-attaques dirigées contre les OIV. Ils ont entrepris de développer une solution ‘haute fiabilité’, à la fois pour répondre aux besoins de la Loi de Programmation Militaire, mais aussi pour continuer de participer à la protection de la souveraineté de notre pays.  Cette sonde souveraine a été conçue pour ne permettre aucun accès ni au réseau qu’elle surveille, ni aux informations sensibles qu’elle embarque. C’est sa seconde raison d’être, après la fiabilité de détection des menaces et infiltrations. La sonde souveraine s’installe sur le réseau, derrière les nouvelles générations de Firewall, les IPS et les passerelles web sécurisées.

Piéger les pirates avec des leurres sur le principe de « deception ». Plus évolué que les fameux pots de miel (honeypots) destinés à attirer les pirates, Sesame-IT utilise les principes de « deception » qui consiste à créer une perception erronée de la surface d’attaque. Dans le cas des OIV, Sesame-IT propose de créer des réseaux factices pour leurrer les pirates et les détourner des véritables réseaux. Les cyberrisques sont ainsi diminués et la sécurité augmentée. Des algorithmes de machine learning sont utilisés pour suggérer des réseaux factices et les faire évoluer. L’attaque peut ainsi être observée de manière détaillée tout en protégeant le réseau réel. La solution embarque également de nombreux mécanismes pointus de durcissement (exécution des processes, OS, configurations, containerisation, chiffrement, contrôles d’accès à plusieurs niveaux…). La solution Sesame-IT détecte les menaces sur signature, mais aussi les signaux faibles, et permet de créer des règles en fonction des découvertes de nouveaux ‘exploits’ (exploitation d’une faille dans le code) et de recommandations envoyées par les autorités.

En tant que start-up innovante visant ce marché regulé des OIV, le projet de Sesame-IT bénéficie du soutien de l’ANSSI dans la perspective de l’obtention d’une qualification au titre de la LPM.

 

 

 

 

 

 

 

 

 

.

 

 

Le coût des attaques et les réglementations stimulent la cybersecurité

Certains se rappelleront sans doute le film Wargames qui mettait en scène un jeune pirate informatique  qui accédait à un supercalculateurdes forces armées américaines. En 1983, date de sortie du film, l’histoire faisait figure de science-fiction. Aujourd’hui les cyberattaques font régulièrement parlées d’elles et leurs effets sont de plus en plus inquiétants pour l’économie, la sécurité et la démocratie et incitent à renforcer les mesures de cybersecurité.

Les dépenses en sécurité n’ont jamais été aussi élevées. Le cabinet Gartner les estime à 124 milliards de dollars pour 2019 au niveau mondial. La prise de conscience est réelle. Elle a muri progressivement depuis la cyberattaque contre l’Estonie en 2007 pour éclater sans doute en 2017 avec les ransomwares Wannacry et NotPetya. La leçon a été violente et immédiate. Les entreprises ont compris que les menaces pouvaient se propager extrêmement rapidement (en moins d’une heure pour NotPetya), s’étendaient au-delà des frontières (150 pays concernés par Wannacry) et touchaient tous types d’organisations et d’entreprises. On a surtout pu mesurer à cette occasion l’ampleur des dégâts en termes financiers. Pour Wannacry et NotPetya les estimations sont de l’ordre de 14 à 18 milliards de dollars sans compter les effets sur l’image des entreprises. Saint Gobain a reconnu avoir subi 220 millions de pertes avec Wannacry et l’armateur de containeurs maritimes Maersk les estime à 300 millions de dollars dus à NotPetya. En 2019 on a assisté avec « Locker Goga » à des approches beaucoup plus ciblées comme l’ont constaté à leur dépends Altran et Norsk Hydro. Cette dernière entreprise a constaté dès la première semaine des dégâts d’environ 40 millions de dollars. Ces montants font l’effet d’un électrochoc qui ne peut qu’inciter à investir dans la cybersécurité. Une étude Accenture a révélé qu’en France le cout des attaques avait progressé de 27,4% en un an et de 72% en 5 ans.

Les sources des attaques sont majoritairement à l’extérieur des frontières. La lutte contre les pirates informatiques est d’autant plus complexe que l’on a souvent affaire à des organisations structurées et compétentes qui lancent leurs attaques à partir l’étranger.  Une grande partie des attaques de phishing (hameçonnage) proviennent par exemple du Nigeria. Bien qu’il soit toujours difficile d’affirmer catégoriquement l’origine des attaques on soupçonne la Chine et la Russie (source Carbon Black) d’en être les responsables les plus importants.  A l’approche des élections européennes on s’inquiète des activités des groupes APT 28 et Sandworm Team (source Fire Eye) proches de la Russie. Ces deux groupes ciblent des organisations gouvernementales et des organismes de presse avec des méthodes de « spear phishing » (harponnage) pour extraire des données en vue de nuire à des candidats ou à des partis politiques.

La réglementation s’organise et s’harmonise au niveau européen.L’arsenal réglementaire s’est étoffé ces dernières années pour renforcer la confiance dans le numérique et s’adapter à la typologie des entreprises, organisations et institutions. Les opérateurs d’importance vitales (OIV), dont l’activité touche à la sécurité nationale, doivent respecter les règles fixées par certains articles de la loi de programmation militaire (LPM). Les Opérateurs de services essentiels (OSE) concernent d’avantage l’économie du pays et disposent depuis mai 2018 de la directive européenne NIS fortement inspirée de la LPM. Le même mois était publié le règlement européen RGPD qui porte sur la protection des données personnelles et oblige les entreprises à notifier toute violation de données, auprès des autorités de contrôles et des personnes concernées, au maximum 72h après avoir découvert la violation. Auparavant cette notification avait lieu en moyenne 49 jours après la découverte. Un progrès en termes d’information mais l’attaque a pu avoir eu lieu bien avant sans que personne ne s’en soit rendu compte. Pour compléter le paysage réglementaire on peut citer également le règlement européen eIDAS qui traite de l’identification électronique et des services de confiance.

La cybersécurité va au-delà de la, protection des données et des actifs d’une entreprise. Il s’agit d’instaurer la confiance. Les solutions de cybersecurité mises en place sont encore trop souvent un empilement de produits. La nature des menaces et leurs sophistications nécessitent non seulement d’investir mais également de reconsidérer les méthodes.

 

 

 

Google veut redorer l’image de l’intelligence artificielle

Le scandale de Cambridge Analytica a jeté un coup de projecteur sur Facebook et la manière dont il considérait la protection des données personnelles. Amazon est sous le feu des critiques pour avoir mis à disposition de la police son système de reconnaissance faciale qui compte tenu de ses biais pourrait discriminer des personnes de couleurs. Sous la pression de plus 4000 de ses employés Google a renoncé à collaborer avec l’armée américaine au projet Maven. Progressivement les GAFAM et les grandes entreprises technologiques prennent conscience que le développement technologique ne pourra pas se prolonger sereinement sans instaurer une « confiance numérique vertueuse». On assiste ainsi à un mouvement pour s’assurer que le développement de l’IA se fera en respectant certaines valeurs. Dans ce billet nous analysons quelques initiatives de Google dans ce domaine.

Contribuer à une IA éthique.Le 7 juin 2018 le CEO de Google, Sundar Pichai a publié un billet sur le blog de son entreprise intitulé : « AI at Google: our principles ». Il y reconnait que la puissance de technologies comme l’intelligence artificielle est telle qu’elle pose nécessairement des questions sur son utilisation. La manière dont sera développée l’IA aura un impact significatif et durable sur notre société pour les années à venir. Les entreprises qui sont en tête des développements de l’IA comme Google ont donc des responsabilités importantes qu’elles doivent assumer. C’est ce qu’a voulu faire Sundar Pichai en définissant 7 principes qui doivent guider la recherche et le développement aussi bien que les décisions stratégiques. Google s’est ainsi engagé dans un certain nombre d’initiatives qui démontre que l’intelligence artificielle peut contribuer à améliorer notre vie et notre environnement. En voici quelques exemples.

