Stéphane Nappo, RSSI OVHcloud : « La séparation technique des données est essentielle pour les fournisseurs de Cloud »

by admin
Stéphane Nappo, RSSI OVHcloud : « La séparation technique des données est essentielle pour les fournisseurs de Cloud »

Nommé RSSI Global d’OVHcloud en février 2019, Stéphane Nappo a accordé une interview à ZDNet.fr pour évoquer les sujets cybersécurité chez un acteur majeur du cloud européen comme OVH. Certifications, gestion des menaces, positionnement dans l’organigramme, Cloud Act ; le tour des sujets chauds.

ZDNet.fr : Votre arrivée marque la création du poste de Global RSSI chez OVHcloud. Qu’est ce que ce poste apporte à l’entreprise ?

publicité

Stéphane Nappo : Il n’y avait pas de RSSI Global, mais cela fonctionnait déjà très bien. OVHcloud fait de l’hébergement de données depuis 20 ans et qui s’est donc préoccupée de la sécurité de ses clients très tôt.

Cette nomination apporte une unification et une orchestration qui était devenue nécessaire. Nous avions besoin de ce poste pour répondre à l’ampleur d’OVHcloud aujourd’hui. C’est une marque de maturité que de vouloir associer la sécurité sous une gouvernance transversale.

Quels sont les chantiers auxquels vous avez dû vous atteler en arrivant ?

Comprendre OVHcloud. Auparavant, je travaillais déjà sur des sujets liés là la sécurité, mais dans le domaine de la finance (ndlr. à la Société Générale). OVHcloud est différent, c’est une entreprise innovante, qui travaille d’une manière bien particulière.

Le principal changement, c’est le caractère multisectoriel de la sécurité chez OVHcloud. Un fournisseur de service cloud va héberger des données financières, de santé, gouvernementales, et d’autres. Cette pluralité des enjeux crée une nouvelle approche du risque.

Pour vous donner un exemple concret, OVH a multiplié les certifications : PCI DSS pour travailler avec des données de paiement, HDS pour les données de santé. Il faut donc en permanence s’assurer que le niveau de sécurité est suffisant dans ces différents secteurs et que ce niveau reste constant dans le temps.

OVHcloud a en production plus d’un million de serveurs, maintien beaucoup de produits et en développe de nouveaux. Autant dire que je n’ai pas fini d’apprendre. En plus de cela, personne n’a la roadmap des pirates, donc il reste beaucoup de changements et de choses l’on ne pourra pas anticiper.

Quelles sont les principales menaces pour un acteur comme OVHcloud?

La menace évolue en permanence, elle est protéiforme et sophistiquée. Mais voici trois exemples.

Les attaques ddos sont un des principaux sujets pour nous puisqu’elles touchent à la disponibilité de nos services. Et donc aux attentes de nos clients. C’est pour cela que nous avons développé un service de protection antiddos (ndlr : le VAC), que nous mettons à la disposition de l’ensemble de nos clients, sans frais supplémentaires.

L’autre sujet c’est la gestion des vulnérabilités. Nous travaillons avec nos partenaires pour être tenus informés en amont des vulnérabilités et des correctifs. Aujourd’hui, un acteur de la taille d’OVHcloud n’a aucun mal à accéder à ce type d’informations.

Le dernier sujet c’est la compromission des identifiants de nos clients. Le cloud est un service distant et la transition numérique implique nécessairement d’avoir des moyens d’accès à ces services distants. Nous surveillons de près des espaces où s’échange ce type d’information et nous avertissons nos clients dès que nous repérons des identifiants exposés.

Quelle est la place du RSSI Global chez OVHcloud ?

Dans l’organigramme, le RSSI global est basé sur un rattachement matriciel, à la fois auprès de la DSI OVHcloud et de la direction du groupe. À mon sens, c’est un choix de gouvernance équilibré qui permet à la fois d’avoir un rattachement technique tout en gardant un lien direct à la direction.

Lorsque le RSSI est rattaché directement à l’un ou l’autre de ces pôles, on perd en visibilité. La sécurité n’est pas uniquement une question technologique ou une question métier, elle doit se déployer à travers ces deux pôles en même temps pour être efficace.

Comment s’organise votre équipe ?

