Entreprises Magazine, Mars 2014

Instaurer la confiance dans le cloud

  • Share

Il n’y pas si longtemps encore, le cloud computing n’était guère plus qu’une poussière à l'horizon. Annoncé comme une technologie majeure et incontournable, il lui fallait encore marquer véritablement le paysage des technologies et les habitudes de consommation. En 2010, moins de 30% des sociétés ayant répondu à l’étude « Global Information Security Survey » d’EY ont indiqué qu’elles utilisaient déjà ou prévoyaient d'utiliser des services de cloud computing. En 2011, ce pourcentage atteignait 44% et près de 60% en 2012. Alors que les risques induits par le cloud computing, et notamment ceux liés à la sécurité et à la confidentialité des données ont dans un premier temps ralenti l’adoption de ce type de services, ces dernières années ont vu le cloud progresser bien plus rapidement qu’on ne pouvait sécuriser son utilisation. Néanmoins, la sécurité demeure la préoccupation majeure pour près de trois quarts des entreprises interrogées en Europe et en Amérique du Nord lorsqu’elles évaluent le cloud comme option.[1]

Cloud : mais quels risques à craindre ?

En communicant leurs données sur un réseau public, certains utilisateurs ont peur d’être d’avantage exposés aux « cyber » attaques. Par ailleurs, au regard de l’infrastructure commune qu’offrent les fournisseurs de solutions cloud à un large panel de clients, bon nombre d’utilisateurs  craignent qu’ils ne soient pas en mesure de maintenir la ségrégation des environnements et la confidentialité des données de chacun. Enfin, d'autres encore s'inquiètent que l’envoi de leurs données au-delà des frontières nationales ne les expose à de nouvelles exigences légales et réglementaires de juridictions qui ne leur sont pas familières.

Le paradoxe de la sécurité du cloud

Jusqu’alors, l'un des premiers principes pour améliorer la sécurité d’un environnement,  était tout simplement d’en prendre le contrôle. Il serait dès lors paradoxal pour une entreprise de céder le contrôle de son infrastructure IT et de ses données à un tiers. Pourtant, c’est peut-être bien la meilleure façon d’aborder les défis de sécurité et de confidentialité de plus en plus complexes. Les plateformes de cloud computing peuvent permettre de créer un environnement IT plus sûr, au travers de contrôles de sécurité renforcés et de l’amélioration des capacités de gestion de l'information. La pérennité d’un fournisseur de cloud dépend en grande partie de sa réputation en termes de confiance et de sécurité, auxquelles il consacre d’ailleurs plus de ressources qu'une entreprise typique, dont le département IT est généralement un centre de coûts.

Les entreprises sont déjà dans les nuages

A ce jour, nombreuses sont les entreprises qui ont déjà adopté le cloud et ses services. Que les CIOs le sachent ou pas, leurs données et les limites de leur réseau d'entreprise sont bien souvent déjà entrées dans le nuage. Dans de nombreuses entreprises, lorsqu’un département souhaite utiliser des services de cloud et essuie un refus de son département IT, il n’est pas rare que le problème soit contourné par l’achat en direct du dit service : un phénomène appelé « cloud creep ». Au-delà de cela, certains employés utilisent dans un cadre professionnel leurs propres comptes personnels de services sur le cloud, jugeant cette démarche plus rapide et plus pratique. Là où auparavant un collaborateur ne pouvait installer de programmes sur sa machine, il peut désormais faire à peu près tout, juste via un navigateur web grâce aux services disponibles sur le cloud. Dans ces situations, non seulement l’environnement de l’entreprise s’étend sans les protections appropriées, mais ce phénomène place également le cloud sous le « radar » de l’IT sans lui permettre d’anticiper ni de répondre aux risques introduits.