Améliorer la précision des diagnostics médicaux. Les images des yeux peuvent détenir d’importantes informations sur notre santé. En utilisant des algorithmes de deep learning entrainés sur des données de 284.335 patients Google a pu prédire les facteurs de risques cardiovasculaires à partir d’image de rétines. L’algorithme était capable de distinguer des rétines de fumeurs et de non-fumeurs. Cela démontre qu’il est possible de poser des diagnostics médicaux précis en analysant des rétines avec de l’intelligence artificielle en particulier pour la rétinopathie diabétique qui est responsable de nombreux cas de cécité.

 Anticiper les inondations et les tremblements de terres. Google est persuadé que le machine learning détient le pouvoir d’améliorer les prévisions des inondations et d’aider les centaines de millions de personnes affectés par ces catastrophes chaque année. En janvier 2019 Google a hébergé dans ses locaux de Tel Aviv des experts en hydrologie et en machine learning pour réfléchir à l’amélioration des prévisions des inondations en mettant en commun des bases de données et en utilisant des outils modernes de statistiques et de machine learning. Concernant les tremblements de terre Google a commencé par bâtir une base de données contenant les informations de plus de 118 tremblements de terre dans le monde. Il a ensuite réuni des experts pour comprendre comment le deep learning pourrait prédire où se produiront les répliques de secousses sismiques. Un document intitulé “Deep learning of aftershock patterns following large earthquakes“ a été publié le 20 aout 2018. Les prévisions basées sur le machine learning pourront à termes améliorer le déploiement des services d’urgence et les plans d’évacuation sur les zones à risques de tremblement de terre.

Aider à la préservation des baleines. Dans le cadre du programme AI for Social Good et en partenariat avec le Pacific Islands Fisheries Science Center du  National Oceanic and Atmospheric Administration (NOAA), Google a développé des algorithmes pour identifier les appels des baleines à bosses à partir de 15 ans d’enregistrements sous-marins effectués sur plusieurs sites du Pacifique. Les résultats de cette recherche fournissent des informations nouvelles et importantes sur la présence de la baleine à bosse, la saisonnalité, le comportement quotidien des appels et la structure de la population. Ces informations permettent de suivre précisément l’évolution de la population de ces baleines et d’aider à leur préservation.

L’épineuse question des « fake news ». La polémique sur le rôle des réseaux sociaux dans les élections américaines a enflé. La question était de comprendre qui se cachait derrière l’achat de publicités politiques pouvant causer une fraude massive. A l’occasion des élections de mi-mandat Google a lancé de nouvelles règles pour les publicités politiques. Près de 143.000 publicités ont été vérifiées et pour que la transparence soit totale Google a lancé un nouveau « political and transparency report ». Des outils similaires seront utilisés pour les élections européennes de mai 2019.

J’aurais pu encore citer les efforts pour lutter contre la déforestation illégales ou encore les améliorations apportées aux outils de traduction pour réduire les biais sexistes. N’oublions pas que l’intelligence artificielle a réellement pris son essor il y a moins de 10 ans. Comme toute technologie elle est perfectible. De nombreux efforts sont encore à faire pour s’affranchir des biais cognitifs et sur l’explicabilité des algorithmes. Google comme Amazon, Microsoft, IBM et d’autres encore planchent sur le sujet.

 

 

 

 

L’intelligence artificielle une priorité pour la défense nationale française

C’est à l’institut de Convergence DATA IA à Saclay, le 5 avril 2019, que la ministre des Armées Florence Parly a présenté sa stratégie sur l’Intelligence artificielle. L’intelligence artificielle s’impose dans tous les secteurs économiques et devient un enjeu militaire car toutes les armées des principales puissances se dotent d’algorithmes pour doper leur arsenal militaire.  La France ne veut pas prendre le risque de manquer ce virage technologique.

100 millions d’investissement par an complétés par des partenariats industriels. Entre 2019 et 2025 l’armée française va investir 100 millions d’euros. Cela peut paraitre peu mais cela ne concerne que le cœur de l’IA et il faut y ajouter tous les systèmes qui seront irrigués par l’IA (Rafale, Scorpion, combat naval collaboratif, etc.). La défense nationale va également conclure des partenariats stratégiques pour accélérer le transfert de ces solutions issues du vaste écosystème de la recherche vers l’industrie de défense car des solutions d’IA sont déjà disponibles chez les industriels et il faut favoriser leur intégration avec les systèmes militaires.