J’encadre et j’anime un service d’une vingtaine de personnes. Au sein de ce service, nous avons distingué trois équipes, que l’on désigne sous le nom de « squad » :

  • Security Tool Squad : cette équipe est entièrement dédiée au développement des outils en support à la sécurité. Un fournisseur de service cloud doit parfois les développer en propre, on peut notamment penser à nos services et modules antiddos.
  • Security Ops Squad : cette équipe accompagne la mise en œuvre de nos services. Elle regroupe des profils de pentesters ainsi que des services de bug bounty. Nous mettons à l’épreuve tous nos produits à travers un test d’intrusion en interne, puis via un mécanisme de bug bounty plus ouvert. C’est également cette équipe qui se charge des certifications des produits et services.
  • CSIRT (Computer Security Incident Response Team) : cette équipe centralise les demandes d’assistance suite aux incidents, coordonne les réponses aux incidents de sécurité, et partage l’information avec les autres CSIRT. Outre ces missions, le CSIRT est aussi chargé de maintenir une base centrale des vulnérabilités connue ainsi que de faire de la prévention auprès des équipes afin de minimiser les risques d’attaques.

Mais la sécurité chez OVHcloud ne se résume pas uniquement à ces équipes. Nous avons mis en place une gouvernance conjointe entre l’équipe sécurité et chacune des équipes produits, via les responsables de sécurité. Dans chaque équipe produit se trouve ainsi un responsable opérationnel SI, que nous avons formé et qui est notre interlocuteur privilégié sur les sujets liés à la sécurité. L’idée est d’avoir une gouvernance agile pour être capable de diffuser la fonction sécurité à l’ensemble de l’organisation.

On met souvent en opposition innovation et sécurité. OVHcloud se présente comme un champion de l’innovation. Comment ces deux aspects s’articulent chez vous ?

La sécurité n’a pas pour ambition d’être un facteur de blocage. L’objectif pour mes équipes est de rester efficace tout en gardant une expérience client de qualité. Si on ne veut pas faire de l’innovation qui soit au final décevante pour l’utilisateur, nous devons prendre en compte cette dimension dès le départ.

L’idée est de parvenir à trouver le bon dosage de sécurité et de permettre à cette dimension d’accompagner tout le cycle de vie du produit.

A l’international OVHcloud est confronté à des régulations nombreuses en matière de protection des données. Est-ce que c’est un facteur de complexité pour vous ?

Nous parvenons à trouver un équilibre. C’est de toute façon un devoir de respecter les législations locales dans les pays ou nous sommes présents. Ce n’est pas un facteur de complexité pour nous, c’est une nécessité de conformité.

Le RGPD par exemple, n’a pas vraiment été une surprise, mais plutôt une bonne nouvelle. Pour nous, les grands principes du RGPD étaient déjà en accord avec l’ADN d’OVHcloud. Nous avions mis l’accent sur la protection des données personnelles de nos clients bien avant l’entrée en vigueur du texte.

Aux États unis, OVHcloud a choisi de créer une entité entièrement séparée afin de protéger les clients européens de textes comme le Cloud Act. Est-ce que c’est une solution qui fonctionne ?

OVH aux Etats-Unis est séparé techniquement et juridiquement des autres filiales du groupe. Cela montre qu’il est possible d’opérer une telle séparation au sein d’un grand groupe.

Beaucoup de grands groupes mettent en place des logiques « follow the sun » afin d’assurer une présence 24/24 au travers de multiples entités situées dans différents pays. Ces sociétés sont aujourd’hui confrontées à des problématiques similaires.

Chez OVHcloud, la question de la territorialisation des données est essentielle, pour nous comme pour nos clients. Lorsque vous prenez un service OVHcloud, vous pouvez choisir la localisation des données. Ces différentes dimensions, séparation technique et territorialisation des données, sont devenues essentielles aujourd’hui pour les fournisseurs cloud.

Pour un hébergeur, un engagement accru en matière de sécurité est-il compatible avec la protection des données de ses clients ?

Nous nous efforçons de travailler à la protection des données de nos clients : nous nous engageons à proposer à nos clients un environnement à l’état de l’art, et c’est le client qui dispose des clefs.

Nous avons bien sur un département Abuse et dès que nous avons connaissance d’un acte malveillant sur un de nos serveurs, nous intervenons. Mais nous refusons d’être intrusifs et nous n’espionnons pas nos clients. La surveillance n’est pas inévitable : on agit, on industrialise, mais nous restons réactifs sur les questions de sécurité. La protection des données n’est pas incompatible avec la sécurité.

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading