Cela aura été l’un des enseignements du CSO Interchange à Paris en 2009 : les RSSI ne semblent pas particulièrement motivés par les défis de l’informatique dans les nuages, tandis que le marché, lui, les matraque allègrement avec la promesse d’un ciel dégagé.

Un signe ne trompe pas : tandis que les questions concrètes, opérationnelles, que nos membres posent eux-mêmes sur SecurityVibes trouvent réponse très rapidement, celles que nous posons au sujet du Cloud Computing demeurent généralement désespérément vides !

Ce n’est pourtant pas une défiance envers le Cloud à proprement parler qui semble retenir les RSSI, mais plutôt une inertie bien compréhensible face à une rupture technologique aussi importante : après tout, il faut continuer à sécuriser la boutique comme avant tout en trouvant le temps de découvrir le Cloud Computing, ses promesses et ses risques nouveaux.

A l’occasion de nos discussions sur le sujet, nous percevons toutefois que les RSSI savent bien qu’ils n’y échapperont pas (le SaaS est déjà bien présent au sein des métiers via le CRM, par exemple). Ils semblent plutôt attendre du Cloud Computing qu’il parle un peu mieux leur langage, afin d’être en mesure de l’intégrer plus souplement à l’existant.

Il est en effet aujourd’hui difficile de parler d’analyse de risque, de gestion des identités, d’inter-opérabilité, de journalisation ou de politiques de sécurité communes au sein du Cloud. Ce seront là probablement des défis pour l’année à venir (et ça commence d’ailleurs à bouger, avec la création par exemple du Cloud Security Alliance, ou l’intérêt du Jericho Forum en matière d’identités dans le nuage). Mais pour l’heure, le Cloud Computing semble pour le RSSI encore un peu loin de ses préoccupations concrètes et des infrastructures de l’entreprise.

Le DLP se concrétise

La prévention contre les fuites de données (DLP) semble en revanche avoir quitté le domaine du buzzword pour devenir une réalité en 2009. Certes, tout n’est pas encore rose au pays de la fuite mais nous avons noté une plus grande familiarité des RSSI avec les termes, les exigences et les limites de ces solutions, doublée d’un intérêt certain, alors que c’était encore bien flou en 2008.

La virtualisation se sécurise

De même pour la sécurité des architectures virtuelles. Si grâce (ou à cause !) de la poussée des métiers la virtualisation des serveurs est une réalité depuis longtemps, la SSI a mis un certain temps à prendre en compte ses spécificités (il y a peut-être ici un parallèle à faire avec le Cloud Computing, d’ailleurs).

Mais c’est désormais chose faite, et l’on peut s’en rendre compte notamment en observant l’engouement des membres de SecurityVibes pour notre prochain petit-déjeuner thématique, qui sera consacré à la sécurité de la virtualisation : les pré-réservations sont largement au delà de n’importe quel autre thème traité jusqu’à présent.

De son côté le marché offre désormais des solutions capables de prendre en compte la totalité des infrastructures virtuelles, y compris les commutateurs et le réseau. La notion d’IPS virtuel, par exemple, ne fait plus forcément sourire les RSSI en 2009.

Et c’est plutôt une bonne chose, car la réglementation pourrait bientôt suivre, à commencer par le conseil PCI qui s’intéresse désormais aux impacts de la virtualisation sur la conformité PCI-DSS.

ISO 27001 et web social sortent du bois

Les deux derniers thèmes de l’année sont probablement la poussée d’ISO 27001 et le web social. Du côté d’ISO 27001, la France est restée très longtemps à la traîne en matière de certifications, bien sûr, mais également en matière de visibilité de la norme. Il semble cependant que 2009 ait fait évoluer les choses, et que la norme ISO 27001 soit plus visible et mieux comprise. Vous pourrez lire à ce sujet le récit de Marc Dovéro, RSSI du Conseil Général des Bouches-du-Rhône et membre de SecurityVibes, récemment converti à ISO 27001 tout en venant du monde de la technique.

Le web social, enfin, s’est imposé en 2009 comme une réalité aux RSSI : leurs utilisateurs exigent d’accéder aux réseaux sociaux tels Facebook ou LinkedIn, alors même que les attaques ciblent de plus en plus régulièrement ces plate-formes. Pris entre deux feux, les responsables sécurité ont de plus en plus de mal à ignorer le problème. Et si l’on en croit les prédictions 2010 publiées par les éditeurs sécurité (toutes !), c’est un problème qui ne pourra que croitre l’année prochaine.