Conference cybersecurite & cloud

La FICIME a accueilli Me Jean-Sébastien Mariez et Me Valentine Giraudat du cabinet Momentum Avocats, pour une conférence sur le thème « Cybersécurité et cloud ». Me Mariez a notamment présenté la directive « NIS2 » (Network and Information Security) qui couvre désormais la fourniture de services « Cloud », services que certains adhérents proposent/ revendent, ou utilisent.

La directive impose d’adopter des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées ». Il existe à cet égard différents référentiels ou normes de sécurité reflétant l’état de l’art en matière de cybersécurité, au nombre desquels les lignes directrices de l’ENISA, l’EUCS (Schéma de certification Européen), les référentiels de l’ANSSI (SecNumCloud 3.2) et les normes ISO. La directive impose également de signaler les incidents de cybersécurité aux autorités dans les 24 heures et de se soumettre à des audits de sécurité. Après l’évocation de la récente affaire « OVH » relative à la responsabilité des hébergeurs « cloud », l’événement a permis d’évoquer la problématique du coûteux piratage des services « cloud » et la nécessité de mettre en place une culture de la sécurité via des mesures de prévention et de formation des personnels.

Enfin, les échanges ont porté sur la délicate question du partage des responsabilités du fournisseur au client final en passant par le revendeur, sur les aménagements contractuels à envisager, sur la pertinence des assurances cyber, et enfin, sur les mesures techniques d’alerte/de contrôle des consommations ou de l’accès au service (authentification multifactorielle notamment) aux mains des éditeurs et que les revendeurs et clients appellent de leurs vœux.