Pourquoi la cybersécurité dans le cloud est essentielle ! Décryptage
Riskintel Media
Riskintel Média
Pourquoi la cybersécurité dans le cloud est essentielle ! Décryptage
Les attaquants, ils sont comme vous et moi, ils développent leurs compétences dans le cloud.
Attackers, they are like you and me, they develop their skills in the cloud.
Le départ, c'est de signer un bon contrat.
The start is to sign a good contract.
Mes fournisseurs me garantissent de l'hébergement, du compute et tout le reste, c'est ma responsabilité.
My suppliers guarantee me hosting, compute, and everything else; it is my responsibility.
La surface d'attaque, elle est très dynamique.
The attack surface, it is very dynamic.
Qu'est-ce qu'on peut trouver ? Qu'est-ce qui constitue l'ensemble de mes microservices ?
What can we find? What constitutes the whole of my microservices?
Comment ils interagissent entre eux ?
How do they interact with each other?
Moi, je vois que le cloud nous a beaucoup aidé pour avoir la visibilité, pour gérer les incidents.
I see that the cloud has helped us a lot to gain visibility and manage incidents.
On est plus proche du développement de code source, finalement de code,
We are closer to the development of source code, ultimately of code.
que dans la sécurité, on va dire classique.
that in security, we will say classic.
Se protéger des Américains, très bien, mais du coup, de quoi veut-on se protéger ?
Protecting ourselves from the Americans is fine, but what exactly do we want to protect ourselves from?
Bonsoir et bienvenue à l'émission de l'émission de l'émission.
Good evening and welcome to the show of the show of the show.
Bonsoir et bienvenue à l'émission de l'émission.
Good evening and welcome to the show.
Bonsoir et bienvenue à l'émission.
Good evening and welcome to the show.
Bienvenue à notre nouvelle émission de Risk Intel Média, ce soir en partenariat avec CrowdStrike.
Welcome to our new show from Risk Intel Media, tonight in partnership with CrowdStrike.
On va parler d'un sujet, celui du cloud, plus précisément la cybersécurité sacrifiée sur l'autel de l'agilité cloud.
We are going to talk about a topic, that of the cloud, more specifically the cybersecurity sacrificed at the altar of cloud agility.
Et pour cela, on a avec nous quatre experts qui vont débattre, échanger, répondre à mes questions, mais également aux vôtres.
And for this, we have with us four experts who will debate, exchange ideas, answer my questions, but also yours.
Je vais leur laisser la main pour pouvoir se présenter brièvement et je commence par Mickaël.
I will let them take the floor to briefly introduce themselves, and I will start with Mickaël.
Bonjour Yasmine.
Hello Yasmine.
Bonjour.
Hello.
Merci beaucoup de nous recevoir.
Thank you very much for having us.
Mickaël Le Gall, je suis responsable de l'équipe d'ingénierie avant-vente chez CrowdStrike.
Mickaël Le Gall, I am the head of the pre-sales engineering team at CrowdStrike.
J'ai commencé mon parcours dans la cybersécurité.
I started my journey in cybersecurity.
Il y a une quinzaine d'années désormais, et un peu plus spécifiquement sur les sujets cloud.
It has been about fifteen years now, and a bit more specifically on cloud topics.
Je dirais il y a de ça cinq ans.
I would say it was about five years ago.
J'ai commencé ma carrière comme développeur avant de passer du côté obscur de la force.
I started my career as a developer before moving to the dark side of the force.
Orion.
Orion.
Orion Orgozain, je suis le responsable sécurité opérationnelle du groupe Idemia.
Orion Orgozain, I am the operational security manager of the Idemia group.
Je suis content d'être ici, content de partager ce moment avec, on va dire, mes pères.
I am happy to be here, happy to share this moment with, let's say, my fathers.
Et donc le cloud est effectivement un sujet sur lequel nous travaillons beaucoup chez Idemia.
And so the cloud is indeed a topic we are working a lot on at Idemia.
Merci.
Thank you.
Et David.
And David.
Merci.
Thank you.
Bonjour à tous.
Hello everyone.
David Le Carpentier, je suis RSSI de GRT Gaz, transporteur d'énergie sur le territoire français.
David Le Carpentier, I am the CISO of GRT Gaz, an energy transporter in French territory.
Engagé dans la transition énergétique pour accompagner la transition énergétique.
Engaged in the energy transition to support the energy transition.
Et nous avons fait un switch dans le cloud en 2019.
And we made a switch to the cloud in 2019.
Et donc je vais vous partager un peu notre expérience et notre retour d'expérience sur le sujet.
And so I will share with you a bit of our experience and our feedback on the subject.
Merci David.
Thank you, David.
Et Abir.
And Abir.
Bonjour Yasmine.
Hello Yasmine.
Moi c'est Abir Mouaker, je suis RSSI dans le secteur d'énergie.
My name is Abir Mouaker, I am a CISO in the energy sector.
Je suis ingénieur réseau et sécurité de formation.
I am trained as a network and security engineer.
Et depuis 2016, je baigne dans les sujets sécurité cloud.
And since 2016, I have been immersed in cloud security topics.
Merci d'être avec nous ce soir.
Thank you for being with us tonight.
Est-ce que vous êtes content de traiter du cloud ?
Are you happy to deal with the cloud?
Oui.
Yes.
Comment ne pas l'être ?
How could one not be?
Exactement, Mickaël, tout à fait.
Exactly, Mickaël, absolutely.
Comment ne pas l'être ?
How could one not be?
Alors pour préparer cette émission, on a fait appel au public d'experts qui nous suivent sur Iskintel Média.
So to prepare for this show, we called upon the public of experts who follow us on Iskintel Media.
Et on a fait un sondage en partenariat avec CrowdStrike.
And we conducted a survey in partnership with CrowdStrike.
Et on a posé la question suivante.
And we asked the following question.
Migrer dans le cloud assure-t-il une meilleure protection ?
Does migrating to the cloud ensure better protection?
Alors je vous laisse regarder les réponses du public.
So I'll let you look at the audience's responses.
On a quand même 1232 votants.
There are still 1232 voters.
Ce n'est pas rien, je trouve que c'est un bon échantillonnage.
That's not nothing, I think it's a good sampling.
On a 30% de oui, 37% de non et 51% de ça dépend.
We have 30% yes, 37% no, and 51% it depends.
Je vous pose la question, quand vous regardez ces chiffres déjà,
I ask you the question, when you look at these figures already,
est-ce que ça vous parle, ça vous intrigue, ça vous questionne, vous êtes d'accord ?
Does this resonate with you, intrigue you, make you question, do you agree?
Qu'est-ce que vous en pensez ?
What do you think about it?
Moi je pense qu'il y a 51% des gens qui ont raison.
I think that 51% of people are right.
C'est vrai, le ça dépend, entre les deux.
It's true, it depends, between the two.
Et oui, ce n'est pas binaire.
And yes, it is not binary.
Et je pense qu'on va essayer de le développer là.
And I think we're going to try to develop it there.
C'est tout sauf binaire.
It's anything but binary.
Ça dépend de comment on prend le sujet.
It depends on how we approach the subject.
Et j'espère qu'on va pouvoir déflorer le sujet
And I hope we will be able to broach the subject.
en expliquant l'étonnant et aboutissant de ce qu'est le cloud
by explaining the astonishing and ultimate nature of what the cloud is
et comment on peut l'exploiter.
And how can we exploit it?
Vous êtes d'accord avec David ?
Do you agree with David?
Parfaitement d'accord.
Perfectly agree.
Effectivement, ça dépend de qu'est-ce qu'on cherche à protéger comme données.
Indeed, it depends on what data we are trying to protect.
Données sensibles, pas données sensibles, etc.
Sensitive data, non-sensitive data, etc.
Et effectivement, là, pour moi, il y a un vrai enjeu.
And indeed, for me, there is a real issue here.
Et je pense qu'on l'abordera ce soir.
And I think we will address it tonight.
Autour éventuellement de la souveraineté, etc.
Possibly around sovereignty, etc.
Justement, pour commencer cette émission,
Indeed, to start this show,
on se posait la question de savoir pourquoi,
we were wondering why,
quelles sont les raisons qui font qu'on décide de migrer dans le cloud
What are the reasons for deciding to migrate to the cloud?
et est-ce que c'est réellement plus sécurisé, David ?
And is it really more secure, David?
Deux questions dans l'une.
Two questions in one.
Pourquoi on bouge dans le cloud ?
Why are we moving to the cloud?
Je peux partager une autre expérience.
I can share another experience.
Nous, on allait chercher, en 2019,
We were going to look for, in 2019,
notre première motivation, c'était du time to market.
Our primary motivation was time to market.
Aller plus vite sortir des produits,
Go faster to get products out,
des projets, donc se soustraire à toutes les problématiques
projects, therefore to withdraw from all the issues
d'intégration des couches basses, de la scalabilité pour traiter
integration of lower layers, scalability to handle
des problématiques de montée en puissance de nos infras,
issues related to the scaling up of our infrastructure,
de nos applications, et puis une quête d'optimisation des coûts.
from our applications, and then a quest for cost optimization.
C'était un peu les motivations premières, en tout cas celles qui nous ont engagés
Those were the main motivations, at least the ones that got us involved.
à regarder ces sujets.
to look at these topics.
Donc, il n'y a pas que ces dimensions à regarder,
So, there are not only these dimensions to consider,
mais en tout cas, nous, ça a été suffisamment important pour nous motiver
but in any case, for us, it was important enough to motivate us
et in fine, au terme de trois années, un petit peu plus de projets,
and in the end, after three years, a little more projects,
on a migré tout un ensemble d'applications dans le cloud.
We migrated a whole set of applications to the cloud.
On a encore des systèmes on-prem sans pour autant avoir choisi de l'hybridation.
We still have on-prem systems without necessarily having chosen hybridization.
Voilà, donc les motivations peuvent être variées.
There you go, so the motivations can be varied.
Maintenant, est-ce que c'est plus sûr ?
Now, is it safer?
Ça dépend, ça dépend de comment on traite de la sécurité.
It depends, it depends on how we handle security.
Ce qu'il faut essayer de retenir, c'est que c'est un modèle de responsabilité partagée.
What needs to be remembered is that it is a model of shared responsibility.
On en parle à distance.
We're talking about it from a distance.
On en parle à distance, très bien.
We will talk about it from a distance, very well.
Je vois qu'on a des gens aux fêtes.
I see that we have people at the parties.
Ça change pas mal de paradigmes.
It changes quite a few paradigms.
Effectivement, on travaille à deux et on a des responsabilités,
Indeed, we work as a team and we have responsibilities.
partagées qui sont plutôt bien décrites côté des fournisseurs de services.
shared that are rather well described on the service providers' side.
Donc, il faut apprendre à les comprendre.
So, we need to learn to understand them.
Ça déplace la sécurité chez nous.
It shifts the security to us.
On a pu agir et l'aspect physique, par exemple, des infrastructures.
We were able to act on the physical aspect, for example, of the infrastructures.
On fait moins d'intégration, on fait plus de développement.
We do less integration, we do more development.
Et puis, et puis, le résultat en termes de sécurité,
And then, and then, the result in terms of safety,
il va aussi beaucoup dépendre de comment vous avez préparé votre projet de transformation.
It will also depend a lot on how you prepared your transformation project.
Je pense qu'on reviendra sur les questions de formation, de préparation, de doctrine.
I think we will revisit the issues of training, preparation, and doctrine.
Et puis, on va passer à la question de la cyber.
And then, we will move on to the question of cyber.
Je ne vous cache pas qu'on s'est mis à courir et que même en courant vite,
I won't hide from you that we started to run and that even while running fast,
on a eu beaucoup de mal à rattraper l'élan et la dynamique que ça crée,
we had a hard time catching up with the momentum and the dynamics that it creates,
parce qu'il y a des questions assez fondamentales auxquelles il faut réfléchir,
because there are some fundamental questions that need to be considered,
si possible en amont, parce que quand vous êtes lancé,
if possible upstream, because when you are launched,
vous prenez des options, vous posez des briques, vous avancez.
You take options, you lay bricks, you move forward.
Et donc, il faut être capable assez tôt, en tout cas dans un projet de ce type là,
And so, one must be able, fairly early on, in any case in a project of this kind,
assez tôt de se projeter, donner un cadre aussi cohérent que possible
early enough to project oneself, providing a framework as coherent as possible
avec tout le reste de l'écosystème.
with the rest of the ecosystem.
C'est un enjeu sympa.
It's a nice challenge.
Donc, la sécurité qui en découlera dépendra de votre préparation.
So, the security that will result will depend on your preparation.
Donc, si vous êtes dans cette logique là,
So, if you are in that line of thinking,
anticipez au maximum, notamment pour les équipes cybersécurité.
anticipate as much as possible, especially for the cybersecurity teams.
Comprenez ce que c'est que le cloud et la sécurité dans le cloud.
Understand what cloud and cloud security are.
Ce n'est pas la même chose que la sécurité on-prem historique.
This is not the same as historical on-prem security.
Ça fait que votre projet peut être sécurisé.
This means your project can be secured.
Et donc, vous êtes dans le oui et ça dépend.
So, you are in the yes and it depends.
Orion, qu'est-ce que tu en penses ?
Orion, what do you think about it?
Écoute, je suis parfaitement
Listen, I am perfectly
aligné, en fait, le business voit cela comme un accélérateur, finalement.
aligned, in fact, the business sees this as an accelerator, ultimately.
Pourquoi ?
Why?
Très simplement,
Very simply,
le premier truc qu'ils mettent, en tout cas la première chose qu'ils mettent
the first thing they put, in any case the first thing they put
en avant, c'est comme ça, je n'ai pas les contraintes de l'IT.
Let's go, that's how it is, I don't have the constraints of IT.
Parce que nous, en IT, on a l'on-prem et puis effectivement,
Because we, in IT, have the on-prem and then indeed,
on déploie des infrastructures qui sont lourdes, etc.
We are deploying heavy infrastructures, etc.
OK, donc eux, ils disent OK, moi, je vais dans le cloud pour être un accélérateur,
OK, so they say OK, I'm going to the cloud to be an accelerator.
scalabilité, effectivement, être capable d'avoir cette élasticité et de pouvoir
scalability, indeed, being able to have this elasticity and to be able
adresser éventuellement, à un moment donné, des pics de charges, etc.
possibly address, at some point, peak loads, etc.
de manière aisée, sans avoir à refaire
easily, without having to redo
toute l'infrastructure et donc de manière plus ou moins aisée.
the entire infrastructure and therefore in a more or less easy manner.
La partie coût aussi, mais cette partie coût,
The cost part too, but this cost part,
finalement, et je pense qu'il y a quelques exemples,
finally, and I think there are a few examples,
la question se repose.
The question arises again.
