Cloud et informatique confidentielle ...

(Pour Alessandro Rugolo)
30/11/20

Depuis des années, les experts en sécurité informatique des entreprises privées et des organisations publiques ont été confrontés à la poussée innovante de nouveaux services, identifiés de manière générique sous la catégorisation des Services Cloud. Des services qui promettent des économies et un niveau de sécurité plus élevé. 

Comme vous pouvez bien le comprendre, toute solution qui promet le paradis doit être soigneusement évaluée, je dirais que dans ces cas, il faut être sceptique et enquêter. En fait, les vulnérabilités des nouveaux systèmes sont souvent une surprise, et généralement pas immédiatement.

J'ai lu une nouvelle intéressante d'AMD annonçant un accord avec IBM dans le domaine de Informatique confidentielle et intelligence artificielle. 

Bien que tout le monde sache ce que l'on entend par intelligence artificielle (ou du moins ils en ont entendu parler), peu de gens savent probablement ce que l'on entend par informatique confidentielle.

Il Informatique confidentielle est une technologie de cloud computing qui vous permet d'isoler les données sensibles lors de leur traitement dans le cloud. En fait, les données doivent être protégées à des moments différents: lorsqu'elles sont stockées dans des bases de données, lorsqu'elles se déplacent le long des réseaux et, enfin et surtout, lorsqu'elles sont traitées. 

En ce qui concerne la protection dans les bases de données et le long des réseaux, des techniques de cryptage sont généralement utilisées, mais lorsque les données sont traitées (en principe) elles doivent être en clair et c'est un risque à prendre en compte. Les technologies de Informatique confidentielle ils traitent précisément de la sécurité des données traitées dans l'environnement cloud.

Certains peuvent se demander si le Informatique confidentielle il est important (ou en d'autres termes si et quels sont les risques encourus par l'utilisation des technologies cloud), eh bien la réponse se trouve dans les rapports des entreprises qui traitent de l'analyse des cyberrisques, parmi celles-ci je n'en mentionne qu'un, McAfee, qui est bien connu en tant que fabricant d'antivirus. Si nous lisons le «Rapport sur l'adoption et les risques du Cloud», il est possible de mieux comprendre quelles sont les tendances concernant les risques associés à l'adoption du Cloud et donc de comprendre les risques encourus par l'utilisation des technologies du Cloud. 

Tout le monde ne lira pas le rapport, mais je peux vous dire en quelques mots qu'il y a des risques et qu'ils doivent être pris en compte. Non seulement je dis cela (qui suis-je pour le faire?) Mais les mêmes entreprises qui fournissent des services cloud l'affirment, avec leur comportement.   

Pour confirmer ce qui précède, jetons un coup d'œil à un consortium récemment créé: le "Confidential Computing Consortium" (CCC), de la Linux Foundation. Le CCC vise à approfondir la sécurité des systèmes et des technologies cloud et est un consortium impliquant Alibaba, ARM, Baidu, IBM, Intel, Google, Microsoft, Red Hat, Swisscom et Tencent. Quiconque a une idée de ce que représentent ces entreprises peut comprendre l'importance du «problème» de l'informatique confidentielle.

Je termine cet article par une simple question: lorsque les données étaient traitées par des logiciels propriétaires sur des infrastructures informatiques détenues par le client, c'était le client qui devait assurer le maintien d'un environnement sûr pour ses données et qui répondait de ce qui se passait, même devant lui. à la loi, mais maintenant? Désormais, les données appartiennent au client, mais les services sont externes (sur le cloud) et l'infrastructure informatique est le Cloud (du moins dans le cas du SaaS), géré en tous points par le prestataire ... qui est responsable de leur sécurité?

Soyons clairs, ces dernières années, les organisations et entreprises de toutes natures ont souvent et volontairement démontré qu'elles étaient incapables de protéger leurs données et infrastructures, en raison de la complexité, de la rapidité de l'évolution des technologies et des maigres investissements dans la formation et mise à jour technologique. 

La responsabilité en cas de cyber-incident dans un environnement cloud est, à certains égards, partagée, le client et le prestataire de services doivent donc travailler ensemble, et ce n'est pas facile.

Je crois que la réponse se trouve encore entre les lignes du CCC. C'est pourquoi les principaux fournisseurs de services cloud au monde travaillent ensemble pour définir de nouvelles normes de sécurité cloud.

Pour en savoir plus:

IBM et AMD annoncent un accord de développement conjoint;

IBM et AMD annoncent un accord de développement conjoint pour faire progresser le calcul confidentiel pour le cloud et accélérer l'intelligence artificielle - BW CIO (businessworld.in);

Qu'est-ce que le calcul confidentiel? | IBM;

La grande majorité des cyber-attaques sur les serveurs cloud visent à miner la crypto-monnaie | ZDNet;

Les données dans le cloud sont plus exposées aux cyberattaques que dans les organisations - Cybersecurity Insiders (cybersecurity-insiders.com)

-SaaS : Définition du logiciel en tant que service (SaaS) (investopedia.com)