Les cybercriminels ont trouvé un nouveau paradis: le «nuage», système plébiscité par les entreprises pour dématérialiser leurs données et les faire gérer à distance par des serveurs qui concentrent un énorme volume d'informations sensibles mais laissent à désirer niveau sécurité.
«Le constat est malheureusement que cette externalisation est largement pratiquée, mais la sécurité est rarement bien faite», déplore Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Pour des raisons de coûts et d'espace, de plus en plus de sociétés et d'administrations font appel à des prestataires extérieurs qui stockent les informations dans de gros serveurs, parfois situés à l'étranger. Une simple connexion internet permet d'avoir accès à ces données.
«Si vous êtes attentifs à sécuriser vos informations mais qu'elles se retrouvent sur le même serveur que d'autres données qui ne l'ont pas été, alors c'en est juste fini pour vous», soulignait la semaine dernière M. Pailloux lors d'une conférence à l'OCDE sur la sécurité des entreprises.
De l'adolescent hacker aux réseaux criminels structurés, une fois rentrés dans un système, les «pirates» s'en servent pour envoyer des spams, usurper des identités, voler des données personnelles ou industrielles, ou, pire, lancer des attaques virales.
Selon une étude du cabinet Ernst & Young, moins d'un tiers des entreprises dans le monde (30%) sont préparées à affronter ces «nouveaux» risques liés au recours à des fournisseurs externes.
Sur un panel de 1600 entreprises dans 56 pays, seules 46% disaient «vouloir augmenter leurs dépenses consacrées à la sécurité», 23% d'entre elles indiquaient utiliser déjà les services du «nuage» et 15% envisageaient d'en faire autant dans l'année à venir.
«Les cybercriminels font un usage sans cesse meilleur du nuage car des dizaines de millions d'ordinateurs peuvent être reliés par ce système et de plus en plus de gens en dépendent donc», souligne Keith Maskell, un des vice-présidents de la société de sécurité informatique Kaspersky Lab.
«Les directions ont également leur part de responsabilité concernant le système de sécurité: elles doivent protéger au mieux les ordinateurs de leur entreprise car, ce faisant, elles protègent aussi la communauté internet toute entière», indique-t-il à l'AFP.
«Il y a effectivement un énorme problème d'intrusion et de sécurité», renchérit Alain Benichou, président d'IBM France: «les nuages impliquent d'importantes bases de calcul en béton, et je préfère les savoir en France».
«Il faut faire le maximum pour prévenir toute intrusion. Quand vous êtes un particulier et que vous allez sur le net, on peut pirater votre carte de crédit ou piquer votre identité, ça n'embêtera que vous. Mais cela peut être extrêmement dommageable pour une entreprise», souligne-t-il.
«Certes, on ne peut pas atteindre la sécurité absolue, mais le +cloud+ peut apporter beaucoup plus de sécurité par exemple aux petites entreprises qui n'ont pas une expertise suffisante», tempère Martin Sadler, responsable recherche et développement chez Hewlett Packard.
«Les gouvernements de tous les pays où le nuage touche terre - là où les serveurs sont physiquement localisés - sont tenus d'avoir un cadre légal qui garantit confidentialité et protection des données», a rappelé la commissaire européenne chargée des nouvelles technologies, Neelie Kroes, lors des Assises du Numérique qui se sont tenues la semaine passée à Paris.