Pourquoi ? Parce que quand on fait du lift and shift, finalement,
Why? Because when we do lift and shift, ultimately,
on prend ce qui est on-prem, on ne réfléchit pas finalement à l'engineering
We take what is on-prem, we don't really think about the engineering in the end.
pour basculer vers le cloud.
to switch to the cloud.
Finalement, on n'accompagne pas ça de logique de finance, par exemple.
Ultimately, we do not accompany this with financial logic, for example.
C'est à dire comment est ce que je gère au mieux
That is to say, how do I manage the best?
les coûts financiers du cloud ? Parce que très vite, ça peut exploser.
The financial costs of the cloud? Because it can escalate very quickly.
Je sur-sois parce que la question du financement, évidemment,
I am postponing because the question of funding, obviously,
je vous ai dit qu'il y avait un intérêt financier
I told you there was a financial interest.
et au moment du début du projet, on avait estimé qu'il y avait un range
And at the start of the project, we estimated that there was a range.
de plus ou moins 30 %. Donc, on avait un risque.
by more or less 30%. So, we had a risk.
Soit on était optimal
Either we were optimal.
par exemple en redéveloppant nos applications, en les mettant en pur cloud,
for example, by redeveloping our applications, by putting them in pure cloud,
soit en étant en mode juste du lift and shift.
either by being in a pure lift and shift mode.
Je fais du IaaS et je déménage tout.
I am doing IaaS and moving everything.
Je fais héberger mes activités dans le cloud et j'avais un plus ou moins 30 %
I have my activities hosted in the cloud and I had about 30%.
par rapport au coût d'hébergement et de licence.
in relation to the cost of hosting and licensing.
On peut, ça, c'est assez facile à calculer.
We can, that's quite easy to calculate.
Retext, nous, quatre ans après, on est à zéro.
Basically, us, four years later, we're at zero.
Donc, on a fait une moyenne.
So, we took an average.
Il y a des sous-systèmes sur lesquels on a pu optimiser, d'autres où on n'a
There are subsystems that we have been able to optimize, others where we have not.
pas pu le faire.
couldn't do it.
Une gestion et on est plutôt à zéro.
A management and we are rather at zero.
Donc, les gains, ils sont plutôt sur la partie
So, the gains are mainly on the part
les coûts environnants, l'intégration, le support, etc.
surrounding costs, integration, support, etc.
Après, il y a d'autres bénéfices, je les développerai peut-être après.
Later, there are other benefits; I might elaborate on them later.
Mais dès le départ, on avait identifié que s'il y avait une fourchette
But from the start, it was identified that if there was a range
et que les choix structurants qu'on allait faire, notamment l'IAC, etc.
and that the structural choices we were going to make, including the IAC, etc.
Enfin, l'infra-ASCODE
Finally, the infra-ASCODE
était déterminant sur les gains.
was decisive on the gains.
Et le lift and shift est un faux semblant.
And the lift and shift is a facade.
Attention, héberger dans le cloud,
Warning, hosted in the cloud,
ça coûte plus cher que d'héberger en data center.
It costs more than hosting in a data center.
J'avais un ancien client qui me disait, faire du lift and shift,
I had an old client who told me to do lift and shift.
ce serait un peu comme de prendre une plante d'intérieur et de la déménager ailleurs.
It would be a bit like taking a houseplant and moving it somewhere else.
Il y a une chance pour qu'elle s'épanouisse, mais il y a aussi beaucoup de chances pour qu'elle meure.
There is a chance that it will thrive, but there is also a high likelihood that it will die.
En fait, la plupart du temps, le lift and shift, il y a assez peu.
In fact, most of the time, there is quite little lift and shift.
Si on prend un pour un, on le met dans le cloud, il y a assez peu de chances.
If we take one for one, we put it in the cloud, there is little chance.
Au mieux, on va se retrouver avec la même surface d'exposition.
At best, we will end up with the same exposure area.
La plupart du temps, on va avoir tendance à l'augmenter.
Most of the time, we will tend to increase it.
Maintenant, j'ai l'impression que ce n'est pas ce que font la plupart des organisations à l'image de la tienne.
Now, I feel like this is not what most organizations like yours are doing.
David, c'est quand même l'occasion de se remettre les choses à plat,
David, it's still an opportunity to set things straight.
de réfléchir à l'architecture.
to reflect on architecture.
Pourquoi pas intégrer la sécurité un peu plus en amont dans les process.
Why not integrate security a little earlier in the processes?
Donc, pour beaucoup, ça s'accompagne.
So, for many, it goes hand in hand.
Donc, je rejoins le ça dépend et le comment et le pourquoi sont un peu indissociables ici.
So, I agree that it depends and the how and the why are a bit inseparable here.
Alors, on a une question à distance.
So, we have a question from a distance.
Déjà, Jean-Luc qui dit le modèle de responsabilité partagée est très important à comprendre.
Already, Jean-Luc says that the model of shared responsibility is very important to understand.
David, voilà, on a un public averti et aguerri.
David, here we have a knowledgeable and seasoned audience.
Et puis, on a Jean-Luc qui pose la question, quelles sont les best practices
And then, we have Jean-Luc asking the question, what are the best practices?
à respecter
to be respected
lors d'un projet de migration de mes workloads on-prem vers le cloud pour une entreprise ?
during a project to migrate my on-prem workloads to the cloud for a company?
Je peux tenter un premier bout de réponse, mais vous en complétez.
I can attempt a first part of an answer, but you complete it.
Je le dis, anticiper, notamment la sécurité, anticiper le financier,
I say it, anticipate, especially security, anticipate the financial.
parce que le FinOps, c'est un poste.
because FinOps is a position.
Nous, on l'a créé dès le départ, dès les premiers jours.
We created it from the very beginning, from the very first days.
Contrôler FinOps,
Control FinOps,
ça peut vite être un cauchemar si vous n'avez pas intégré ça tôt
It can quickly become a nightmare if you haven't integrated that early on.
ou alors vous le découvrez quand la facture
or you find out when the bill comes
est donnée, c'est compliqué.
It is given, it's complicated.
L'anticiper et puis préparer la transformation.
Anticipate it and then prepare for the transformation.
Je dirais, ne négligez pas la transformation humaine que ça va impliquer.
I would say, do not underestimate the human transformation that this will entail.
Voilà, il y a une dimension de connaissance et de maîtrise de l'environnement.
Here, there is a dimension of knowledge and mastery of the environment.
Si vous avez une entreprise qui est historiquement
If you have a business that is historically
on-prem, classique, ça va faire un gros shift.
On-prem, classic, it's going to be a big shift.
Si vous êtes
If you are
d'Octolib et que vous naissez BornCloud, c'est pas la même affaire.
from Octolib and that you are born BornCloud, it's not the same thing.
Donc, vous n'avez pas les mêmes enjeux de transformation humaine.
So, you do not have the same human transformation issues.
Et ça, ça peut vous planter.
And that can crash you.
Et puis, dernier point, et je laisse la parole à mes collègues,
And then, finally, I will pass the floor to my colleagues,
un bon assessment, une bonne préparation, parce que si vous ne savez pas quel est
a good assessment, good preparation, because if you don't know what it is
le taux d'application que vous allez pouvoir redévelopper et celle dont vous n'avez
the application rate that you will be able to redevelop and the one you do not have
pas pouvoir parce que pas amorti, parce que pas possible,
cannot because not amortized, because not possible,
parce que du legacy trop lourd, votre plan ne va pas être tout à fait identique.
because of the heavy legacy, your plan will not be exactly the same.
Donc, bien préparer.
So, prepare well.
Je me permets de rebondir sur le point de la transformation humaine.
I would like to follow up on the point of human transformation.
Effectivement,
Indeed,
aujourd'hui, en tout cas par expérience, on se dit OK, je prends mon
Today, in any case from experience, we say OK, I'll take my
application, ma solution on-prem, je la mets dans le cloud, je réfléchis
application, my on-prem solution, I'm putting it in the cloud, I'm thinking.
Firewall, désolé pour les brands, mais du Cisco ou autre, etc.
Firewall, sorry for the brands, but Cisco or others, etc.
Alors qu'il faut réfléchir déjà avec ce qui est embarqué
While it is necessary to think with what is already onboard.
directement dans les solutions cloud, parce que finalement,
directly into cloud solutions, because ultimately,
elles offrent un panel de solutions qui peuvent être utilisées par défaut.
They offer a range of solutions that can be used by default.
Est-ce qu'on a besoin d'un Cisco quand on peut déployer des sécurité
Do we need a Cisco when we can deploy security?
apps, par exemple ?
apps, for example?
Et donc, c'est cette logique là qu'il faut,
And so, it's this logic that is needed,
en tout cas, qu'il faut s'approprier parce que ce n'est pas la même chose, parce
in any case, it has to be appropriated because it is not the same thing, because
que sinon, on va perdre en efficacité, on va migrer aussi tous les process run
Otherwise, we will lose efficiency, and we will also migrate all the run processes.
qui sont très lourds et qui sont les process on-prem et qui, finalement,
who are very heavy and who are the on-prem processes and who, ultimately,
le gain en efficacité, le gain en rapidité ne se fera pas.
The increase in efficiency, the increase in speed will not happen.
Donc, il y a toute cette transformation effectivement au niveau humain
So, there is indeed this entire transformation at the human level.
pour permettre cette migration et aussi des processus parce que ce que nous permet le
to enable this migration and also processes because what allows us the
cloud, c'est de l'automatisation, c'est de la transparence au niveau de la sécurité, etc.
Cloud is automation, it is transparency in terms of security, etc.
Alors, je suis d'accord avec vous, mais je rajouterai un autre point qui est
So, I agree with you, but I would add another point which is
plus en avant, qui est le point contractuel.
further on, which is the contractual point.
Le départ, c'est de signer un bon contrat et s'assurer que le contrat est maîtrisé
The start is to sign a good contract and ensure that the contract is understood.
parce que ça va nous permettre de se protéger sur toute la durée du contrat.
because it will allow us to protect ourselves throughout the duration of the contract.
Et après, on commence à réfléchir sur comment on peut travailler les processus
And then, we start thinking about how we can work on the processes.
business
business
et former les équipes à partir dans le cloud.
and train the teams to move to the cloud.
Donc, pour moi, le contrat, il est indispensable et central.
So, for me, the contract is essential and central.
J'ai un tip sur les contrats.
I have a tip about contracts.
Regardez les MAR, Minimum Architecture Rules.
Look at the MAR, Minimum Architecture Rules.
Quand vous lisez ça, c'est un des derniers paragraphes du contrat.
When you read this, it is one of the last paragraphs of the contract.
C'est toujours le dernier.
It's always the last one.
Et là, vous allez comprendre ce que ça veut dire la responsabilité partagée.
And there, you will understand what shared responsibility means.
D'accord.
Alright.
Vous allez comprendre qui est responsable des données.
You will understand who is responsible for the data.
Et quand vous lisez ça, vous comprenez que le CSP s'engage.
And when you read this, you understand that the CSP is committed.
Et il sait sur quoi il s'engage.
And he knows what he is committing to.
Et son engagement, elle est contractuellement bien définie.
And her commitment is contractually well defined.
Si vous ne l'avez pas compris, vous allez au-devant de gros ennuis.
If you don't understand it, you're heading for big trouble.
D'accord.
Okay.
Alors, j'aimerais partager avec vous ces chiffres.
So, I would like to share these figures with you.
En 2022, 31% des entreprises ont déclaré avoir subi un incident de sécurité dans le cloud.
In 2022, 31% of companies reported having experienced a security incident in the cloud.
Donc, ça provient justement d'un document qui a été mis en place.
So, it comes from a document that has been established.
La sécurité du cloud s'est amplifiée par CrowdStrike en 2022.
Cloud security was enhanced by CrowdStrike in 2022.
Et donc, ma prochaine question est de savoir est-ce que les équipes de sécurité
And so, my next question is whether the security teams
en prémisse gèrent la cybersécurité de la même manière que les équipes
In premise, they manage cybersecurity in the same way as the teams.
de cybersécurité dans le cloud ?
of cybersecurity in the cloud?
Non.
No.
Même si les processus peuvent rester quasi identiques, la gestion des incidents,
Even if the processes may remain almost identical, incident management,
la gestion des vulnérabilités, la gestion de la sécurité dans les projets.
vulnerability management, security management in projects.
Mais il y a une grosse différence et qu'avec le cloud, on a la chance en tant
But there is a big difference, and with the cloud, we have the chance as
qu'équipe sécurité d'avoir une visibilité qu'on n'avait pas dans les environnements
that the security team has visibility that we didn't have in the environments
en prémisse. On a des droits en consultation qui nous permettent
as a preamble. We have consultation rights that allow us
de voir tout ce qui se passe dans des souscriptions cloud.
to see everything that happens in cloud subscriptions.
Et donc, une visibilité sur les risques, sur les activités.
And therefore, visibility on the risks and on the activities.
Mais d'un autre côté, il faut former ses équipes à pouvoir comprendre
But on the other hand, it is necessary to train your teams to be able to understand.
le fonctionnement de cloud avant les équipes se concentraient plus
the functioning of the cloud before the teams focused more
sur les équipements de sécurité, donc en maîtriser les firewalls,
on security equipment, therefore mastering firewalls,
les détections d'intrusions, les antivirus, les EDR.
intrusion detections, antivirus, EDR.
Avec le cloud, il faut qu'on soit en maîtrise de tous les aspects d'architecture
With the cloud, we need to be in control of all aspects of architecture.
et principalement, comment on peut sécuriser une architecture dans le cloud.
And mainly, how can we secure a cloud architecture?
Ça, c'est un point fondamental pour que
This is a fundamental point so that
les équipes puissent commencer à regarder les aspects SICU.
the teams can start looking at the SICU aspects.
Et un autre avantage est que les équipes SICU peuvent faire plein test
And another advantage is that SICU teams can do a lot of tests.
parce qu'on a la facilité de monter des services, de tester
because we have the ease of setting up services, of testing
et puis les arrêter et on paye uniquement pendant la période où ça a été fait.
and then stop them and we only pay for the period during which it was done.
Ça nous permet de vérifier plein de choses
It allows us to check a lot of things.
et être vraiment à la pointe de la technologie
and to be truly at the forefront of technology
en ce qui concerne les services de sécurité.
regarding security services.
Un autre avantage qu'on a avec le cloud
Another advantage we have with the cloud
est qu'on a des services sécurité qui sont intégrés dans les services by design.
Do we have security services that are integrated into the services by design?
Et donc, c'est beaucoup plus de facilité pour que ça puisse être utilisé
And so, it's much easier for it to be used.
par les équipes DevSecOps et aussi les équipes cybersécurité qui surveillent.
by the DevSecOps teams and also the cybersecurity teams who monitor.
Moi, je vois que le cloud nous a beaucoup aidé.
For me, I see that the cloud has helped us a lot.