Un comité éthique pour veiller au respect de 3 grands principes. Au-delà de l’importance stratégique de maitriser l’IA pour disposer d’une défense efficace et moderne, Florence Parly est consciente des problèmes éthiques et des craintes suscités par l’IA. Elle définit donc trois grands principes qui régiront le développement de l’IA de défense : le respect du droit international, le maintien d’un contrôle humain suffisant, et la permanence de la responsabilité́ du commandement.Quel que soit le niveau d’autonomie des systèmes d’armes actuels et futurs ils devront rester subordonnés au commandement humain.Les déclarations d’intention ne suffisant pas, la ministre a décidé de créer des 2019 un comité d’éthique sur les sujets de la défense. La France sera ainsi la première grande puissance militaire à se doter d’une telle structure de réflexion.

La compétence au centre des préoccupations d’une « cellule de coordination ». Bien que l’IA ait fait d’incroyables progrès la ministre reconnait que les technologies sont encore jeunes et que certaines approches manquent de maturité pour les utiliser dans des applications critiques. Les enjeux de robustesse et de fiabilité sont importants lorsqu’il s’agit de détecter une mine sous-marine ou de contrer une cyber-attaque. La compétence est donc un sujet majeur pour maitriser l’IA et elle sera structurée autour d’une « cellule de coordination de l’intelligence artificielle de défense » au sein de l’Agence innovation défense. D’ici 2023 la cellule de coordination s’appuiera sur un réseau de 200 spécialistes de l’IA

 

 

 

 

 

Les solutions de sécurité sont-elles bien adaptées au cloud.

Les entreprises ont compris, dans leur grande majorité, l’opportunité que représentait le cloud pour innover rapidement et à coûts maîtrisés dans une économie numérique qui ne laisse aucune place à l’immobilisme. Cette adoption grandissante du cloud, qui prend généralement la forme de cloud hybride et qui tend à devenir multi-cloud, impose de reconsidérer les stratégies de sécurité pour ne pas subir de graves déconvenues.

La sécurité doit être efficace sans être contraignante.  La sécurité du cloud est confrontée à un environnement particulièrement changeant de par la nature même du cloud et de par le nombre et la sophistication des menaces auquel il doit faire face. Il n’y a pas encore si longtemps toutes les entreprises imposaient des mesures extrêmement strictes à leurs employés pour garantir un maximum de sécurité. L’ordinateur portable était fourni par l’entreprise qui contraignait son utilisation à un usage purement professionnel. Elle imposait l’utilisation de logiciels dument validés avec des versions rarement récentes. Il était assez simple d’appliquer des solutions de sécurité périmétriques qui considéraient que tout ce qui résidait dans ce périmètre était sûr et les accès pouvaient en être aisément contrôlés. Ce monde rassurant est en voie disparition. La sécurité ne peut être contraignante au point d’imposer un style de vie, ou un mode de travail, qui soit à des années lumières de ce qu’offre la technologie aujourd’hui. Les utilisateurs sont devenus nomades et varient les modes de connexion à des applications dans le cloud au gré des usages n’hésitant pas à emprunter à l’occasion des wifi gratuits non sécurisés pour transmettent des données personnelles et professionnelles. Pour gagner en agilité, les entreprises ont tourné le dos aux applications monolithiques et développent les nouvelles applications nativement pour le cloud. Elles utilisent des microservices pour assurer un développement et une intégration continue qui ne nécessitent aucune interruption de service. Les applications peuvent ainsi s’adapter en permanence au besoin du marché mais en revanche leur évolution constante oblige à s’interroger sur leur niveau de vulnérabilité. Le rapport SOSS (State of Software Security ) de Veracode montre que le nombre d’applications vulnérables reste élevé et que les composants open source représente un risque significatif pour l’entreprise. Le recours aux APIs se révèle d’une grande aide pour faciliter l’intégration entre logiciels et applications à condition que ces APIs soient elles-mêmes sécurisées. Les déboires d’Intel en 2018 avec les failles de sécurité  Spectre et Meltdownpuis Foreshadow ont montré que les puces équipant les serveurs informatiques n’était pas à l’abri des menaces. Dans un tel contexte assurer une sécurité à toute épreuve tient de la gageure et les solutions périmétriques ne peuvent se suffire à elle-même.

