Confidentialité des données et Clouds Publics : quelles réponses en 2022
Frugalité Numérique: les usages

Basculer les OIV, Opérateurs d’Importance Vitale, dans les Clouds Publics

XLogo OIV MonacoLes OIV, Opérateurs d’Importance Vitale, sont des organisations considérées par les États comme stratégiques dans leurs activités. Elles sont soumises à des contraintes fortes en ce qui concerne la sécurité de leurs opérations, et tout le monde le comprend.

Ce billet de blog sera en priorité centré sur les OIV en France, mais il existe des OIV dans tous les pays, et ce que j’écris pour la France est valable dans le reste du monde. Le logo OIV ci-dessus est celui de… Monaco.

La position que je défends dans ce texte représente un virage à 180° par rapport au consensus actuel dans la majorité des pays:

  • La position dominante des pays: les Clouds Publics sont interdits pour les OIV.
  • Ma position: toutes les OIV doivent basculer leurs infrastructures numériques dans les Clouds Publics, et le plus vite possible.

 

OIV - Organisation d’Importance Vitale

Cet article de Wikipédia est une bonne introduction au sujet des OIV en France.

J’en ai extrait ce tableau qui liste les secteurs considérés comme stratégiques par l’État français et les ministères auxquels ils sont rattachés.

XSecteurs OIV en France

Il y a environ 250 OIV en France. La liste de leurs noms n'est pas publique, mais il n’est pas difficile d’en identifier la majorité, connaissant les secteurs économiques concernés.

Dans le domaine de la sécurité numérique des OIV, c’est l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information qui est chargée de la supervision des actions des OIV dans ces domaines. C’est une attribution logique et pertinente.

XANSSI et OIV

 

Infrastructures physiques, infrastructures numériques

Il est essentiel de bien différencier:

  • Les infrastructures physiques. Ce sont tous les équipements matériels utilisés dans les activités à protéger: réseau ferré pour les trains, réseaux de transports d’électricité ou de gaz, réseaux de distribution d’eau…
  • Les infrastructures numériques. Elles sont utilisées pour gérer les données nécessaires au fonctionnement des infrastructures physiques.

La majorité des OIV gère des infrastructures physiques et les infrastructures numériques qui les pilotent.

Il existe quelques OIV, comme les banques, qui ne gèrent que des infrastructures numériques.

Les règles relatives à la sécurité de ces deux familles d’infrastructures sont très différentes, comme je l’explique dans ce billet.

 

À garder “On Premise”: gestion industrielle des infrastructures physiques

La sécurité des infrastructures physiques doit être une préoccupation prioritaire des états.

Dans ce billet de blog publié en novembre 2021, j’ai placé la sécurité des infrastructures physiques en tête de la liste des principaux risques que j’ai identifiés, d’ici à 2030.

Le deuxième grand risque identifié est lié à Taiwan. Les tensions créées en août 2022 par la visite de Nancy Pelosi à Taiwan confirment mes inquiétudes.

De quoi parle-t-on?

- Transport d’énergie: gaz, électricité.

- Gestion de l’eau.

- Transport de personnes : rail, route, air.

- Réseaux de données, filaires et sans fil.

- Infrastructures hospitalières.

-...

Si des cybercriminels prennent le contrôle de ces réseaux physiques, il peut y avoir mort d’hommes, et en très grand nombre. Imaginez une seconde ce qui pourrait se passer si une organisation criminelle prenait la main sur un réseau ferroviaire et envoyait les trains les uns contre les autres en agissant sur les aiguillages.

La coupure totale, à 100% de tout accès Internet, Web ou Cloud est la méthode la plus efficace pour réduire ces risques de prise de contrôle à distance. 99% ne sont pas suffisants; une seule porte numérique ouverte suffit pour qu’une cyberattaque soit possible.

Aujourd’hui, un trop grand nombre de ces réseaux ont encore des points d’accès ouverts, par exemple pour les mises à jour de logiciels.

Aucune exception ne doit être tolérée.

C’est en pratique, plus difficile à réussir qu’on ne le pense.

Je ne connais pas les plans de l’ANSSI dans ce domaine, mais si ce n’est pas fait, il serait utile de créer une structure de coordination permettant aux 200+ OIV ayant des réseaux physiques de partager leurs meilleures pratiques dans ce domaine. 

Les problématiques sont très proches, les solutions aussi, que l’on gère un réseau de transport de gaz ou ferroviaire.

La démarche que je privilégie est celle de la création d’un jumeau numérique, un “digital twin” en anglais.