Je pense que c'est un avantage pour avoir la visibilité, pour gérer les incidents
I think it's an advantage to have visibility in order to manage incidents.
parce que dans les environnements on-premise,
because in on-premise environments,
il fallait qu'on installe des centres, des outils pour pouvoir capturer
We needed to establish centers and tools to be able to capture.
les mêmes données qu'on a aujourd'hui avec les outils cloud.
the same data we have today with cloud tools.
David ?
David?
Complètement.
Completely.
Dans le on-prem, on doit gérer et déployer nous-mêmes nos outils de sécurité
In the on-prem, we have to manage and deploy our own security tools.
et les monitorer dans le cloud.
and monitor them in the cloud.
Ils sont fournis parce qu'ils ont été massifiés à une telle échelle
They are provided because they have been mass-produced on such a scale.
qu'effectivement, on a une richesse.
that indeed, we have a wealth.
Ça, c'est évident.
That's obvious.
C'est ce que je disais tout à l'heure sur la préparation, y compris des équipes cloud.
That's what I was saying earlier about the preparation, including for cloud teams.
Toutes les équipes doivent être préparées, des designers,
All teams must be prepared, including designers,
à ceux qui exploitent et à ceux qui supervisent et qui gèrent la sécurité.
to those who exploit and to those who supervise and manage security.
Et puis, il y a quelques dilemmes à régler.
And then, there are a few dilemmas to resolve.
Quand j'ai un environnement, je reprends toujours mon exemple,
When I have an environment, I always refer back to my example.
c'est l'entreprise qui est born cloud, qui n'a que du cloud à gérer.
It is the company that is Born Cloud, which only has cloud management.
Elle n'a que cette problématique-là.
She only has that issue.
Elle s'approprie une typologie et une approche, elle la gère.
She takes ownership of a typology and an approach, she manages it.
Quand vous avez une entreprise, ce qui n'est pas mon cas,
When you have a business, which is not my case,
mais avec deux hybrides, vous avez les deux en même temps,
but with two hybrids, you have both at the same time,
ça complexifie.
It complicates things.
Moi, je ne suis plus dans un mode dual.
I am no longer in a dual mode.
J'ai les deux, mais qui ne sont pas interconnectés.
I have both, but they are not interconnected.
Donc, la grande question, c'est est-ce que je consolide ?
So, the big question is, should I consolidate?
Comment gère à droite et à gauche ?
How does it manage on the right and on the left?
Donc ça, ça fait partie des choses qu'il faut traiter,
So that is part of the things that need to be addressed,
auxquelles il faut réfléchir assez en amont.
to which one must think well in advance.
Donc voilà.
So there you go.
Et moi, le retour d'expérience qu'on a,
And for me, the feedback we have,
donc 2019, ça fait déjà presque quasiment cinq ans qu'on a commencé.
So, 2019, it's been almost five years since we started.
Je crois qu'on a eu un incident
I believe we had an incident.
d'infra.
of infra.
C'était une indispos de AWS un après-midi.
It was an incident at AWS one afternoon.
Ils ont vu une panne DNS mondiale, comme tout le monde, je dirais.
They experienced a global DNS outage, like everyone else, I would say.
Autrement, j'ai eu deux incidents depuis et des incidents du niveau applicatif.
Otherwise, I have had two incidents since and application-level incidents.
C'est un développeur ou des développeurs qui avaient fait des erreurs,
It is a developer or developers who had made mistakes,
qui avaient exposé de manière maladroite des systèmes très localisés.
who had clumsily displayed very localized systems.
Mais autrement, les incidents de prod, on ne sait même plus ce qu'on fait.
But otherwise, for production incidents, we don't even know what we're doing anymore.
À tel point qu'on se demande même si on a un taux de pratique suffisant de gestion
To such an extent that one even wonders if we have a sufficient practice rate of management.
des incidents, parce qu'il n'y en a pas.
incidents, because there are none.
C'est presque pas assez pour être pour être aguerri et rester
It's almost not enough to be seasoned and stay.
éveillé sur la réaction, la réponse sur l'incident.
Awake to the reaction, the response to the incident.
Donc, c'est plutôt plutôt une réalité.
So, it's rather a reality.
Je constate qu'effectivement, les seuls incidents qui subsistent, ils ont shifté.
I note that, indeed, the only incidents that remain have shifted.
On n'a plus d'incidents d'infra liés à de l'infra sur le cloud.
We no longer have any infrastructure-related incidents related to the cloud.
En tout cas, on a plutôt des incidents liés à l'exposition ou au bon design
In any case, we mostly have incidents related to exposure or good design.
des systèmes.
systems.
Je trouve que le fait de même la façon dont on en parle ici du cloud, d'en parler
I find that even the way we talk about the cloud here, to talk about it.
comme d'un domaine séparé, ça crée un peu une vue de l'esprit comme quoi c'est
as a separate domain, it creates somewhat of a mental image that it is
un domaine à part. La réalité, j'ai l'impression que la plupart des
a field apart. The reality is, I feel that most of the
entreprises avec lesquelles on discute, c'est qu'ils ont une stratégie cloud
companies we are discussing have a cloud strategy
de transformation digitale, ont des infrastructures on-premises,
of digital transformation, have on-premises infrastructures,
un peu des deux, différentes natures, parfois du multi-cloud.
A bit of both, different kinds, sometimes multi-cloud.
Et si on se place du point de vue de l'attaquant,
And if we take the attacker's point of view,
un attaquant ne cible jamais uniquement que les serveurs on-premises ou que
an attacker never targets only on-premises servers or only
les workstations ou que le cloud. Si quelque part, pour aller vers son objectif
the workstations or the cloud. If somewhere, to move towards its goal
stratégique, il est nécessaire de compromettre un asset cloud,
Strategically, it is necessary to compromise a cloud asset.
pour ensuite faire un rebond.
to then make a rebound.
Comme on l'a vu souvent sur les Active Directory, il le fera.
As has often been seen on Active Directory, it will do it.
Donc, je pense qu'il y a quand même une certaine vertu.
So, I think there is still a certain virtue.
Aujourd'hui, je rejoins votre constat de dire que c'est
Today, I agree with your observation that it is
souvent pas les mêmes équipes et il y a une question de montée en compétences.
often not the same teams and there is a question of skills development.
Mais je crois qu'il y a une certaine vertu au fait d'unifier un peu tout ça.
But I believe there is a certain virtue in unifying all of that a little.
En tout cas, c'est la vision qu'on défend.
In any case, that's the vision we are advocating.
On essaye d'unifier ça avec les approches
We are trying to unify that with the approaches.
qu'on a pu avoir dans d'autres domaines autour de l'EDR, par exemple.
that we were able to have in other areas around the EDR, for example.
Alors, je rebondis. Comment on unifie ça ?
So, I'm bouncing back. How do we unify this?
Comment on crée cette unité entre les équipes ?
How do we create this unity among the teams?
Ma vision est plutôt
My vision is rather
sur les outils, mais je pense qu'à un moment, il faut que
on the tools, but I think that at some point, it has to be that
différentes personnes avec différentes métriques arrivent à se retrouver.
different people with different metrics manage to come together.
Donc, c'est loin d'être la seule solution, mais d'avoir aussi un panel d'outils qui
So, it is far from being the only solution, but having a range of tools that
permet d'unifier et que tout le monde regarde la même chose, que ces personnes
allows for unification and that everyone looks at the same thing, that these people
viennent plutôt du monde du développement ou de la sécurité.
come more from the world of development or security.
Ça a une certaine vertu.
It has a certain virtue.
Et je pense qu'il y a un accompagnement sur lequel on a encore
And I think there is support that we still have.
tous collectivement des progrès à faire sur la formation, typiquement.
We all collectively have progress to make on training, typically.
Qu'est-ce que vous en pensez ?
What do you think about it?
Oui, je suis d'accord.
Yes, I agree.
La formation,
The training,
c'est un des clés de succès
It's one of the keys to success.
de la migration vers le cloud et la formation de tous les interlocuteurs,
from cloud migration and the training of all stakeholders,
y compris les équipes sécurité, doivent connaître les bases d'architecture cloud
including security teams, must understand the basics of cloud architecture.
et puis se former sur les services de sécurité et réaliser les processus
and then train on security services and implement the processes
de sécurité classiques qu'on a dans une entreprise.
classic security measures that we have in a company.
La spécificité que je revois aussi,
The specificity that I also see,
que quand on est dans le cloud, les environnements de tests ou de pré-production
that when we are in the cloud, the testing or pre-production environments
sont également exposés au même titre que les environnements de production,
are also exposed on the same basis as production environments,
ce qu'on n'avait pas avant dans les environnements quand on est en prémices.
what we didn't have before in environments when we are in the early stages.
Ce qui fait que le boulot de sécurisation,
What makes the job of securing,
il est beaucoup plus important parce qu'il faut sécuriser tous les environnements.
It is much more important because we need to secure all environments.
Et ça, c'est un changement de mindset à faire avec les équipes projet,
And this is a mindset shift that needs to be made with the project teams.
parce qu'il faut qu'ils sécurisent les environnements de dev
because they need to secure the development environments
avec le même standard que les environnements de production.
with the same standard as production environments.
Et ils n'ont pas l'habitude de faire ça.
And they are not used to doing that.
Et ça,
And that,
c'est important de pouvoir aligner un peu tout le monde autour de ce sujet-là,
it's important to be able to align everyone a bit around this subject.
parce que si on n'arrive pas à le faire, on se crée des failles nous-mêmes.
because if we can't do it, we create flaws within ourselves.
Et on sera dans les 13 % de non.
And we will be in the 13% of no.
Alors, justement, je voulais qu'on parle des failles.
So, precisely, I wanted us to talk about the flaws.
Donc là, j'ai les chiffres suivants.
So here, I have the following figures.
Les intrusions dans les environnements
Intrusions in environments
cloud ont augmenté de 75 % en 2023 par rapport à 2022.
Cloud increased by 75% in 2023 compared to 2022.
C'est quand même un chiffre conséquent.
It's still a significant figure.
Les cas d'intrusions cloud conscious ont augmenté de 110 %.
The cases of cloud-conscious intrusions have increased by 110%.
Donc, c'est le Global Trade Report
So, this is the Global Trade Report.
et le CrowdTrack de 2024.
and the 2024 CrowdTrack.
Quelles sont pour vous, est-ce que vous pouvez m'identifier
What are for you, can you identify me?
les grandes tendances en matière de risques et de vulnérabilités par rapport au cloud ?
The major trends in terms of risks and vulnerabilities related to the cloud?
Je pense que personne ne sera surpris par ce chiffre de 75 % d'augmentation.
I don't think anyone will be surprised by this figure of a 75% increase.
On utilise davantage le cloud. Ils sont davantage visés.
We are using the cloud more. They are being targeted more.
Ce qui est intéressant de voir, c'est les intentions aussi derrière.
What is interesting to see are the intentions behind it as well.
Dans le domaine des intrusions cloud, on va retrouver tout type d'attaquants,
In the field of cloud intrusions, we will encounter all types of attackers,
des attaquants plutôt étatiques, des cybercriminels qui vont ensuite monétiser
state-sponsored attackers, cybercriminals who will then monetize
et essayer de
and try to
minimiser leurs attaques et pour finir, des attaquants plutôt sur un volet politique activiste.
minimize their attacks and finally, attackers who are more on an activist political front.
Dans le domaine plus spécifique des intrusions cloud, ce qu'on observe,
In the more specific field of cloud intrusions, what we observe,
c'est que l'écrasante majorité, autour de 84 %, c'est plutôt des acteurs cybercriminels.
It's that the overwhelming majority, around 84%, are rather cybercriminal actors.
Donc, les motivations, elles sont quand même plutôt autour du gain financier,
So, the motivations are still mostly about financial gain,
un peu d'opportunisme, on va dire.
A bit of opportunism, let's say.
Pour ce qui est de l'aspect cloud conscious, en fait, ce qu'on a observé,
As for the cloud-conscious aspect, what we have observed is that...
c'est que sur toutes les intrusions cloud, il y avait une partie qui était grosso modo
It's that in all the cloud intrusions, there was a part that was roughly speaking.
les mêmes techniques qu'on aurait pu voir sur les environnements de prémisse.
the same techniques that one could have seen in the premise environments.
Et la part, en revanche, des attaquants qui utilisaient des techniques spécifiques
And the share, on the other hand, of attackers who used specific techniques.
aux environnements cloud, elle était en augmentation.
in cloud environments, it was on the rise.
Du coup, ici, 110 % par rapport à l'année dernière.
So, here, 110% compared to last year.
En fait, pour le dire autrement, les attaquants, ils sont comme vous et moi.
In fact, to put it another way, the attackers are like you and me.
Ils développent leurs compétences dans le cloud avec certains, on va dire,
They are developing their skills in the cloud with certain, shall we say,
qui sont encore plutôt au début.
who are still rather at the beginning.
Nous, on a l'habitude de traquer 232 groupes d'attaquants chez CrowdStrike
We are used to tracking 232 groups of attackers at CrowdStrike.
et certains qu'on voit vraiment se spécialiser dans ce domaine-là
and some that we really see specializing in this field
parce que c'est un business mode rentable,
because it's a profitable business model,
qu'on peut
that we can
facilement revendre ses données, faire de l'extorsion.
easily resell their data, engage in extortion.
Donc ça, c'est vraiment une des tendances qui se dégagent.
So this is really one of the trends that emerges.
C'est que les attaquants s'adaptent de leur côté
It's that the attackers are adapting on their side.
très bien à notre adoption croissante du cloud.
very well to our growing adoption of the cloud.
C'est vrai que les attaquants s'adaptent et les attaquants sont aussi très opportunistes.
It's true that attackers adapt and attackers are also very opportunistic.
Forcément, comme toutes les questions, je pense qu'on se pose actuellement.
Inevitably, like all the questions, I think we are currently asking ourselves.
Est-ce que c'est une menace
Is it a threat?
auxquelles on devrait s'attendre, notamment avec l'approche des JO
which we should expect, especially with the approach of the Olympics
et puis les élections qu'on a actuellement ?
And what about the elections we have right now?
Oui, les JO, on sait tous que ce sera l'objet d'une recherche de visibilité
Yes, the Olympics, we all know that it will be a quest for visibility.
parce qu'il y a une tension, donc il y aura des événements.
because there is a tension, so there will be events.
Je pense que tout le monde se prépare en fonction de son exposition et de ses risques.
I think everyone prepares according to their exposure and risks.
Voilà, ce n'est pas une surprise.
There you go, it's not a surprise.
Malheureusement, les angles morts sont exploités autant que possible par les attaquants.
Unfortunately, blind spots are exploited as much as possible by attackers.
Des nouvelles techniques apparaissent.
New techniques are emerging.
Ils sont mis au point.
They are being developed.
Ils se spécialisent très probablement.
They are most likely specializing.
Donc oui, c'est notre vie, c'est notre quotidien, je dirais, en tant que CISO.
So yes, it's our life, it's our daily life, I would say, as a CISO.