Il est illusoire de prétendre être en mesure de se prémunir contre toutes les attaques.De par sa vocation le cloud est un environnement hautement connecté qui offre une surface d’attaque importante. Les menaces sont de plus en plus en plus nombreuses et les vecteurs d’attaques s’attachent à exploiter toutes les failles possibles. De nombreux exemples récents de vols de données ont montré que l’entreprise s’aperçoit trop tard qu’elle a été victime d’une attaque. Une étude de Ponemon Institutemenée pour IBM Security a chiffré le coût d’une violation de données à environ 3,86 millions $ par entreprise et par an. Si on ne peut bloquer toutes les attaques il faut éviter leur propagation et en limiter les effets en se concentrant sur la protection des données et des applications. Cela passe par des solutions de chiffrement pour stocker les données et les transférer. Le mot de passe reste d’une efficacité extrêmement limitée s’il ne s’accompagne pas d’autres facteurs d’authentification (un jeton ou une carte à puce, des données biométriques). Pas suffisant malgré tout puisque un outil de test d’intrusion (Modlishka)publié par un chercheur en sécurité a réussi à contourner des protections à double facteurs !! Pour rationaliser les processus et réduire les erreurs humaines l’automatisation est incontournable. Intégrer la sécurité dans les approches DevOps (DevSecOps) peut être salutaire. D’après le rapport SOSS les entreprises utilisant activement des approches DevSecOps corrigent les failles 11,5 fois plus rapidement que les autres en raison de l’analyse accrue du code lors de la fourniture en continue de versions de logiciels. Comme il est impossible de connaitre immédiatement la nature de toutes les nouvelles menaces les solutions de sécurité doivent être capables de déceler toute variation par rapport à un comportement dit normal d’un utilisateur, d’un équipement ou d’une application.

La sécurité confrontée au cloud hybride et au multi cloud. Sécuriser un cloud est déjà un vaste programme. Les solutions se composent de différents produits qui doivent collaborer efficacement pour couvrir tous les aspects de la sécurité. La tâche n’est déjà pas si simple mais elle se complique encore des lors qu’il s’agit de protéger un cloud hybride ou un multi-cloud. Il n’est pas question de mettre en cause les moyens de sécurité des fournisseurs de cloud publics. Des sociétés comme AWS utilisent le machine learning pour détecter automatiquement les menaces (Amazon GuardDuty) ou classifier les données en fonction de leur valeur (Amazon Macies). Google dispose de tout un arsenal documenté dans des livres blancspour assurer l’authentification multi facteurs, le chiffrement des données et l’intrusion des données. Azure et IBM ont des approches similaires. Le problème tient davantage dans la juxtaposition de clouds provenant de fournisseurs différents utilisant des infrastructures, matérielles et logicielles, et des outils de sécurité qui leur sont propres. Dans un environnement aussi complexe il faut s’assurer que l’entreprise garde la visibilité sur l’ensemble des clouds utilisés et sur la localisation de ses données. Malgré le nombre d’acteurs impliqués l’entreprise doit malgré tout veiller à la cohérence et à la consistance des politiques la sécurité sur l’ensemble. Le partage des responsabilités est aussi un sujet qui doit être abordé  tout particulièrement pour être entre conformité avec la RGPD.

Les dépenses en matière de sécurité ne cessent d’augmenter selon le Gartner (101 milliards en 2017, 114 en 2018 et 124 prévus en 2019 mais l’efficacité n’est pas garantie pour autant. A l’ère du cloud il ne suffit plus d’empiler les solutions, il faut être capable de se remettre en cause et utiliser de nouvelles approches qui à leur tour atteindront leurs limites car la sécurité est une course sans fin.