Selon les statistiques de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), le nombre d'assauts informatiques, en particulier par rançongiciels, s'envole : les intrusions ont augmenté de 255 % rien qu'entre 2019 et 2020. Et la tendance actuelle n'est pas à l'accalmie, bien au contraire. Face à cette intensification de la cyber-malveillance, comment aidez-vous les entreprises à se protéger ?
Stephan Hadinger : Tout d'abord, l'un des principaux réflexes à avoir pour une entreprise est de mettre régulièrement à jour ses logiciels. C'est en effet souvent quand les dernières versions ne sont pas installées que les applications sont vulnérables aux tentatives d'infiltrations des cyber-attaquants. C'est pour cela que nous proposons, dans une logique de responsabilité partagée, toute une gamme de services optionnels spécialisés dans la sécurité, à commencer par ceux qui permettent à nos clients de mettre à jour leurs logiciels grâce à des systèmes automatisés. En outre, l'un des avantages du cloud est que tout y est très agile. Il permet ainsi de facilement cloner l'infrastructure dans un environnement « bac à sable », de mettre à jour et de tester si tout fonctionne puis, si nécessaire, de revenir en arrière.
Si malgré les protections, vous êtes attaqués par exemple par un logiciel malveillant de type cryptolocker - qui chiffre vos données et exige un paiement faute de quoi vos données sont perdues - plutôt que de payer, il vaut mieux, bien sûr, récupérer les sauvegardes. Cela implique que celles-ci soient performantes et régulières. Et le cloud facilite les sauvegardes. D'une part, par des automatismes, car les sauvegardes sont intégrées dans la plupart de nos services. D'autre part, elles sont gérées dans des systèmes séparés, ce qui les protège des « malwares ».
Parmi les attaques fréquentes, il y a celles qui visent à rendre indisponibles un voire plusieurs services. On les appelle les attaques par déni de service distribué (DDoS). De quoi s'agit-il concrètement et comment y faire face ?
S. H. : Les attaques par déni de service distribué sont des attaques volumétriques : autrement dit, une rafale de connexions est envoyée sur votre site ou votre application pour la saturer et faire en sorte qu'elle ne réponde plus. Aujourd'hui, cela peut atteindre des volumétries extraordinairement élevées faisant qu'un data center classique n'a pas la capacité matérielle pour y résister. C'est là tout l'intérêt du cloud qui, de par sa dimension, offre des éléments permettant de résister à cette catégorie d'attaque en fournissant des outils qui re-routent ou annulent une grande partie du trafic malicieux. Nous avons des services spécifiquement conçus pour cela. En particulier, un service appelé AWS Shield, qui filtre le trafic en écartant tout ce qui n'est pas approprié et contribue à saturer les services.
Les sociétés de toute taille sont exposées. Comment les plus petites peuvent-elles se prémunir ?
S. H. : En dehors du cloud, les technologies qui visent à lutter contre les attaques par déni de service sont généralement très coûteuses, faisant que nombre de petits sites, par exemple, n'avaient pas forcément ce type de protection. Et cela en fait malheureusement des cibles de choix. C'est pour cela que pour nos solutions telles que AWS Shield, la somme à payer est proportionnelle à la taille du site et du trafic. Pour une PME ou un site qui n'a pas une forte audience, ce sera peut-être quelques centimes ou quelques euros par mois. En somme, avec AWS, un auto-entrepreneur aura accès à la même technologie que les grandes sociétés. C'est une manière de démocratiser l'accès à la sécurité.
Un autre sujet d'inquiétude, auprès de certains acteurs de l'écosystème, est le Cloud Act. Les données de vos clients en France sont-elles protégées face à cette loi américaine ?
S. H. : Il y a beaucoup de mythes autour du Cloud Act. Il faut savoir qu'il ne permet pas de forcer un opérateur de cloud à déchiffrer des données. S'il devait donc y avoir une demande d'un juge américain au titre du Cloud Act, et que les données sont chiffrées, la seule chose qu'AWS pourrait fournir serait des données chiffrées, sans les clés, ce qui les rend inutilisables. Les systèmes de chiffrement que nous mettons en place sont justement construits techniquement pour qu'AWS ne puisse pas extraire les clés. Cela fait d'ailleurs partie de nos engagements contractuels. En outre, en février dernier, nous avons pris des engagements supplémentaires : d'abord, de contester en justice systématiquement toute demande d'un pays si elle est en conflit avec des lois européennes ou nationales ; ensuite, si les contestations ont échoué, de ne divulguer que le strict minimum.
Par ailleurs, nous publions régulièrement le nombre de données des entreprises situées en dehors des Etats-Unis pour lesquelles AWS a fourni des données à la justice américaine. Ce chiffre est égal à zéro. Il ne faudrait ainsi pas que la crainte du Cloud Act détourne les clients des solutions de cloud qui peuvent les aider à résister aux attaques quotidiennes.
Où sont hébergées vos infrastructures ?
S. H. : Nous avons 26 « régions AWS » dans le monde, autrement dit groupes de multiples centres de données. En Europe, ils sont à Dublin, à Francfort, à Paris et à Stockholm et nous en aurons à l'avenir en Espagne et en Suisse. La première démarche de nos clients est de décider de la localisation de leurs données. Quand leurs données sont stockées dans la région Paris, elles n'en sortent pas. Ils peuvent les déplacer s'ils le souhaitent, en faire une copie ailleurs, mais c'est sous leur contrôle exclusif.
C'est pour toutes ces raisons que nous avons des dizaines de milliers de clients en France. De fait, 80 % des sociétés du CAC40 et les trois quarts du Next40 utilisent AWS. En somme, ces entreprises viennent chercher la sécurité, la réduction de coûts, la résilience, mais aussi et surtout - l'agilité.