Effectivement, on risque d'avoir une croissance, plus une croissance du nombre d'attaques.
Indeed, we are likely to see growth, as well as an increase in the number of attacks.
Est-ce qu'après, on verra les différences par rapport à ce qu'il y a aujourd'hui ?
Will we see the differences compared to what is there today?
Oui, pour moi, c'est plus le volume.
Yes, for me, it's more about the volume.
Après, j'aimerais revenir sur ce point-là.
Later, I would like to revisit that point.
Pourquoi la croissance ? Déjà, on adopte beaucoup plus le cloud.
Why growth? First of all, we are adopting the cloud much more.
Tu parlais tout à l'heure de contrôle.
You were talking earlier about control.
Et quand on regarde les vulnérabilités, pour beaucoup,
And when we look at vulnerabilities, for many,
c'est parce qu'on a mal configuré les accès à un S3 bucket, etc.
It's because we poorly configured the access to an S3 bucket, etc.
Et donc là, revient, si on fait la boucle des rétroactions,
And so, coming back to it, if we do the feedback loop,
à la formation des projets, à la formation des équipes sécurité.
in the development of projects, in the training of security teams.
Pourquoi ? Parce que finalement, le cloud, c'est une approche qui est beaucoup plus,
Why? Because ultimately, the cloud is an approach that is much more,
en tout cas, qui est très proche du code.
in any case, who is very close to the code.
Tu parlais d'infrastructure as code.
You were talking about infrastructure as code.
Quand on fait un fichier
When you create a file
de configuration, il doit être complet.
of configuration, it must be complete.
Il doit être, il doit préciser
He must be, he must clarify.
l'ensemble des mesures de sécurité à appliquer, etc.
the set of security measures to be applied, etc.
Et donc, s'il y a un oubli, si on dit OK, le security group, il est ouvert.
And so, if there is an oversight, if we say OK, the security group is open.
On a oublié d'implémenter la mauvaise règle.
We forgot to implement the wrong rule.
À ce moment-là, on se retrouve face à un service qui est exposé.
At that moment, we find ourselves facing a service that is exposed.
Donc oui, une augmentation.
So yes, an increase.
Après, je pense parce qu'effectivement,
Afterwards, I think because indeed,
il y a beaucoup plus d'adoption du cloud, mais c'est parce que je pense qu'aujourd'hui,
there is much more adoption of the cloud, but it's because I think that today,
encore, les équipes, elles ne sont pas encore très bien formées aux pratiques du cloud.
Again, the teams are not yet very well trained in cloud practices.
Et je ne parle pas de pratique.
And I'm not talking about practice.
Finalement, 80 %, c'est du on prem, mais il y a des spécificités,
Ultimately, 80% is on-prem, but there are specificities.
spécificités liées à la conteneurisation, spécificités liées
specificities related to containerization, specificities related
à l'infrastructure as code, etc.
to infrastructure as code, etc.
qui ne sont pas forcément bien compris aujourd'hui.
which are not necessarily well understood today.
Et je le sais parce que des fois, je discute avec mes équipes.
And I know it because sometimes I talk with my teams.
Ils disent OK, on déploie l'infrastructure as code, ça veut dire quoi, etc.
They say OK, we're deploying the infrastructure as code, what does that mean, etc.
Et donc, on est plus proche du développement de code source.
And so, we are closer to the development of source code.
Finalement, de code que dans la sécurité, on va dire classique.
Ultimately, code that is in security, let's say classical.
Je suis sur soi parce que nous, on a fait le choix de sauf de rares
I am on oneself because we made the choice to save rare things.
exceptions, de ne déployer que en infrastructure as code.
exceptions, to only deploy in infrastructure as code.
Et donc aujourd'hui, même même pour du gaz,
And so today, even for gas,
on déploie tout, tout, on éteint, on détruit le soir, on reconstruit le matin.
We deploy everything, everything, we extinguish, we destroy in the evening, we rebuild in the morning.
Donc notre sécurité aujourd'hui, c'est la sécurité du code d'infrastructure as code.
So our security today is the security of the infrastructure as code.
Et donc là où avant, on faisait de la sécurité, c'est ce qu'on a bien réglé le firewall.
And so where before we focused on security, we have now properly configured the firewall.
Et est ce qu'on a bien patché, alors ça reste des sujets importants,
And have we patched it well, so these remain important issues,
mais notre garantie et notre contrôle de sécurité,
but our guarantee and our security control,
il se passe au niveau du code de déploiement, la fameuse infrastructure as code.
It is happening at the deployment code level, the famous infrastructure as code.
Et donc, il faut maîtriser ces techniques là.
Therefore, it is necessary to master these techniques.
Il faut s'outiller.
We need to equip ourselves.
Il faut s'outiller parce que le panel de sujets à regarder est quand même extrêmement vaste.
We need to equip ourselves because the range of topics to look at is still extremely vast.
Et puis, nos attaquants ne tarissent pas d'idées,
And then, our attackers are never short of ideas,
c'est du farfelu, très ingénieux.
It's silly, very clever.
Donc, il faut s'outiller pour être capable d'absorber le volume de contrôle,
So, we need to equip ourselves to be able to handle the volume of control.
ne serait ce que contrôler les librairies.
if only to control the bookstores.
Est ce qu'on a du log4j dans son code ?
Do we have log4j in our code?
Le développeur, quand il développe, il ne pense pas forcément à ça.
The developer, when he develops, doesn't necessarily think about that.
On a des automatismes, on a des outils qui permettent de vérifier ça et de vous rendre
We have automatisms, we have tools that allow us to verify that and to provide you.
des rapports qui vous donnent un niveau de confiance suffisant pour des trucs
reports that give you a sufficient level of confidence for things
à faible valeur ajoutée, des choses qui sont connues, identifiées.
of low added value, things that are known, identified.
Donc ça, c'est indispensable.
So that's essential.
Quand on va dans le cloud, c'est de miser sur de la sécurité dans
When we go to the cloud, it's about betting on security in
le développement, pas que le développement au sens code
development, not just development in the coding sense
applicatif, mais de l'infrastructure, parce que c'est là qu'est votre responsabilité.
applicative, but infrastructure, because that is where your responsibility lies.
D'accord ?
Okay?
Et si vous vous trompez là dessus, vous êtes dans de la misconfiguration,
And if you get this wrong, you are in misconfiguration,
pardon en français, du défaut de configuration.
sorry in French, due to misconfiguration.
Vous exposez vos données et dans le contrat, c'est très clair.
You expose your data and in the contract, it's very clear.
Vous êtes responsable des données que vous avez exposées.
You are responsible for the data you have disclosed.
Vous les perdez.
You are losing them.
Regardez ce qui est arrivé à Cloud Nordic, notre
Look at what happened to Cloud Nordic, our
fournisseur de cloud danois, qui a perdu ses données.
Danish cloud provider, who lost its data.
Je ne connais pas l'état de ses clients, mais il a dû leur expliquer.
I don't know the state of his clients, but he must have explained it to them.
Désolé, on s'est fait pirater.
Sorry, we got hacked.
On a tout perdu. Vos données sont perdues et c'est de votre responsabilité.
We have lost everything. Your data is lost and it is your responsibility.
Il était de votre responsabilité de les mettre en lieu sûr.
It was your responsibility to put them in a safe place.
Nous, on vous garantit du compute.
We guarantee you compute.
Donc, c'est une réalité, ça.
So, that's a reality, that.
Alors, j'ai une question à distance.
So, I have a question from a distance.
Donc, Jean-Luc qui demande,
So, Jean-Luc is asking,
qu'en est-il de la gestion des identités dans le cloud ? Est-ce une composante majeure
What about identity management in the cloud? Is it a major component?
qu'il faut prendre en compte pour la sécurité du cloud ?
What should be taken into account for cloud security?
Oui, la gestion d'identité est un point
Yes, identity management is a point.
fondamental dans la gestion de sécurité en premise ou dans le cloud.
fundamental in security management on-premises or in the cloud.
La différence, c'est que quand on est dans le cloud, on peut se connecter de partout.
The difference is that when you are in the cloud, you can connect from anywhere.
Et du coup, on a un plus grand rôle à gérer les identités.
And as a result, we have a greater role in managing identities.
De notre expérience,
From our experience,
on a choisi de faire des fédérations d'identité avec un IDP que nous, on gère,
we chose to create identity federations with an IDP that we manage.
et ne pas utiliser
and not use
les systèmes d'identité natifs du cloud provider parce que ça nous permet
the native identity systems of the cloud provider because it allows us
de maîtriser le cycle de vie des identités et être sûr qu'on gère bien les entrées,
to manage the identity lifecycle and ensure that we are properly handling the entries,
les départs et ne pas donner accès à des comptes qui sont génériques ou qui
departures and not granting access to accounts that are generic or that
peuvent être compromis sans qu'on ait la visibilité sur cette compromission.
can be compromised without us having visibility on this compromise.
Et on rajoute à ça l'authentification forte qui est aujourd'hui, pour moi,
And we add to that strong authentication which is today, for me,
le standard minimum.
the minimum standard.
Et on parle de gestion d'authentification.
And we are talking about authentication management.
Notamment du point de vue des attaquants,
Notably from the attackers' perspective,
ce qu'on observe, c'est que souvent, le premier pied dans la porte,
what we observe is that often, the first foot in the door,
c'est souvent avec des identités qui sont compromises.
It is often with identities that are compromised.
Donc, c'est vrai que c'est important de rappeler qu'on ne part pas sur tout ce
So, it's true that it's important to remember that we don't start with all of this.
qu'on connaissait avant, on l'oublie et on fait autre chose.
what we used to know is forgotten, and we do something else.
Il y a des pratiques comme la gestion
There are practices like management.
des identités qui restent amplement vraies dans le cloud.
identities that remain largely true in the cloud.
On pourrait dire la même chose de ce qu'on disait avec David autour du DevSecOps.
One could say the same thing about what was said with David regarding DevSecOps.
Ce n'est pas forcément une pratique spécifique au cloud.
This is not necessarily a practice specific to the cloud.
Il se trouve que ça s'applique sacrément bien aux pratiques de cloud.
It turns out that it applies exceptionally well to cloud practices.
L'idée, par exemple, de quand on fait de l'infrastructure
The idea, for example, of when we are building infrastructure.
à ce code, d'aller scanner le code qui va déployer pour s'assurer qu'on est
to this code, to go scan the code that will deploy to make sure that we are
sur quelque chose de stable, empêcher, par exemple, de mettre des garde-fous,
on something stable, prevent, for example, from putting up guardrails,
empêcher de développer, de déployer à partir d'images qui ne sont pas sécurisées,
prevent from developing, deploying from unsecured images,
aller s'interfacer à des registres pour aller comprendre les images qui peuvent
to interface with registers to understand the images that can
poser problème. Tout ça sont des bonnes pratiques qui,
pose a problem. All of these are good practices that,
en amont, permettent de limiter le risque au moment du déploiement.
upstream, help to limit the risk at the time of deployment.
Qui est responsable de la cybersécurité et de la protection de vos données
Who is responsible for cybersecurity and the protection of your data?
dans le cloud ?
in the cloud?
Quand j'écoute mes collègues, ils me disent que c'est moi.
When I listen to my colleagues, they tell me that it's me.
Mais David, c'est toujours toi, c'est toujours toi.
But David, it's always you, it's always you.
C'est un joke pour un de mes collègues.
It's a joke for one of my colleagues.
C'est le client du fournisseur de cloud.
It is the client's cloud provider.
C'est moi, je suis responsable des données que je dépose dans le cloud.
It's me, I am responsible for the data I upload to the cloud.
Ils me garantissent,
They guarantee me,
mes fournisseurs me garantissent de l'hébergement, du compute.
My suppliers guarantee me hosting and compute.
Et tout le reste, c'est ma responsabilité.
And everything else is my responsibility.
Donc, il ne faut pas se méprendre là-dessus.
So, we shouldn't be mistaken about that.
Et si jamais il est défaillant, l'exemple que je prenais de Cloud Nordic,
And if ever it fails, the example I took from Cloud Nordic,
c'est ma responsabilité.
It's my responsibility.
Si je ne les ai pas sauvegardés ailleurs,
If I haven't saved them elsewhere,
lui, il ne peut pas gérer tous les scénarios de risque.
He cannot manage all the risk scenarios.
Donc, il faut être clair sur son appétence au risque.
So, one must be clear about their risk appetite.
Il faut une bonne analyse au risque.
A good risk analysis is necessary.
Je détaille un peu ce qu'on a dit tout à l'heure.
I will elaborate a bit on what we talked about earlier.
Dans l'anticipation, il faut être clair sur l'analyse de risque.
In anticipation, it is important to be clear about risk analysis.
Vous êtes responsable des données.
You are responsible for the data.
Donc, vous allez forcément vous poser des questions de souveraineté.
So, you are bound to ask questions about sovereignty.
Tu as lancé le mot tout à l'heure, mais on y reviendra peut-être.
You mentioned the word earlier, but we might come back to it.
L'IAM, évidemment, la gestion des identités.
IAM, obviously, identity management.
C'est comme le reste, mais ça reste quand même hyper important.
It's like the rest, but it's still really important.
Le chiffrement, voilà, on est exposé.
Encryption, there you go, we are exposed.
Nos données, elles sont...
Our data, it is...
La confiance qu'on fait aussi, qu'on peut avoir dans son programme.
The trust we have in our program as well.
La confiance n'exclut pas le contrôle.
Trust does not exclude control.
Donc, dans certains cas, on peut être amené à chiffrer
So, in some cases, we may be led to encrypt.
les données qu'on héberge chez son fournisseur de services.
the data that one hosts with their service provider.
Donc, on doit rester responsable, y compris d'ailleurs dans la localisation.
So, we must remain responsible, including in the localization.
Si on parle un petit peu de la nature des données qu'on a besoin de stocker,
If we talk a little bit about the nature of the data that we need to store,
notamment aux données à caractère personnel,
notably personal data,
on a des obligations réglementaires à respecter.
We have regulatory obligations to comply with.
Donc, ça, c'est pas le provider, il n'y a pour rien.
So, that's not the provider, they have nothing to do with it.
Si vous mettez des données que vous ne devriez pas mettre chez moi
If you put data that you shouldn't put with me.
dans des zones dans lesquelles ils n'ont pas lieu d'être,
in areas where they have no place,
c'est la responsabilité de celui qui les dépose.
It is the responsibility of the one who places them.
Donc, voilà, on doit rester responsable de ça.
So, there you go, we must take responsibility for that.
En tout cas, le contexte actuel et la législation nous y obligent.
In any case, the current context and legislation require us to do so.
Après, juste un point et je vais focaliser sur les solutions SaaS.
Afterwards, just one point and I will focus on SaaS solutions.
Le business est très friand de ces solutions et ne comprennent pas tout ça.
The business is very fond of these solutions and does not understand all of this.