Ce schéma présente le mode de fonctionnement d’un jumeau numérique.

XInfrastructures industrielles - Jumeau numérique

  • Les réseaux industriels, gérés par des logiciels regroupés sous le nom de SCADA, sont 100% déconnectés du Cloud et d’Internet.
  • Les données liées à l’activité des réseaux industriels sont envoyées, en même temps, vers le SCADA et vers le jumeau numérique, construit dans un Cloud Public.
  • Pour garantir la protection du SCADA, il est indispensable que la liaison qui transmet les données vers le Cloud Public soit physiquement unidirectionnelle.
  • La société Teréga, le deuxième transporteur de gaz en France avec GRTGaz, et avec qui j’ai eu l’honneur de collaborer, à développé en interne une solution innovante de “diode numérique” qui rend impossible le retour de données en provenance du Cloud Public. La solution complète proposée par Teréga, io-base, s’appuie sur le Cloud Public AWS pour le jumeau numérique.

Toutes les OIV qui gèrent des réseaux physiques peuvent mettre en œuvre une démarche SCADA + Jumeau Numérique. C’est le moyen le plus efficace que je connaisse pour conjuguer sécurité des infrastructures physiques et capacité de pilotage numérique en s’appuyant sur la puissance des Clouds Publics.

La solution française io-base de Teréga pourrait devenir rapidement un standard en Europe si l’ANSSI en fait la promotion et pousse toutes les OIV françaises à l’adopter.

Dans mon billet de blog de fin 2021, “j’ai mal à mon Europe du Numérique”, j'ai identifié sept DC2E, Digital Commando of Excellence en Europe, domaines dans lesquels l’Europe pouvait encore espérer jouer un rôle raisonnable en 2030.

Les jumeaux numériques sont le quatrième de ces sept domaines.

La réussite de cette démarche de jumeaux numériques en Europe peut ensuite s’exporter dans tous les pays du monde, qui ont exactement les mêmes soucis de protection de leurs infrastructures industrielles. 

Motivant, non?

 

Infrastructures numériques des OIV, situation actuelle

Maintenant que les problèmes de sécurité des infrastructures physiques des OIV sont maîtrisés, on peut s’attaquer au deuxième défi, leurs infrastructures numériques.

Comme je l’ai écrit récemment, mes analyses démontrent que les infrastructures numériques des grands Clouds Publics industriels sont, et de loin, les plus sécurisées au monde, celles qui protègent le mieux les données des entreprises.

Les OIV sont, par définition, les entreprises françaises qui ont le plus besoin de sécuriser leurs infrastructures numériques.

Conséquence “logique”: la priorité pour la France est de basculer le plus vite possible les infrastructures numériques des 250 OIV françaises dans les Clouds Publics.

La situation en 2022 est pour le moins… paradoxale:

AdS DPC Two men in Data Center S 511608567

  • Il faut protéger le plus possible les infrastructures numériques des OIV françaises.
  • On interdit, ou déconseille très fortement aux OIV d’utiliser les Clouds Publics.
  • On  encourage les OIV à rester le plus longtemps possible sur des infrastructures “On Premise”.
  • Le résultat obtenu est l’inverse de celui espéré: les OIV seraient les dernières entreprises en France à disposer d'infrastructures numériques sécurisées.

Comme tout citoyen français responsable, je souhaite que les OIV disposent des solutions d’infrastructures numériques les plus sécurisées possibles.

Conséquence: la stratégie actuelle “pas d’infrastructures Clouds Publics pour les OIV” doit être remplacée immédiatement par une stratégie qui représente un virage à 180°:

 

Les infrastructures numériques les plus sécurisées pour les OIV…

 sont dans les Clouds Publics.

 

Infrastructures numériques des OIV, dans Clouds Publics, à partir de 2023

Dans le billet de blog cité plus haut, j’ai identifié cinq niveaux d’infrastructures numériques en fonction des niveaux de confiance qu’elles procurent dans la protection des données:

XFamilles de Cloud  niveau de Confiance

  • OP = On Premise: la plus mauvaise solution, et de loin.
  • CP = Cloud Public, utilisé de manière native, sans sécurités supplémentaires.
  • CP+ = Cloud Public, avec utilisation des clés de chiffrement fournies par l’opérateur de Cloud Public. 
  • CP++ = Cloud Public avec utilisation de clés de chiffrement fournies par l’entreprise, que l’opérateur de Cloud Public ne connaît pas.
  • CPC = Cloud Public de Confiance: les infrastructures numériques appartiennent à des sociétés françaises ou européennes, ce qui les met à l’abri des lois extraterritoriales comme celles utilisées par les États-Unis.

