Intervention de Arnaud Dechoux

Le niveau général de protection des infrastructures du cloud nous paraît très bon. Pour se protéger contre des accès tiers, il faut utiliser une brique de chiffrement et de gestion d'accès tierce. Beaucoup d'acteurs français proposent ce service – Atos ou autres –, en plus du service de l'hébergeur américain ou autre. Avec ces prestataires tiers, on arrive à un excellent niveau de protection.

Au-delà de l'aspect technique, la question se pose ensuite des assurances que l'hébergeur cloud peut apporter que personne d'autre ne pourra avoir accès aux données, et de la manière dont il peut gérer les vulnérabilités. Ces derniers mois, des vulnérabilités ont été trouvées sur les serveurs Microsoft Exchange : cette découverte a été largement exploitée par tous types d'acteurs, a priori, d'autant qu'elle n'a pas pu être corrigée suffisamment tôt. Des acteurs malveillants ont pu en tirer profit. La question est celle de la manière dont ces vulnérabilités sont gérées, depuis le moment auquel les clients sont informés, pour que l'éditeur puisse patcher la vulnérabilité et tous les utilisateurs mettre à jour leur logiciel en temps et en heure. Dans les petites entreprises et les petites collectivités territoriales, le problème est souvent que les mises à jour ne sont pas faites rapidement, même si l'information est rapidement disponible. Le CERT de l'ANSSI est extrêmement efficace et reconnu : il publie des alertes très régulièrement. Encore faut-il que les petits acteurs en aient connaissance et mettent à jour leurs solutions rapidement pour corriger les failles. Nous en revenons aux questions de sensibilisation et d'hygiène numérique. C'est probablement ici que le bât blesse : les mises à jour et la gestion des vulnérabilités.