Contrairement aux idées reçues, les PME sont plus régulièrement la cible d’attaques informatiques, en raison de leurs moyens et leurs expertises limités en cybersécurité. Or, le cloud computing offre une cyberdéfense de pointe, à coût maîtrisé.Les explications de Stephan Hadinger, directeur de la technologie pour AWS France.
Les enjeux sont colossaux, et la menace grandissante. En 2021, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) recensait 37 % d’attaques informatiques de plus qu’en 2020. Les cas de rançongiciels — ces virus qui bloquent l’accès aux données contre rançon —ont même augmenté de 255 %! Et les quelque 3,9 millions de PME, réputées moins bien protégées, sont les premières cibles des pirates. Malgré cette situation, la mise à niveau de leur cybersécurité se fait attendre. En cause : des coûts de sécurisation trop élevés et un manque d’expertise en interne sur ces questions.
«Le cloud change la donne parce qu’il démocratise de très hautes technologies de cybersécurité », souligne Stephan Hadinger, directeur de la technologie pour Amazon Web Services (AWS) France. «Les mécanismes de protection que nous proposons sont identiques pour les PME régionales comme pour les groupes internationaux.» En revanche, les budgets ne sont pas les mêmes : chacun paye sa consommation réelle avec une facturation à l’usage. Mieux : pas de prépaiement ni de frais de mise en service.
De multiples technologies
«Certes, nos clients choisissent notre cloud pour son agilité mais aussi pour la sécurité offerte», souligne Stephan Hadinger. En effet, Amazon CloudFront stoppe automatiquement 70 % des attaques par déni de service (DDoS). Les 30 % restants, ciblant des applications précises, sont arrêtés grâce à la technologie AWS WAF (Web Application Firewall), qui filtre et refuse les requêtes frauduleuses. «Historiquement, la technologie WAF est très coûteuse à l’achat et exige des compétences expertes. La nôtre est accessible à tous les développeurs et n’est facturée qu’à l’usage.» Avec AWS Shield Advanced, AWS met à la disposition des entreprises ses équipes expertes pour intervenir en cas de suspicion d’attaque, 24 h sur 24 et 7 jours sur 7, même quand l’entreprise est fermée et n’a pas la capacité de réagir rapidement.
Pour Stephan Hadinger, la cybersécurité des entreprises reste cependant l’affaire de tous : « Nous plaidons pour un modèle de responsabilité partagé. Nous assurons la sécurité des couches basses (sécurité physique des data centers, réseaux, liaisons…), mais le client a la responsabilité, lorsqu’il déploie une application dans le cloud, de gérer les droits d’accès et les services de sécurité qu’il souhaite activer. C’est un modèle souple et agile.»
Des certifications comme gage de confiance
Pour toute entreprise, confier l’hébergement de ses données à un opérateur cloud est avant tout une affaire de confiance.AWS prend cet enjeu à coeur et apporte de nombreuses garanties. L’opérateur est ainsi signataire du code de conduite du Cloud Infrastructure Services Probviders in Europe ( CISPE). une coalition des principaux opérateurs cloud européens. Ce code atteste qu’AWS répond aux exigences qui lui sont applicables en vertu du RGPD. «Notre conformité a été attestée en 2022 par un cabinet d’audit externe accrédité par la CNIL qui a vérifié l’ensemble de nos processus.» Un programme continu de certifications vient compléter ce code CISPE afin d’apporter des gages de sécurité aux clients en fonction de leurs activités : ISO 27000 (management des systèmes d’information), SOC 1 et 2 (sécurisation des transactions financières), PCI DSS (paiements en ligne), HDS (données de santé) …
Enfin, le modèle opérationnel d’AWS, unique dans le monde des fournisseurs de cloud, fait de la confidentialité une valeur fondatrice. Aucun collaborateur n’a accès aux données chiffrées des clients. « Notre technologie a été développée pour que nous n’ayons aucun moyen d’accéder aux données des clients. Même si les autorités, et notamment la justice américaine dans le cadre du CLOUD Act, nous le demandaient, nous ne pourrions livrer que des contenus chiffrés sans la clef.» Marque finale de cette confiance : depuis l’ouverture en 2017 de ses infrastructures en France – la Région AWS Europe (Paris) comptant trois zones de disponibilité, les clients peuvent choisir, s’ils le souhaitent, de conserver leurs applications et leurs données sur le territoire français avec la garantie qu’aucune duplication automatique de leurs données ne sera faite vers une autre région du monde.
Défense vis-à-vis des attaques extérieures, sécurité des hébergements des applications et données, conformité au RGPD et réglementations… Pour les PME souhaitant protéger leurs activités à coût maîtrisé, le choix d’AWS apparaît comme le choix de raison.