J’utiliserai cette classification dans la suite de mon analyse.

 

Quelles infrastructures Clouds Publics pour les jumeaux numériques des OIV

Dans un paragraphe précédent, j’ai présenté le principe des jumeaux numériques: ils travaillent sur une copie des données venant des infrastructures physiques.

Toutes les données utilisées pour créer un jumeau numérique n’ont pas les mêmes niveaux de criticité. Cela dépend des métiers des OIV:

  • Pour une entreprise de transport ferroviaire, le nombre et la localisation des wagons n’ont pas besoin d’une protection forte.
  • Le niveau de remplissage d’une réserve de gaz est une donnée publique.
  • Dans le secteur nucléaire, les informations relatives au transport des combustibles sont beaucoup plus sensibles.
  • La localisation des sous-marins atomiques français demande un niveau de protection maximal.

En pratique, cela veut dire que chaque OIV devra choisir pour son jumeau numérique la famille de Clouds Publics qui correspond au niveau nécessaire de confidentialité des données.

Cloud Confiance OIV et Jumeaux numériquesCe tableau donne une possible répartition des jumeaux numériques des OIV françaises par niveaux de solutions. Il n’a aucune valeur “scientifique”: c’est une première estimation que je propose. 

La bonne démarche consiste à commencer par le niveau de base, CP. S’il est suffisant, ce qui sera probablement le cas pour 30% à 50% des OIV, il n’est pas nécessaire d’investir dans les niveaux de protection supérieurs, plus complexes et plus coûteux.

Ensuite, au cas par cas, chaque OIV peut monter dans les niveaux de confidentialité, CP+, CP++ pour trouver la meilleure réponse.

Les solutions CPC seront choisies par les seules OIV qui en ont un besoin impératif. Si je devais donner un pourcentage, je le situerais à moins de 10%. Les OIV travaillant dans le domaine militaire sont des candidats logiques.

 

Quelles infrastructures Clouds Publics pour les Systèmes d’Information des OIV

Les Systèmes d'Information des OIV sont de la même nature que ceux des autres entreprises.

Dans le billet déjà cité plusieurs fois, j’ai présenté deux réponses possibles pour les entreprises face à ces défis de la confidentialité des données:

  • Une réponse irrationnelle: les risques perçus par les dirigeants sont beaucoup plus élevés que dans la réalité.
  • Une réponse rationnelle, qui analyse de manière posée et sérieuse les risques et choisit les réponses les plus raisonnables, cas par cas.

Je fais évidemment l’hypothèse que tous les dirigeants et DSI des OIV et de l’ANSSI sont des personnes rationnelles.

Différentes familles Cloud et Confiance RationnelCe tableau donne mon évaluation générale de la répartition des solutions Clouds Publics pour toutes les entreprises. La majorité des OIV sont des entreprises grandes ou moyennes. Il est possible que les pourcentages soient un peu différents.

Pour les OIV, j’estime que les pourcentages pourraient être dans les fourchettes suivantes:

  • Cloud Public: 60% à 80%.
  • Cloud Public +: 10% à 30%.
  • Cloud Public ++: 1% à 10%.
  • Cloud Confiance: 1% à 3%.

Ce qu’il faut retenir: en choisissant rationnellement et avec pragmatisme les solutions Clouds Publics disponibles, 99% des OIV françaises peuvent basculer 99% de leur Système d’Information dans les Clouds Publics, et immédiatement.

Pourquoi 99% et pas 100%? Je n’aime pas beaucoup le 100%, car on le rencontre très rarement sur le terrain! Il y a dans ce billet une exception à cette règle: les réseaux industriels qui doivent être déconnectés d’Internet et du Cloud à 100%, pas à 99,99%.

 

Résumé

XLogo ANSSIJe suis prêt à collaborer activement avec l’ANSSI pour les aider dans cette mission urgente, d’intérêt national: la migration des infrastructures numériques de toutes les OIV françaises dans des Clouds Publics.

Ce sera un signal fort et positif pour toutes les entreprises françaises! 

Si les OIV peuvent utiliser les solutions IaaS des Clouds Publics, il deviendra très difficile, limite impossible, pour les dirigeants de toutes les entreprises de dire qu’ils ne peuvent pas utiliser les Clouds Publics car ils n’offrent pas un niveau de sécurité suffisant.

Un beau chantier en perspective, à démarrer avant la fin de l’année 2022.

 

Commentaires