Entre 2010 et 2012, le taux d'adoption du cloud a presque doublé. Ceux qui se sont rapidement convertis au cloud (que ce soit en passant par le biais de clouds privés ou en utilisant directement les services des clouds publics) ont acquis un avantage concurrentiel : économies internes, attrait de nouveaux clients, nouvelles possibilités de commercialiser leurs produits, amélioration de la collaboration interne, etc. Au contraire, les responsables IT ou sécurité s’y étant opposé ont vu une augmentation marquée de solutions non-autorisées mises en place dans l'ombre de leur environnement, ainsi qu’une baisse de leur influence au sein de l'organisation. Et pourtant, la prolifération de ce phénomène sans supervision IT augmente les risques liés à la sécurité et  à la confidentialité. L’étude « Global Information Security Survey » publiée fin 2013 par EY relève ainsi que seuls 17 % des participants indiquent que leur fonction de sécurité de l’information répond pleinement aux besoins de l'entreprise.[2]

Faire du cloud un endroit sûr et fiable

Il convient donc pour tout département IT d’embrasser l’usage du cloud d’une manière qui permette la création de valeur tout en se protégeant des risques de plus en plus importants. Les responsables informatiques doivent dès lors œuvrer en faveur d’un environnement de cloud computing sécurisé (assurant la confidentialité, la disponibilité et l’intégrité des systèmes et données stockées, utilisées ou en transit sur le cloud), fiable (assurant la disponibilité et la résilience de l’environnement) et qui puisse être audité (assurant en continu la conformité du cloud et le certifiant au regard des régulations, législations et standards applicables). Dans ce but précis, le département IT doit être en mesure de proposer une orientation claire favorisant l’adoption d’une démarche responsable en matière de cloud, tout en s’appuyant sur un modèle souple autour de six domaines clefs :

  • L’organisation : Les services de cloud computing ont un impact sur nos activités professionnelles au quotidien. Ceci devrait conduire les sociétés à définir et documenter les rôles et les responsabilités associées à l'utilisation des services du cloud et former leurs employés régulièrement sur ces règles.
  • La technologie : En intégrant le cloud, les fonctions IT devraient concevoir leurs applications selon les standards de sécurité de l'industrie, crypter les données et mettre en œuvre des solutions de gestion des identités et de gestion des accès basée sur les rôles de chacun.
  • Les données : Avec l’utilisation du cloud, les craintes liées aux données échangées conduisent à une nécessité accrue pour les sociétés d’identifier et de classer les données, d’assigner des propriétaires pour chaque information et de définir les principes et obligations de rétention et de destruction de celles-ci.
  • Les opérations : Les politiques et procédures de continuité, de gestion du changement et de sécurité des « data centers » devraient être documentées et les rôles et les responsabilités formalisés. Les plans de continuité et de reprise des activités ainsi que les programmes de résilience devraient continuer d’être réévalués et testés régulièrement, même si les fournisseurs de solutions basées sur le cloud s’engagent également dans de telles initiatives.
  • L’audit et la conformité : Les sociétés devraient planifier et réaliser des audits des services, applications ou/et infrastructures passées dans le cloud. Pour d'avantage d’assurance, elles devraient également faire appel à des tiers pour de telles activités d’audit et devraient s’assurer de la qualité des audits et certifications de leurs fournisseurs de cloud.
  • La gouvernance : Il existe de nombreuses options de cloud qui peuvent être choisies par une entreprise : de l’adoption de services de cloud public, au développement d'un cloud privé, à une approche hybride. Quel que soit le modèle retenu, les processus de gouvernance doivent être évolutifs, reproductibles, mesurables, défendables et en constante amélioration.

La consommation des services de cloud s’est bel et bien généralisée. Sous l’impulsion des départements métier et des utilisateurs, l’introduction du cloud dans les entreprises devient de plus en plus inévitable. De plus, la sécurité du cloud – initialement critiquée – est en train de devenir elle-même l’un des moteurs de l’adoption du cloud computing. Toutefois, cela doit s’accompagner de nouvelles mesures et de moyens permettant de gérer les risques grâce à un modèle de confiance dans le cloud pour ainsi en améliorer la sécurité, tout en trouvant  le moyen d'équilibrer risques réels ou perçus avec la valeur ajoutée du cloud.

 

Alexandre Minarelli, Senior Manager, IT Security, EY Luxembourg



[1] Ed Ferrara and Andras Cser, Security’s Cloud Revolution Is Upon Us, Forrester Research, Inc., 2 August 2013.