Donc, nous, entre nous, on comprend cette partie responsabilité de données.
So, we, among ourselves, understand this part of data responsibility.
Effectivement, il y a, comment dire, on se retrouve souvent face à des situations
Indeed, there are, how can I put it, we often find ourselves faced with situations.
où ils ont déjà fait un choix de solution sans s'être posé la question.
where they have already made a choice of solution without asking themselves the question.
Mais OK, est ce que la donnée est sensible ou pas?
But OK, is the data sensitive or not?
Est ce que j'ai des contraintes réglementaires ou pas?
Do I have any regulatory constraints or not?
Et on intervient à ce moment là et c'est là où on intervient.
And we intervene at that moment, and that's where we intervene.
On dit là, tu ne peux pas y aller.
They say you can't go there.
Pour telle et telle raison.
For such and such reasons.
Et donc, on se retrouve dans cette logique parfois de, comment dire, de blocage.
And so, we sometimes find ourselves in this logic of, how to say, blocking.
Mais parce qu'on a un gros travail à faire aussi pour sensibiliser les métiers,
But because we have a big job to do to raise awareness among professions,
pour dire attention, très bien, ça permet d'aller vite.
to say attention, very good, it allows for quick progress.
Mais par contre, il y a un certain nombre de questions à se poser.
But on the other hand, there are a number of questions to be asked.
Donc, on a tout un process pour les accompagner, mais souvent on arrive tard.
So, we have a whole process to support them, but often we arrive late.
En fait, mais voilà cette compréhension de la responsabilité autour des données.
In fact, here is this understanding of responsibility around data.
Elle est très bien comprise dans le milieu de la cyber.
She is very well understood in the cyber community.
Mais après, quand on sort de ce cercle-là,
But afterwards, when we step out of that circle,
même si la awareness commence à prendre aujourd'hui au niveau des business.
even if awareness is starting to take hold today at the business level.
Une question qui est un peu symptomatique de ça et qui, il me semblait,
A question that is somewhat symptomatic of this and that, it seemed to me,
a été posée dans les commentaires du sondage, c'est de dire OK,
was raised in the survey comments, it's to say OK,
quel est aujourd'hui le fournisseur cloud le plus sécurisé?
What is the most secure cloud provider today?
Et même si la question a de l'intérêt, parce que je pense que les cloud
And even if the question is interesting, because I think that the clouds
providers ont clairement de la progression à faire en termes de fournir par défaut
providers clearly have progress to make in terms of providing by default
des choses qui soient plutôt sécurisées, j'ai l'impression que ça occulte un peu
things that are rather secure, I feel that it somewhat obscures
pour certains, on a l'impression qu'on va remettre entièrement les clés et
for some, it feels like we are going to hand over the keys completely and
transférer cette responsabilité. Or, c'est tout sauf...
transfer this responsibility. However, it is anything but...
Ça serait parfait, moi je signe.
That would be perfect, I sign.
Mais la réalité, c'est que quelque chose comme 60 % des workloads cloud qu'on
But the reality is that around 60% of cloud workloads that we...
observe ne tourne sans aucune forme de protection.
observe does not turn without any form of protection.
On a
We have
un tiers des conteneurs qui peuvent être
a third of the containers that can be
exécutés en mode route, qu'on observe un peu dans sa globalité.
executed in road mode, which we observe somewhat in its entirety.
Et ça, quels que soient les efforts mis en oeuvre par le fournisseur cloud,
And this, regardless of the efforts made by the cloud provider,
il vous répondra toujours que ça, c'est de votre sort.
He will always reply that this is your fate.
Et je pense que c'est clair autour de
And I think it's clear around
cette table et probablement avec les gens qui les posent, mais ce n'est pas toujours...
this table and probably with the people who put them down, but it is not always...
Moi, je ne sais pas répondre à la question, par exemple.
I don't know how to answer the question, for example.
Est-ce que c'est sécurisé ? Mais contre quoi ?
Is it secure? But against what?
De quoi parle-t-on ?
What are we talking about?
Si on développe le sujet, il y a des dizaines d'aspects qu'il faut considérer.
If we develop the subject, there are dozens of aspects that need to be considered.
Est-ce qu'on parle d'extraterritorialité, pour revenir sur le sujet de la souveraineté ?
Are we talking about extraterritoriality, to return to the subject of sovereignty?
Est-ce qu'on parle de protection des données ? Est-ce qu'on parle d'IAM ?
Are we talking about data protection? Are we talking about IAM?
De contre quoi ? Un fournisseur, il vous vend des services,
What against? A supplier sells you services.
c'est à vous de comprendre ce qu'il fait, ce qu'il ne fait pas et si ça match avec
It's up to you to understand what he does, what he doesn't do, and if it matches with.
votre appétence au risque.
your appetite for risk.
Et lui, il vous vend son
And he sells you his
service et vous le prenez ou vous ne le prenez pas.
Service and you take it or you don't take it.
Vous ne pouvez pas vous dire je me suis débarrassé de la question.
You cannot tell yourself that you have rid yourself of the question.
J'ai le meilleur, je vais prendre le numéro un dans le cadran,
I have the best, I will take the number one on the dial.
dans un cadran magique et je suis tranquille, je n'ai plus rien à...
in a magic dial and I am at peace, I have nothing left to...
On a vu justement... Vas-y, Abir, et puis je poserai ma question.
We saw precisely... Go ahead, Abir, and then I will ask my question.
Je pense qu'il y a la sécurité physique.
I think there is physical security.
On peut dire que ça, le cloud provider s'en occupe.
One can say that, the cloud provider takes care of that.
Mais les données restent de notre responsabilité, qu'on soit en SaaS,
But the data remains our responsibility, whether we are in SaaS,
en PaaS ou en IaaS, c'est à nous à chaque fois de
in PaaS or IaaS, it is up to us every time to
vérifier et les niveaux de responsabilité évoluent.
check and the levels of responsibility evolve.
Plus on va dans l'IaaS, plus on a plus de responsabilités.
The more we move towards IaaS, the more responsibilities we have.
Et ça se gère par les contrats, par des vérifications, avec des audits
And it is managed through contracts, through checks, with audits.
et également en échangeant avec le cloud provider.
and also by interacting with the cloud provider.
Quelles sont les pratiques de sécurité qu'il applique ?
What are the security practices he applies?
Mais c'est un travail de contrôle continu.
But it's a continuous monitoring job.
On ne peut pas juste dire c'est bon,
You can't just say it's good,
j'ai choisi le meilleur fournisseur et puis je peux dormir tranquille.
I chose the best supplier and now I can sleep peacefully.
Au contraire, notre rôle de contrôle continu
On the contrary, our role of continuous monitoring
doit continuer.
must continue.
Si je caricature, il nous doit de l'ébus stockage,
If I caricature, he owes us storage space.
du compute, de la protection physique et de la connectivité.
of computing, physical protection, and connectivity.
Le reste, ne cherchez pas, ce n'est pas sa responsabilité.
The rest, don't look for it, it's not his responsibility.
Évidemment, c'est très caricatural.
Obviously, it's very caricatured.
S'ils m'écoutent, ils doivent me haïr, ils réduisent toute notre offre.
If they listen to me, they must hate me, they are reducing our entire offer.
Mais globalement, c'est ça qu'il faut.
But overall, that's what is needed.
Il faut se mettre dans cette posture là.
One must adopt this posture.
Donc, il nous simplifie effectivement la sécurisation de toutes ces couches là.
So, it actually simplifies the securing of all these layers for us.
Et ils le font bien mieux que nous, il n'y a pas photo.
And they do it much better than us, there’s no comparison.
Quand ils gèrent des data centers de dizaines de milliers de serveurs,
When they manage data centers with tens of thousands of servers,
ça n'a rien à voir avec nos quelques dizaines, centaines, milliers.
It has nothing to do with our few dozens, hundreds, thousands.
Donc, évidemment qu'ils se sont professionnalisés.
So, obviously they have professionalized themselves.
Donc, on ne fera pas mieux qu'eux.
So, we won't do better than them.
Pour le reste, on est responsable.
For the rest, we are responsible.
Justement, on avait une question sur la question de la souveraineté.
Exactly, we had a question about the issue of sovereignty.
Tu as lancé le mot, David, donc Réwan qui pose la question.
You brought up the word, David, so Réwan is asking the question.
Est-ce qu'on peut vraiment parler de sécurité et de souveraineté dans le cloud,
Can we really talk about security and sovereignty in the cloud?
dans la mesure où les acteurs majeurs du cloud et éditeurs sont quasiment
insofar as the major cloud players and publishers are almost
intégralement américains avec les lois qui leur incombent ?
fully American with the laws that apply to them?
Je crois qu'il y a un référentiel qui s'appelle Secnum Cloud.
I believe there is a framework called Secnum Cloud.
Et si on veut être sûr, on le suit.
And if we want to be sure, we follow him.
D'accord. Après, ça induit pas mal de choses.
Okay. After that, it implies quite a few things.
Ce n'est pas les mêmes coûts, ce n'est pas les mêmes contraintes, etc.
It's not the same costs, it's not the same constraints, etc.
Mais néanmoins, aujourd'hui, on a un label qui permet d'y répondre.
But nonetheless, today we have a label that allows us to respond to it.
C'est vrai qu'avec l'Union européenne en ce moment,
It's true that with the European Union at the moment,
ce n'est pas folichon parce qu'effectivement, dans le cadre du Cyber Security Scheme,
it's not great because indeed, within the framework of the Cyber Security Scheme,
donc il devrait,
so he should,
on va dire au niveau européen, tout le monde sur la sécurité du cloud.
Let's say at the European level, everyone is focused on cloud security.
La souveraineté est intégrée, elle a été retirée pour X raisons,
Sovereignty is integrated; it has been withdrawn for X reasons.
surtout politiques, puisque là, on ne parle pas de technique, mais c'est surtout politique.
especially political, since there we are not talking about technique, but it is mainly political.
Donc oui, il y a des solutions aujourd'hui.
So yes, there are solutions today.
Il faut aller vers des labels et il y a des labels en France, en Allemagne, etc.
We need to move towards labels, and there are labels in France, Germany, etc.
qui permettent d'offrir ce niveau de, comment dire, en tout cas l'assurance raisonnable
that allow to provide this level of, how to say, in any case reasonable assurance
qu'on est capable
that we are capable
de répondre. Après, effectivement, si on va chez nos fameux éditeurs américains,
to respond. After that, indeed, if we go to our famous American publishers,
moi, je suis désolé, je ne sais pas m'engager sur cette question.
I am sorry, I cannot commit to this issue.
Pour moi, c'est non à date.
For me, it's a no for now.
Voilà.
Here it is.
Je, alors, label Secnum Cloud, j'adhère.
I, therefore, adhere to the Secnum Cloud label.
Nous, on a retenu effectivement pour que nos clouds de confiance seront
We have indeed retained so that our trusted clouds will be
en tout cas alignés sur le référentiel Secnum Cloud.
in any case aligned with the Secnum Cloud framework.
En revanche, il faut quand même regarder
On the other hand, we still need to look.
si le fournisseur de cloud a implémenté le référentiel.
if the cloud provider has implemented the repository.
Donc, il faut regarder si ça correspond à vos exigences de sécurité.
So, we need to see if it meets your security requirements.
Donc, attention, là encore, le faux semblant de dire c'est bon, il a le label.
So, be careful, once again, the false pretense of saying it's good, he has the label.
Je suis tranquille, je n'ai même pas regardé.
I am relaxed, I didn't even look.
Détrompez-vous.
Don't be mistaken.
On a fait l'exercice sur les 25 règles.
We did the exercise on the 25 rules.
Il y en a au moins 20 sur lesquelles vous devez regarder comment il l'a implémenté.
There are at least 20 on which you need to look at how he implemented it.
Donc, vous n'allez pas vous débarrasser du sujet juste avec un coup de tampon.
So, you are not going to get rid of the subject just with a stamp.
Ce serait trop facile.
That would be too easy.
C'est comme des vendeurs de sécurité à une époque.
It's like security sellers at one time.
C'est AES256, c'est marqué sur la boîte.
It's AES256, it's marked on the box.
Cherchez pas, c'est sécurisé.
Don't worry, it's secure.
Non, il faut regarder, il faut comprendre.
No, you have to look, you have to understand.
Donc, Secnum Cloud, je suis d'accord.
So, Secnum Cloud, I agree.
Pour moi, aujourd'hui, c'est le meilleur référentiel
For me, today, it's the best reference point.
et plutôt reconnu qu'il faut utiliser.
and rather recognized that it should be used.
Attention, ça ne vous soustrait pas à votre obligation de comprendre
Warning, this does not absolve you of your obligation to understand.
ce que vous faites et de le regarder.
what you are doing and to watch it.
Mais bien sûr, je pense qu'il n'y a pas de...
But of course, I think there is no...
Et puis, oui, se protéger, mais se protéger des Américains, très bien.
And then, yes, to protect oneself, but to protect oneself from the Americans, very well.
Mais du coup, de quoi veut-on se protéger ?
But then, what do we want to protect ourselves from?
Il faut commencer par là.
We need to start there.
Si vous vous posez
If you are wondering
cette question et vous avez des doutes, c'est que vous n'êtes pas au clair
This question and you have doubts, it means you are not clear.
avec ce que vous voulez protéger.
with what you want to protect.
Si effectivement, il n'est pas supportable
If indeed, it is not bearable.
pour vous de prendre le risque d'exposer ou de rendre accessibles
for you to take the risk of exposing or making accessible
les informations que vous voulez héberger à un acteur américain ou autre,
the information that you want to host with an American or other actor,
ne les mettez pas dans le cloud.
Don't put them in the cloud.
Il faut être très clair là-dessus.
We need to be very clear about this.
C'est à vous d'assumer ça.
It's up to you to take responsibility for that.
Et puis après, il faut être raisonnable.
And then after, one must be reasonable.
Il faut être raisonnable parce qu'il y a une réalité.
One must be reasonable because there is a reality.
Et donc, il ne faut pas être...
And so, one must not be...
Il ne faut pas être extrémiste dans ses positions.
One should not be extremist in their positions.
Il faut trouver un module raisonnable et réviser régulièrement son exposition,
It is necessary to find a reasonable module and regularly review its exposure.
ses risques, s'assurer qu'on est toujours dans un niveau de maîtrise.
its risks, ensuring that we are always at a level of control.
Parce que c'est vrai, l'IA vous offre des perspectives fabuleuses.
Because it's true, AI offers you fabulous perspectives.
Donc, on a tendance à ouvrir parce qu'il
So, we tend to open because it
lui faut encore plus de données pour pouvoir rendre de la valeur.
He needs even more data to be able to provide value.
Et donc, il faut être...
And so, one must be...
Donc, on n'est jamais dans une position facile en tant que RSSI,
So, we are never in an easy position as a CISO,
parce qu'on est toujours à dire attention, attention.
because we are always saying watch out, watch out.
