Qui est le plus dangereux ? Les pirates ennemis ou les États-Unis

Les attaques DDoS sont des chevaux de Troie de chantage

Le 7 septembre 2022, la Cour d'appel de Karlsruhe a annulé des décisions d'instances inférieures selon lesquelles les fournisseurs de cloud devaient être exclus des appels d'offres publics. Cela concerne principalement les entreprises des États-Unis.

La condition selon laquelle les données doivent impérativement être traitées en Allemagne reflète certes une méfiance peut-être saine à l'égard de l'État américain. Néanmoins, les choses sont claires : Il est exagéré de diaboliser le cloud pour des raisons de protection des données.

En fait, elle est aujourd'hui - et c'est ce qui importe en premier lieu - beaucoup plus sûre qu'un propre centre de calcul. En outre, la motivation de l'arrêt le montre : Il n'y a pratiquement aucun risque de se rendre juridiquement vulnérable si l'on fait confiance aux promesses contractuelles de protection des données d'une entreprise américaine. 

Mauvaise focalisation du débat

La discussion a un côté percutant : alors que nous discutons beaucoup des autorisations, de fait très rares, des autorités américaines d'accéder aux données, nous sommes exposés aux attaques les plus massives de pirates hostiles jamais vues dans l'histoire. Tendance : en forte hausse. De même, la diversité des vecteurs d'attaque s'est accrue dans des proportions inimaginables. Les médias ne rapportent qu'une fraction des cas.

Nous ne devons pas minimiser le problème du niveau inférieur de protection des données aux États-Unis ; nous devons en discuter et œuvrer pour le relever. Mais avant tout, nous devons nous concentrer sur les problèmes les plus urgents : Les pirates informatiques qui paralysent les entreprises et causent des dommages de plusieurs millions ou milliards de dollars. De manière provocatrice et pointue : suis-je conforme, mais mort ? La prétendue protection des données n'est pas plus importante que la sécurité des données et la continuité des activités.

Confiance zéro

Les chevaux de Troie de chantage sont bien plus dramatiques que les attaques DDoS déjà redoutées, car ils adorent les centres de données locaux. En effet, leurs chances sont nettement moins bonnes dans le cloud.
La raison : il y a toujours une confiance zéro. Je dois faire en sorte que tout ce qui doit fonctionner ensemble se connaisse. Les anomalies, comme l'accès fréquent avec les mêmes mots de passe, sont détectées beaucoup plus rapidement et même si un ordinateur portable d'administration a attrapé un logiciel malveillant, celui-ci ne peut pas se propager. Les hyperscaleurs investissent des milliards dans leur sécurité pour que cela reste ainsi. Rien que chez Microsoft, il y a environ 3000 collaborateurs qui s'occupent exclusivement de la sécurité du cloud.

Dans les centres de calcul, en revanche, la vulnérabilité est élevée. Une fois qu'un cheval de Troie s'est infiltré, il a beau jeu. Dans le cas des données SAP hautement sensibles, cela touche le talon d'Achille des entreprises. Combien de temps peut-on maintenir l'activité si SAP ne fonctionne plus ? Centre de stockage par post-it et factures par Word ? De nombreuses entreprises seraient tout simplement en faillite après seulement un jour d'arrêt. 

Néanmoins, la protection des données reste une question ouverte. En général, les transferts de données sont plus rares qu'on ne le pense. Dans les boutiques en ligne, il arrive effectivement plus souvent que des données soient données à l'extérieur. La moitié des demandes proviennent de la police, y compris la police allemande, à des fins de poursuite pénale. Les demandes de renseignements présentant un intérêt particulier constituent une part minime et la plupart du temps, la question centrale est de savoir si un client donné existe - et non quelles sont les données disponibles à son sujet. Si l'on se limite à l'Allemagne, on obtient un nombre microscopique et relativement constant depuis de nombreuses années. Même dans le cas improbable où l'un des clients du cloud serait répertorié comme terroriste par les services secrets américains, il est toujours possible de prendre des mesures pour que les données soient certes accessibles, mais illisibles. Aucune protection n'est absolument sûre, pas même celle-ci. Mais l'effort serait très important. 

Celui qui hésite aujourd'hui, pour des raisons de protection des données, à exploiter son système SAP dans le cloud d'un hypercalculateur, évite un tout petit risque et, tragiquement, s'expose précisément de ce fait à un risque majeur qui menace son existence. En quelques années, les véritables adversaires sont passés de l'exception à la règle. Ce sont des pirates informatiques bien équipés et dotés d'une énorme énergie criminelle.