Voilà, on imagine le pire pour ne vivre que le meilleur.
There you go, we imagine the worst to only live the best.
Je pense, je te rejoins, tout dépend de l'analyse de risque.
I think, I agree with you, it all depends on the risk analysis.
Est-ce qu'on accepte de partager nos données dans le cloud ou pas ?
Do we agree to share our data in the cloud or not?
C'est ça la question qui est...
That's the question that is...
Chaque entreprise a son contexte, son business et doit faire cette réflexion.
Each company has its context, its business, and must carry out this reflection.
Mais point de vue technologique, si on chiffre les données dans les cloud
But from a technological standpoint, if we encrypt data in the cloud.
providers américains avec des clés qui sont uniquement connues par nous,
American providers with keys that are known only to us,
ils ne pourront pas les consulter.
They will not be able to consult them.
Donc, on a une solution technique qui nous permet d'héberger nos données
So, we have a technical solution that allows us to host our data.
chez eux avec des clés qui sont hébergées chez nous.
at their place with keys that are hosted with us.
Et ça, c'est une solution, mais il va falloir accepter le risque
And that is a solution, but we will have to accept the risk.
en avance de phase avant de partir sur des solutions technologiques
in advance before moving on to technological solutions
de sécurisation chez les Américains.
of securing among Americans.
Je me permets de rebondir sur ce point-là.
I would like to follow up on that point.
Donc, effectivement, aujourd'hui, il y a des solutions qui permettent
So, indeed, today there are solutions that allow
effectivement, avec la gestion clé, les HSM on-prem, etc.
Indeed, with key management, on-premises HSMs, etc.
Il n'y a pas de problème, mais
There is no problem, but
la réalité des choses, c'est que dans les performances, dans le traitement,
the reality of things is that in performances, in processing,
et en fait, on perd un en fonctionnalité et je pense qu'ils le savent.
And in fact, we lose one in functionality and I think they know it.
On perd en fonctionnalité.
We are losing functionality.
Par exemple, on peut faire l'indexation,
For example, we can do the indexing,
ne serait-ce que dans Outlook et donc l'utilisateur, lui, c'est pénible.
Not just in Outlook and therefore the user, it's annoying.
On va perdre en performance.
We will lose performance.
Et donc, effectivement, je suis d'accord.
And so, indeed, I agree.
C'est une balance ou un juste milieu à trouver.
It is a balance or a middle ground to find.
Après, effectivement, et je suis d'accord avec toi,
Afterwards, indeed, and I agree with you,
il faut toujours être regardant par rapport lorsqu'on externalise ou notre source.
One must always be vigilant regarding our outsourcing or our source.
Et ça, il n'y a pas de problème.
And that, there's no problem.
Mais effectivement, on a quand même une assurance raisonnable via un label
But indeed, we still have a reasonable assurance through a label.
qui est quand même donné par l'ANSI, qu'il y a du sérieux derrière.
which is still provided by the ANSI, that there is seriousness behind it.
Voilà, et c'était ça aussi l'objet de mon propos.
There you go, and that was also the purpose of my statement.
C'est qu'on a quelque chose sur lequel on peut s'appuyer pour au moins répondre
It's that we have something to rely on to at least respond.
à cette problématique-là, si c'est nécessaire.
to this issue, if necessary.
Effectivement, ça part de l'analyse de risque.
Indeed, it starts with risk analysis.
Petit retour de l'expérience.
A little feedback from the experience.
Nous, on a décidé, on a défini la ligne rouge.
We have decided, we have defined the red line.
Il y a des systèmes qui resteraient on-prem.
There are systems that would remain on-prem.
Donc, tout ce qu'on a mis dans le cloud,
So, everything we've put in the cloud,
et là, on y va sans tergiverser, parce qu'il faut tergiverser,
and there, we go without hesitation, because we must hesitate,
sans se reposer trop les mêmes questions.
without asking themselves the same questions too much.
On y va. Ce qui reste on-prem, le reste.
Let's go. What's left on-prem, the rest.
On regarde effectivement avec grand intérêt
We are indeed watching with great interest.
l'arrivée des offres souveraines ou de confiance, en tout cas,
the arrival of sovereign or trusted offers, in any case,
pour des compléments ou un positionnement
for supplements or positioning
intermédiaire en termes de niveau de sécurité.
intermediate in terms of security level.
Et ça va trouver sa place.
And it will find its place.
Mais effectivement, si on est vraiment à se poser cette question-là et qu'on a des
But indeed, if we're really asking ourselves that question and we have some...
réflexes sérieux, et d'ailleurs, il vaut mieux investir plus de temps sur cette
serious reflexes, and besides, it is better to invest more time on this
question-là pour ensuite mieux dérouler plutôt que d'y aller en se disant
that question in order to unfold better rather than thinking about it
j'ai peut-être fait une connerie et je vais le regretter.
I may have done a stupid thing and I am going to regret it.
Qu'est-ce qui se passe ?
What is happening?
Parce que c'est trop tard.
Because it’s too late.
La donnée, une fois qu'elle est diffusée, vous n'avez pas le droit à l'oublier.
Once data is released, you do not have the right to forget it.
Alors, pour ceux qui nous rejoignent à distance, on va faire un petit
So, for those joining us remotely, we will do a little
récap sur ce qui a été dit depuis le début de cette émission.
Recap on what has been said since the beginning of this show.
Trois éléments à retenir.
Three key points to remember.
La cybersécurité dans le cloud repose sur un modèle de responsabilité
Cloud cybersecurity relies on a model of shared responsibility.
partagée. Assurez-vous de consulter les règles d'architecture minimale
shared. Be sure to check the minimum architecture rules.
M.A.R. figurant généralement à la fin du contrat.
M.A.R. usually appearing at the end of the contract.
Deuxième point, il est primordial de comprendre l'architecture du cloud
The second point is that it is essential to understand cloud architecture.
en matière de cybersécurité.
in the field of cybersecurity.
Cela implique une gestion des actifs de type infrastructure, ASCODE, IAC.
This involves management of infrastructure-type assets, ASCODE, IAC.
Et troisième élément à retenir de cette première partie d'émission,
And the third element to remember from this first part of the show,
dans le cloud, n'oubliez pas que les environnements de développement sont
in the cloud, don't forget that development environments are
aussi exposés que ceux de production.
as exposed as those of production.
Assurez-vous de bien sécuriser les deux.
Make sure to secure both well.
Voilà pour ce petit récapitulatif pour ceux qui nous ont rejoints un peu en retard
Here is a little recap for those who joined us a bit late.
et qui avaient besoin d'avoir un récapitulatif de ce qui a été donné.
and who needed to have a summary of what was given.
On continue donc avec l'émission.
So let's continue with the show.
Alors, je vous partage une actualité.
So, I’m sharing a news update with you.
Europol a arrêté en Ukraine un jeune homme, en début de l'année, de 29 ans,
Europol arrested a 29-year-old young man in Ukraine at the beginning of the year.
responsable de cryptojacking de ressources cloud pour 1,8 million d'euros.
Responsible for cloud resource cryptojacking for 1.8 million euros.
Je comprends que c'est une pratique qui commence à être de plus en plus répandue.
I understand that this is a practice that is becoming increasingly common.
Ce n'est pas un cas isolé.
This is not an isolated case.
Est-ce que vous pouvez nous redéfinir ce que c'est que le cryptojacking dans le cloud, Michael ?
Can you redefine for us what cryptojacking in the cloud is, Michael?
Le cryptojacking, c'est simplement l'idée d'aller
Cryptojacking is simply the idea of going
s'accaparer de la puissance de calcul dans le cloud pour faire du minage de crypto-monnaies.
to seize cloud computing power for cryptocurrency mining.
Alors, ça vaut peut-être le coup de rappeler ce qu'est le minage.
So, it might be worth clarifying what mining is.
Si certains ne connaissent pas parmi les participants, c'est simplement l'idée que
If some participants do not know each other, it is simply the idea that
pour sécuriser une blockchain, pour ajouter des transactions sur la forme
to secure a blockchain, to add transactions in the format
de blocs, on va résoudre un problème algorithmique et celui qui y arrive,
of blocks, we are going to solve an algorithmic problem and the one who succeeds,
il est récompensé avec une petite partie de cette crypto-monnaie.
He is rewarded with a small part of this cryptocurrency.
Seulement, le problème, c'est que dans le cloud,
Only, the problem is that in the cloud,
la puissance de calcul au même titre que l'énergie, ça se paye.
Computing power, like energy, comes at a cost.
Or, justement, pour ce business-là, le business du minage,
Now, precisely for this business, the mining business,
il y a un business légal, d'ailleurs,
there is a legal business, by the way,
soit dit en passant, en fait, ça repose sur l'idée de trouver
by the way, in fact, it rests on the idea of finding
de l'énergie pas chère et de la puissance de calcul pas chère.
cheap energy and cheap computing power.
Donc, on est un peu sur deux contradictions.
So, we are a bit on two contradictions.
Donc, si en tant qu'attaquant, je peux prendre le contrôle d'un environnement
So, if as an attacker, I can take control of an environment
cloud, faire ce travail-là de calcul, récupérer la récompense et puis laisser
cloud, do that calculation work, collect the reward and then leave.
le plaisir à la victime de régler l'addition, ça peut poser problème.
The pleasure of having the victim pay the bill can be problematic.
Ça peut être très rentable, illégal, mais rentable.
It can be very profitable, illegal, but profitable.
Là, dans l'exemple que vous citez, ce qui est assez intéressant,
There, in the example you cite, what is quite interesting,
c'est que c'était la première fois qu'on voyait un exemple
it's that it was the first time we saw an example
d'attaquant qui va cibler spécifiquement des architectures Kubernetes
attacker who will specifically target Kubernetes architectures
pour essayer de s'accaparer de la puissance de calcul en faisant quelque chose
to try to take over the computing power by doing something
de très simple, c'est de regarder sur le réseau via du scan réseau,
very simple, it's to look on the network via network scanning,
à travers trois IP qu'on a identifiées aux États-Unis,
through three IPs that we identified in the United States,
de voir des API Kubernetes qui sont ouvertes et sur lesquelles on peut se connecter.
to see Kubernetes APIs that are open and that we can connect to.
Et puis ensuite, on va déployer un daemon set qui lui-même va déployer
And then, we will deploy a daemon set that will itself deploy.
des pods malveillants au sein de chaque nœud pour récupérer toute la puissance
malicious pods within each node to reclaim all the power
de calcul de ces nœuds.
of calculating these nodes.
Donc, voilà, c'est typiquement ce qu'on voit dans ce type d'exemple.
So, there you go, this is typically what we see in this type of example.
Et ça me rappelle des choses qu'on a dit en début d'émission.
And it reminds me of things we said at the beginning of the show.
Comment éviter ça ?
How to avoid that?
Moi, la première question que je me pose, c'est déjà comment le détecter ?
For me, the first question I ask myself is how to detect it?
Et là, on n'a pas d'autre choix que de reposer sur les capacités
And there, we have no choice but to rely on capabilities.
de détection vraiment en temps réel, donc avoir un agent,
for real-time detection, so to have an agent,
que ce soit sur l'hôte en lui-même ou ça peut être également au niveau
whether it's about the host itself or it can also be at the level
du cluster Kubernetes, un hôte qui regarde toutes les exécutions.
from the Kubernetes cluster, a host that monitors all executions.
Et si certaines semblent malicieuses, c'est d'ailleurs...
And if some seem mischievous, it's indeed...
Dans ce cas-là, on a observé un process mis en sandbox vu qu'il essayait
In this case, we observed a process placed in a sandbox as it was trying.
de faire du cryptominage, ce qui n'est certainement pas ce qu'il avait
to do cryptocurrency mining, which is certainly not what he had.
voulu faire, ce qui n'était pas prévu à la base, donc on le bloque.
wanted to do, which was not planned initially, so we are blocking it.
Maintenant, si on remonte toutes les étapes qui se sont passées,
Now, if we go back through all the steps that have happened,
ça va faire écho à des choses qu'on s'est dit tout à l'heure.
This will echo things we talked about earlier.
Il y a tout un tas de choses, en fait, avant qui auraient pu être évitées.
There are a whole bunch of things, in fact, that could have been avoided beforehand.
Le fait que l'API Kubernetes était mal configurée, le fait que la personne
The fact that the Kubernetes API was poorly configured, the fact that the person
ait pu élever ses privilèges, on en revient sur l'idée des identités.
could have elevated its privileges, we come back to the idea of identities.
Tout ça, c'est des choses qu'on aurait pu éviter en amont.
All of this is something we could have avoided upstream.
L'attaquant a aussi utilisé, dans ce cas-là,
The striker also used, in that case,
une image Docker sur Docker Hub accessible publiquement,
a Docker image on Docker Hub accessible publicly,
ce qui n'aurait jamais dû être possible.
what should never have been possible.
Donc, en fait, il y a d'abord la détection en temps réel de ce qui se passe.
So, in fact, there is first the real-time detection of what is happening.
Et puis, quand on remonte, on voit bien dans ce type d'attaque
And then, when you go back up, you can clearly see in this type of attack.
qu'il y a un certain nombre de choses qu'on peut mettre en œuvre
that there are a number of things that can be implemented
pour éviter d'arriver aussi loin.
to avoid getting this far.
Est-ce que vous partagez cette opinion ?
Do you share this opinion?
Oui, parce que je ne suis pas spécialiste de cette partie-là, en tout cas.
Yes, because I am not an expert in that area, in any case.
Mais ce que je peux voir pour l'attaquant, c'est qu'il a un terrain de jeu
But what I can see for the attacker is that he has a playground.
qui est quasiment infini.
which is almost infinite.
Tout est accessible, tout est automatisable.
Everything is accessible, everything is automatable.
Si le gars, il est malin, il a trouvé un angle mort sur des millions de systèmes,
If the guy is clever, he found a blind spot among millions of systems,
il automatise un peu, il reproduit et il y a la mise à l'échelle
He automates a bit, he reproduces, and there is scaling.
qui lui permet de rentabiliser son action criminelle.
which allows him to profit from his criminal activity.
Et donc ça, effectivement, c'est ce à quoi on est exposé.
And so, indeed, this is what we are exposed to.
Et on l'est dans plein d'autres domaines, dans le DDoS.
And we are in many other areas, in DDoS.
On voit qu'on est de moins en moins confrontés
We see that we are facing fewer and fewer challenges.
à des individus, on est de plus en plus confrontés à des robots en termes d'action.
Individuals are increasingly confronted with robots in terms of action.
C'est des gens qui ont programmé des milliers de robots qui vous scannent,
They are people who have programmed thousands of robots that scan you.
qui vous trouvent des vulnérabilités.
who find vulnerabilities for you.
Donc voilà, on est quand même confrontés à ça.
So there you go, we are still faced with that.
On n'a plus beaucoup l'occasion de faire de la lutte
We don't have many opportunities to wrestle anymore.
pour la prise en main individu à individu entre un défenseur et un attaquant
for the individual take-on between a defender and an attacker
pour récupérer la main sur une machine.
to regain control of a machine.
C'est quand même de moins en moins vrai, en tout cas dans le cloud.
It's still becoming less and less true, at least in the cloud.
Je n'ai pas d'exemple connu dans le cloud.
I don't have a known example in the cloud.
Ça illustre le propos qu'on tenait tout à l'heure sur la partie contrôle.
This illustrates the point we were making earlier about the control aspect.
C'est-à-dire qu'on a une surface d'attaque qui est multipliée de manière exponentielle
That is to say, we have an attack surface that is multiplied exponentially.
et pour lesquelles, quand on était on-prem, on pouvait avoir une vulnérabilité ici,
and for which, when we were on-prem, we could have a vulnerability here,
mais par rapport à l'architecture, on est on-prem,
but regarding the architecture, we are on-prem,
donc ça permet de gérer les risques au mieux.
So it allows for better risk management.
Là, ça ne pardonne pas.
There, it doesn't forgive.
Il y a une ouverture, ils vont la trouver.
There is an opening, they will find it.
Ils vous scannent, ils trouvent l'ouverture, ils exploitent, ils sont dedans.
They scan you, they find the opening, they exploit, they are inside.
C'est d'où la complexité.
That's where the complexity lies.
Je suis entièrement aligné de la mise en place d'un contrôle
I am fully aligned with the implementation of a control.
qui permet de s'assurer qu'on maîtrise de bout en bout.
which ensures that we master it from start to finish.
Et bon, je pense que comme on trouvait du shadow IT avant,
And well, I think that just as we used to find shadow IT before,
on doit trouver du shadow cloud, quelque chose comme ça, shadow IaaS.
We need to find some shadow cloud, something like that, shadow IaaS.
Le risque, il apparaît quand il y a d'une part une menace, et on en a parlé,
Risk arises when there is on one hand a threat, and we have talked about it.
il y a des groupes d'attaquants qui se spécialisent sur la compromission cloud
There are attack groups that specialize in cloud compromise.
et d'autre part, une opportunité.
and on the other hand, an opportunity.
Là, l'opportunité, c'est quoi ?
There, what is the opportunity?
C'est, comme on disait, des petites négligences, des petites choses.
It's, as they say, little negligence, little things.
Il y a tellement de paramètres sur lesquels on peut jouer et qui peuvent
There are so many parameters that can be adjusted and that can
potentiellement poser problème que c'est dans ce genre de brèche
potentially problematic that it’s in this kind of breach
que les attaquants vont s'engouffrer.
that the attackers will rush in.
Alors, il y a des outils qui permettent,
So, there are tools that allow,
je dirais, de l'automatiser un peu, faire une partie du travail.
I would say to automate it a little, to do part of the work.
Et c'est là, nous, on insiste beaucoup sur la complémentarité de ces approches.
And it is there, we emphasize the complementarity of these approaches a lot.
D'un côté, la détection en temps réel et de l'autre,
On one hand, real-time detection and on the other,
les choses un peu plus en amont, la gestion de la posture avec le CSPM, par exemple.
Things a little further upstream, managing posture with CSPM, for example.
En tout cas, dans le cloud, on aura toujours besoin
In any case, in the cloud, we will always need.
d'avoir des actions préventives et d'autres proactives,
to have preventive actions and other proactive ones,
telles que disait Mickaël.
such as Mickaël said.
Avec l'IAC, on a un fichier.
With the IAC, we have a file.
C'est très facile de scanner si le fichier, il est bon.
It's very easy to scan if the file is good.
Si on a des erreurs de configuration dedans, avant de valider, de passer en production,
If there are configuration errors in it, before validating, before going into production,
ça peut être outillé, ça peut être automatisé et on peut arrêter un déploiement
It can be equipped, it can be automated, and we can stop a deployment.
si l'IAC ne correspond pas au minimum de la règle de sécurité.
if the IAC does not meet the minimum safety rule.
Ça, c'est un avantage que le cloud nous donne.
This is an advantage that the cloud gives us.
Mais il faut se donner la possibilité de le faire.
But we must give ourselves the opportunity to do it.
Mais d'un autre côté,
But on the other hand,
on a toujours des personnes qui vont vouloir faire du Shadow IT dans le cloud
There will always be people who want to engage in Shadow IT in the cloud.
et modifier à la main un certain nombre de paramètres.
and manually adjust a number of settings.
Et c'est là où il nous faut des actions réactives pour détecter ces changements-là
And this is where we need reactive actions to detect these changes.
et mobiliser les équipes pour arrêter des attaques de ce type.
and mobilize the teams to stop attacks of this kind.
C'est une très bonne transition.
It's a very good transition.
Je voulais aborder un point qu'on n'a pas développé.
I wanted to address a point that we haven't discussed.
Il y a une dimension qui est particulière dans le cloud.
There is a dimension that is specific in the cloud.
C'est la notion de le temps.
It is the concept of time.
Le temps est accéléré.
Time is accelerated.
Une vulnérabilité,
A vulnerability,
une zéro-day découverte publiée hier, vous l'apprenez facialement le lendemain.
A zero-day discovery published yesterday, you learn about it facially the next day.
Ça, on-prem, vous avez quand même beaucoup plus de temps
In that case, on-prem, you still have a lot more time.
parce qu'il y a des défenses en profondeur.
because there are layered defenses.
Donc l'exposition, ça, c'est une réalité.
So the exhibition, that is a reality.
Et donc ce pas de temps,
And so this little moment,
moi, je le vois, je vois un impact fort dans les équipes à deux niveaux.
I see it, I see a strong impact in the teams at two levels.
Au niveau des développeurs, parce qu'il faut qu'ils apprennent
At the level of the developers, because they need to learn.
à la fois la célérité des offres toutes les semaines ou 15 jours, tous les mois.
both the speed of the offers every week or every 15 days, every month.
Il y a, si vous n'êtes pas
There is, if you are not.
dans cette dynamique-là, et ça, en termes de culture, c'est un vrai changement aussi.
In this dynamic, and that, in terms of culture, is also a real change.
Il faut être dans la culture, il faut être dans la dynamique
One must be immersed in the culture, one must be part of the dynamic.
de la nouveauté de votre provider, mais aussi des autres, parce que c'est bouillonnant.
about the novelty of your provider, but also others, because it's boiling over.
Et puis les équipes de sécurité, parce que
And then the security teams, because
si vous regardez ces details, la publication de toutes les vulnérabilités,
if you look at these details, the publication of all vulnerabilities,
la courbe, elle est comme ça.
The curve, it is like this.
Je crois qu'on doit avoir un 30, 40 % de croissance par an.
I believe we should aim for a 30 to 40% growth per year.
Le mois de mai, 5000 vulnérabilités, plus que tous les mois précédents.
In May, 5000 vulnerabilities, more than in all previous months.
Donc, ça arrive extrêmement vite et vous êtes impacté tout de suite.
So, it happens extremely quickly and you are impacted right away.
Donc, cette réactivité dans la veille et le paramétrage de vos mécanismes
So, this responsiveness in monitoring and setting up your mechanisms
de défense, en détection, en réaction, etc., doit se faire beaucoup plus vite.
Defense, detection, reaction, etc., must happen much faster.
Là où avant, vous aviez du temps pour préparer vos vulnes, vous aviez quelques
Where before you had time to prepare your vulns, you had some
mois, dans le cloud, il faut être capable de les intégrer rapidement.
months, in the cloud, it is necessary to be able to integrate them quickly.
L'InfraScode est un merveilleux outil.
InfraScode is a wonderful tool.
Encore faut-il l'employer correctement pour s'en protéger, pour intégrer nos
One still needs to use it correctly to protect oneself, to integrate our
collectifs, déployer massivement un correctif sur tous vos infras.
collectively, deploy a fix massively across all your infrastructures.
Si vous l'avez bien pensé, vous pouvez le faire rapidement, à moindre effort.
If you have thought it through, you can do it quickly with less effort.
Donc, ça, c'est une dimension.
So, that is one dimension.
La notion de temps, elle est vraiment...
The concept of time, it is really...
Ce n'est pas la même on-prem et on-thread.
It's not the same on-prem and on-thread.
Et ça, c'est peut-être une différence pour nos équipes,
And this, perhaps, is a difference for our teams,
qu'ils apprennent à jongler avec des pas de temps différents.
that they learn to juggle with different time frames.
Et ça, ce n'est pas un exercice facile.
And that is not an easy exercise.
Alors, une autre question pour les cyber-melveillants, les identifiants
So, another question for the cyber-bullies, the identifiers.
d'utilisateurs compromis légitimes sont souvent la porte d'entrée pour le cloud.
Compromised legitimate users are often the gateway to the cloud.
Alors, comme on explique
So, as we explain.
par ce fléau, est-ce que vous avez peut-être des rétextes ou des cas pratiques,
with this scourge, do you perhaps have any reports or practical cases?
des choses qui se sont produites, que vous pouvez partager avec nous, Orion ?
Are there things that have happened that you can share with us, Orion?
Alors,
So,
effectivement,
indeed,
lorsqu'on a une compromission d'un credential,
when there is a compromise of a credential,
c'est une application on-prem ou un service on-prem,
Is it an on-prem application or an on-prem service?
quelque part, c'est très difficile pour l'attaquant de l'utiliser.
Somewhere, it's very difficult for the striker to use it.
Là, effectivement, dans une exposition directe,
There, indeed, in a direct exhibition,
on va dire sur Internet, le cloud, etc.
let's say on the Internet, the cloud, etc.
Donc,
So,
ce que l'on voit, nous, c'est régulièrement,
what we see, regularly,
et ça, c'est parce qu'il y a beaucoup de synchronisation entre le monde privé et le
and that is because there is a lot of synchronization between the private world and the
monde professionnel au travers du BYUD, on se retrouve dans des situations où,
professional world through BYOD, we find ourselves in situations where,
par exemple, on a soit des cookies de session qui sont volés,
for example, we either have stolen session cookies,
parce que ce n'est pas que le credential.
because it's not just the credential.
À la limite, le credential, c'est une chose.
Ultimately, the credential is one thing.
Le cookie de session, c'est autre chose,
The session cookie is something else.
c'est-à-dire qu'il le récupère, il le rejoue, il est connecté.
That is to say, he retrieves it, he replays it, he is connected.
Il n'a même pas besoin de connaître vos
He doesn't even need to know your...
login passwords, il va le rejouer directement.
login passwords, he will play it again directly.
Et sur cette partie login password, effectivement, on se retrouve régulièrement
And regarding this login password part, indeed, we often find ourselves there.
à voir ou à détecter au travers de la CTI des ventes sur le Dark, etc.
to see or detect through sales CTI on the Dark, etc.
Donc, ça se traite, d'accord.
So, it can be dealt with, alright.
On est très réactif face à ça, mais néanmoins, effectivement,
We are very responsive to that, but nevertheless, indeed,
et là, je rejoins ton point, il faut être très rapide dans la réaction.
And there, I agree with your point; we need to be very quick in our reaction.
Parce que si, entre le temps de détection, et parfois, ça prend un peu de temps,
Because if, between the detection time, and sometimes it takes a little time,
et la correction, parfois, ça peut prendre du temps.
And sometimes, correction can take time.
Et là, on est dans des temps qui sont
And now, we are in times that are
hyper courts.
super short.
Mais on a l'automatisation.
But we have automation.
Donc, aujourd'hui, l'automatisation, on peut automatiser des patchs,
So, today, automation can automate patches,
on peut automatiser des tests, on peut automatiser la création
We can automate tests, we can automate creation.
d'environnements de tests pour qu'on valide que le patch n'introduit pas
test environments so that we can validate that the patch does not introduce
de régression de service et notre application va continuer à fonctionner
service regression and our application will continue to function
as-is et pouvoir le tester assez rapidement.
as-is and be able to test it fairly quickly.
Mais il faut se mobiliser, avoir le mindset d'automatiser au
But we need to mobilize, have the mindset to automate.
maximum d'actions, avec des contrôles à chaque fois de sécurité pour gagner du temps.
maximum of actions, with security checks each time to save time.
Parce que si on n'automatise pas, on sera vraiment dépassé par la capacité
Because if we don't automate, we will really be overwhelmed by the capacity.
des attaquants à exploiter des vulnérabilités zéro-day.
attackers to exploit zero-day vulnerabilities.
Et si je peux compléter, vis-à-vis des identifiants,
And if I may add, regarding the identifiers,
tu parlais tout à l'heure de MFA ou Multi-Factor Authentication, voilà.
You were just talking about MFA or Multi-Factor Authentication, here it is.
Ça, ça doit devenir la base.
That must become the foundation.
Parce que c'est ça qui va vous protéger contre
Because that's what will protect you against
le vol d'identifiant, d'accord ?
the theft of identity, okay?
Donc ça, c'est un des prérequis.
So that's one of the prerequisites.
Ensuite, vous avez des approches avec les solutions IAM,
Then, you have approaches with IAM solutions,
des approches de type Zero Trust aussi, qui vous permettent de dire avec du airbag,
Zero Trust approaches as well, which allow you to say with airbag,
je me connecte uniquement à telle instance et j'autorise uniquement ce groupe
I only connect to this instance and I only authorize this group.
d'utilisateurs à se connecter à telle instance et à faire un certain nombre d'opérations.
of users to connect to such an instance and to perform a certain number of operations.
Donc voilà, je pense qu'effectivement,
So here it is, I think that indeed,
on a tous les outils en main pour se protéger.
We have all the tools at hand to protect ourselves.
Mais encore une fois,
But once again,
c'est la surface d'attaque,
it's the attack surface,
elle est très dynamique.
She is very dynamic.
Donc, comment est-ce qu'on est, on va dire, à l'affût de tout ?
So, how are we, let's say, on the lookout for everything?
Moi, j'aime bien ton approche optimiste, on va dire, là où il y a des menaces,
I quite like your optimistic approach, let's say, where there are threats,
il y a aussi des opportunités et je pense qu'il y a des nouvelles approches aussi
There are also opportunities, and I think there are new approaches too.
qu'on n'avait pas en prémisse qui peuvent nous aider dans le cloud.
that we didn't have as a premise that can help us in the cloud.
Je pense notamment dans l'aspect de gestion des vulnérabilités dont on a parlé.
I am thinking particularly about the aspect of vulnerability management that we discussed.
En fait, il y a tout un panel de solutions qui ont tout leur intérêt.
In fact, there is a whole range of solutions that are all worthwhile.
Le DAS, le SAS pour le code, le SCA.
The DAS, the SAS for the code, the SCA.
Le problème, c'est qu'aucune d'entre elles, on va dire, va s'intéresser à l'architecture
The problem is that none of them, let's say, will be interested in architecture.
de l'application derrière et c'est notamment ce que nous apportent certains
from the application behind and this is particularly what some bring us
nouveaux outils cloud qu'on voit apparaître comme l'ASPM.
new cloud tools that are emerging like ASPM.
C'est l'idée de regarder l'application au moment de son exécution.
It is the idea of looking at the application at the moment of its execution.
Certains même appellent ça le shift ride par opposition au shift left,
Some even call it the shift right as opposed to the shift left,
c'est-à-dire regarder comment est faite l'application et comment elle s'exécute
That is to say, to look at how the application is made and how it runs.
avec l'idée de regarder évidemment les vulnérabilités, leur impact,
with the idea of obviously looking at vulnerabilities, their impact,
leur sévérité, mais dans quel contexte elle se trouve ?
their severity, but in what context is it found?
Est-ce que typiquement, cette vulnérabilité,
Is this vulnerability typically,
elle se situe sur une API qui elle-même est ouverte sur l'extérieur, sur Internet ?
It is located on an API that is itself open to the outside, to the Internet?
Est-ce que cette API,
Is this API,
elle se situe sur des données sensibles, des données bancaires, des données personnelles ?
Is it based on sensitive data, banking data, personal data?
Et ça, c'est vraiment un des apports de ces nouvelles solutions où on va pouvoir
And that is really one of the contributions of these new solutions where we will be able to
avoir cette visibilité qui serait impossible à avoir auparavant.
to have this visibility that would have been impossible to have before.
Et notamment, alors encore une fois, c'est assez spécifique aux environnements cloud,
And specifically, once again, this is quite specific to cloud environments,
tout ce qui est microservices, parfois l'idée même de répondre
everything that is microservices, sometimes the very idea of responding
qu'est-ce qu'on peut trouver ?
What can we find?
Qu'est-ce qui constitue l'ensemble de mes microservices ?
What constitutes the entirety of my microservices?
Comment ils interagissent entre eux ?
How do they interact with each other?
C'est quelque chose qui était extrêmement difficile à faire auparavant
It's something that was extremely difficult to do before.
et désormais, on peut avoir une vision beaucoup plus claire.
And now, we can have a much clearer vision.
Juste pour nuancer sur une note plus optimiste et pas que sur le risque.
Just to add a more optimistic note and not just focus on the risk.
Alors pour la prochaine question, j'aimerais justement,
So for the next question, I would like to,
Orient, qu'on resenne un peu sur la question du label Secnum Cloud.
Orient, let's take a closer look at the Secnum Cloud label issue.
Est-ce que vous pensez qu'il faille vraiment transférer ces critères,
Do you think we really need to transfer these criteria?
notamment sur la protection contre l'extraterritorialité du droit,
notably on the protection against the extraterritoriality of the law,
au label européen UCS, surtout sachant que plusieurs pays européens s'y opposent ?
to the European UCS label, especially knowing that several European countries oppose it?
Je pense qu'au contraire de mes propos, je suis intimement convaincu qu'il faut le faire.
I believe that, contrary to my words, I am deeply convinced that it needs to be done.
Après, il y a une approche risque.
Then, there is a risk approach.
Il y a plusieurs niveaux d'assurance.
There are several levels of insurance.
Dans le schéma de certification, si on recherche vraiment la souveraineté,
In the certification scheme, if we are truly seeking sovereignty,
je crois qu'on est sur des niveaux élevés en termes d'assurance.
I believe we are at high levels of confidence.
Oui, à l'intégration dans des niveaux élevés d'assurance, etc.
Yes, to integration into high levels of assurance, etc.
Après, oui, il faut qu'on le fasse.
Afterward, yes, we need to do it.
Maintenant, il faut qu'il y ait la volonté politique de le faire.
Now, there needs to be the political will to do it.
Moi, je comprends qu'il y a des pays, en tout cas de ce que je connais,
I understand that there are countries, at least from what I know,
il y a des pays qui s'y opposent parce qu'ils disent OK, mais ça va créer une barrière d'entrée
There are countries that oppose it because they say okay, but it will create a barrier to entry.
ou ça va créer de la complexité déjà pour les fournisseurs européens.
or it will create complexity already for European suppliers.
Qui, déjà, ne s'en sortent pas, etc.
Who, already, are not getting by, etc.
OK, mais on en parle depuis.
OK, but we've been talking about it since then.
Depuis combien de temps on en parle et on a aujourd'hui,
How long have we been talking about it and today we have,
on continue à se poser la question, donc à un moment donné, il faut y aller.
We continue to ask ourselves the question, so at some point, we have to go for it.
Et puis surtout au niveau européen, je ne suis pas sûr que.
And above all at the European level, I am not sure that.
Alors, même si en France, on a une belle force de frappe,
So, even though in France, we have a strong striking force,
mais je ne suis pas sûr qu'uniquement resté au niveau français,
but I'm not sure that just staying at the French level,
on arrive à traiter ce sujet.
We manage to address this topic.
Pour moi, c'est l'Union européenne.
For me, it's the European Union.
Il faut que ça soit traité au niveau de l'Union européenne.
It needs to be addressed at the level of the European Union.
Et donc, l'intégration de ces exigences, pour moi, fait totalement sens.
And so, the integration of these requirements makes complete sense to me.
Et il faut qu'on continue.
And we must continue.
Il faut que la France continue à pousser en ce sens là pour au moins avoir,
France must continue to push in this direction to at least have,
à un moment donné, quelque chose qui va nous permettre,
at some point, something that will allow us,
lorsqu'on se pose la question, d'avoir des solutions qui y répondent.
when we ask ourselves the question of having solutions that answer it.
Alors, dernière question de cette émission autour de l'IA.
So, last question of this show about AI.
Et il s'avère que je ne suis pas la seule à me poser la question,
And it turns out that I'm not the only one asking the question,
puisqu'on a d'autres questions dans les commentaires.
since we have other questions in the comments.
Je vais vous poser la mienne et puis je vais vous dire ce qui se passe à distance.
I will ask you mine and then I will tell you what is happening from a distance.
Donc, les IA sont développées majoritairement en utilisant des ressources cloud.
So, AIs are primarily developed using cloud resources.
Est-ce que la compromission du cloud
Is the cloud compromise?
devient un enjeu pour la compromission des IA ?
becomes an issue for the compromise of AI?
Ça, c'est ma question et je vous poserai celle du public.
That is my question, and I will ask you the one from the audience.
La réponse est oui, tout simplement.
The answer is yes, quite simply.
Aujourd'hui, on s'appuie sur l'IA pour prendre un certain nombre de décisions.
Today, we rely on AI to make a number of decisions.
Donc, si on manipule la manière avec laquelle l'apprentissage de l'IA a été fait,
So, if we manipulate the way AI learning has been done,
donc on finit par avoir
so we end up having
des réponses qui sont qui sont incorrectes.
incorrect answers.
Donc, c'est très facile de pouvoir changer le résultat et donc impacter les utilisateurs.
So, it is very easy to change the outcome and thus impact the users.
Même si on aura les actes en Europe qui va nous protéger par rapport à un certain
Even if we will have the acts in Europe that will protect us regarding a certain
nombre de traitements IA, mais ça ne sera pas suffisant.
number of AI treatments, but it will not be enough.
Si on veut aller dans des projets innovants avec de l'IA, on aura besoin de puissance.
If we want to engage in innovative projects with AI, we will need power.
Il va falloir sécuriser et sécuriser la scalabilité et cette sécurisation, elle passe
We will need to secure and ensure scalability, and this security comes through.
via le chiffrement, via le contrôle, via les vérifications.
through encryption, through control, through verifications.
On a des moyens de sécurisation des chaînes de déploiement de modèles learning
We have means to secure the deployment chains of learning models.
et qui permettront de s'assurer que les données et les algorithmes qui sont
and which will ensure that the data and the algorithms that are
définis ne seront pas volés et que le résultat reste intègre par rapport
defined will not be stolen and that the result remains intact in relation to
à ce qui était initialement prévu par le scénario, le use case de l'IA.
to what was initially planned by the scenario, the AI use case.
Alors, Jonathan, Yacine qui dit quel est l'impact potentiel de l'IA sur la sécurité
So, Jonathan, Yacine is asking what the potential impact of AI on security is.
de l'environnement cloud ?
from the cloud environment?
C'est Hussein qui demande l'une des solutions obligatoires pour avoir un niveau
It is Hussein who requests one of the mandatory solutions to achieve a level.
de sécurité élevée dans le cloud et bel et bien l'usage de l'IA à tous les niveaux cyber.
high security in the cloud and indeed the use of AI at all cybersecurity levels.
Allons-nous vers un full IA cloud ?
Are we heading towards a full cloud AI?
J'ai l'impression qu'on peut regarder la question dans les deux sens.
I feel like we can look at the question from both sides.
Est-ce qu'on parle plutôt de compromission de l'IA en compromettant le cloud,
Are we talking more about compromising AI by compromising the cloud?
en compromettant l'IA ou est-ce qu'on parle plus ?
by compromising AI or are we talking more?
Auquel cas, j'ai l'impression qu'il y a un consensus pour dire que ça semble être possible.
In that case, I have the impression that there is a consensus saying that it seems to be possible.
Et aujourd'hui, ça me semble encore un peu théorique.
And today, it still seems a bit theoretical to me.
On ne voit pas encore d'exemple.
We do not yet see any example.
On ne voit pas d'exemple d'exploitation de ce sens.
We do not see an example of the exploitation of this meaning.
En revanche, ce qu'on commence déjà à voir, c'est plutôt...
On the other hand, what we are starting to see is rather...
L'autre cas que j'avais en tête, c'est utiliser de l'IA générative
The other case I had in mind is using generative AI.
pour compromettre des environnements cloud.
to compromise cloud environments.
Ça, on en a vu un certain nombre typiquement chez CrowdStrike.
We've seen quite a number of them typically at CrowdStrike.
Et il y a deux choses.
And there are two things.
En fait, l'IA a surtout pour effet d'abaisser le coût d'entrée pour les attaquants.
In fact, AI primarily lowers the entry cost for attackers.
À travers deux vecteurs, soit dans le fait
Through two vectors, either in fact.
de faire plutôt du social engineering à grande échelle avec du deepfake.
to do rather large-scale social engineering with deepfake.
C'est un peu plus ça qu'on a vu et un peu moins l'idée de générer des outils,
It's a little more about what we saw and a little less about the idea of generating tools.
des codes typiquement avec de l'IA générative.
typically codes with generative AI.
Ça, on le voit un peu moins, mais on en a quand même quelques traces
We see that a little less, but we still have some traces of it.
dans typiquement des exercices de réponse à incidents.
in typically incident response exercises.
On a eu deux occurrences l'année dernière.
We had two occurrences last year.
La première, c'était
The first one, it was
une machine compromis avec un groupe Alpha Spider qui utilise
a machine compromised with a group Alpha Spider that uses
le ransomware Logbit Red.
the Logbit Red ransomware.
Et en fait, ce qu'on s'aperçoit, c'est que pendant la compromission,
And in fact, what we realize is that during the compromise,
ils essayent d'extraire des identifiants du Azure Key Vault.
They are trying to extract identifiers from the Azure Key Vault.
Et en fait, on s'aperçoit qu'ils interrogent Bing, ils interrogent également
And in fact, we notice that they are questioning Bing, they are also questioning.
CPT pour savoir comment faire.
CPT to know how to do it.
Ce qui est intéressant de voir, c'est là,
What is interesting to see is there,
typiquement, on n'est pas sur un groupe d'attaquants experts.
Typically, we are not dealing with a group of expert attackers.
Mais voilà, même ces types d'attaquants, ce genre de choses deviennent à leur portée.
But there you go, even these types of attackers, such things become within their reach.
Et à l'opposé du spectre, on a des groupes experts.
And at the opposite end of the spectrum, we have expert groups.
Je pense plutôt à des groupes comme Scattered Spider,
I'm more thinking about groups like Scattered Spider,
où là, on l'a vu faire des choses hyper intéressantes.
Oh there, we saw him do some really interesting things.
Récupérer tous les immutables ID dans intra-ID.
Retrieve all immutable IDs in intra-ID.
Et il se trouve qu'ils ont utilisé le module PowerShell là-dedans.
And it turns out that they used the PowerShell module in there.
Et pour ce faire, il se trouve que le script qui est
And to do this, it turns out that the script that is
exécuté ressemble trait pour trait avec ce que peut générer un LLM.
Executed looks exactly like what a LLM can generate.
La réalité, c'est qu'on n'a pas des tonnes d'indications pour dire ça a été fait ou
The reality is that we don't have tons of indications to say this was done or
non avec de l'IA générative, pour peu que l'attaquant supprime les traces.
No, with generative AI, as long as the attacker deletes the traces.
Mais là, il y avait vraiment autant dans
But there, there really was as much in
l'indentation que les commentaires, il n'y a quasiment pas de doute.
The indentation of the comments, there is almost no doubt.
Donc, la réalité, celle-ci, c'est que ce n'est pas pour le futur.
So, the reality, this one, is that it is not for the future.
Ce n'est pas une prédiction, c'est déjà là.
It's not a prediction, it's already here.
Eh bien, écoutez, on arrive à la fin de cette émission.
Well, listen, we are reaching the end of this show.
Merci beaucoup d'avoir répondu à mes questions.
Thank you very much for answering my questions.
Merci également au public d'avoir échangé,
Thank you as well to the audience for engaging,
commenté, posé vos propres questions à distance.
commented, asked your own questions remotely.
Vous avez été très nombreux et malheureusement,
You were very numerous and unfortunately,
comme à chacune de nos émissions, je ne peux pas lire toutes vos questions,
As with each of our broadcasts, I cannot read all of your questions,
mais on les a bien lues. Merci encore.
But we read them well. Thank you again.
Alors, ce soir, nous étions en partenariat
So, tonight, we were in partnership.
avec Krausrack, qui d'ailleurs vous met à disposition un livre blanc sur le thème
with Krausrack, which incidentally provides you with a white paper on the topic
de ce soir. Pour ceux qui n'ont pas coché la case, n'hésitez pas à nous le demander.
Tonight. For those who haven't checked the box, feel free to ask us.
En tout cas, je vous dis bonne soirée.
In any case, I wish you a good evening.
Au revoir pour cette première saison,
Goodbye for this first season,
puisqu'on ne se reverra pas avant le mois de septembre.
since we won't see each other again until the month of September.
On prend tous des vacances, n'est ce pas ?
We're all taking a vacation, aren't we?
Merci encore à notre partenaire.
Thank you again to our partner.
Merci au public à distance et bien évidemment,
Thank you to the remote audience and of course,
merci aux experts qui étaient là avec nous ce soir.
Thank you to the experts who were there with us this evening.
Merci. Merci Yasmine.
Thank you. Thank you Yasmine.
Merci à tous.
Thank you all.
Continue listening and achieve fluency faster with podcasts and the latest language learning research.