La sécurité est un enjeu
S’attaquer à des menaces à la cybersécurité en constante évolution à l’aide d’une approche stratégique en matière d’infonuagique
Les organisations continuent de s’inquiéter de la sécurité de leurs données dans le nuage et des cyberattaques pouvant compromettre les données confidentielles des clients. D’après une étude de l’AMS, 95 % des organisations admettent être préoccupées par la sécurité infonuagique5. Parmi leurs préoccupations, notons les fuites de données, la confidentialité des données et la divulgation accidentelle d’information.
Par exemple : une grande entreprise publique souhaitait réaliser une migration infonuagique majeure vers Azure. Elle tenait à ce que les données, les calculs, le réseau et les services de stockage disposent d’une architecture sous‑jacente et d’une protection multicouche identiques à celles d’outils originaux et tiers. De plus, elle avait pour priorité d’utiliser ces outils pour classer, étiqueter et protéger ces données, quel que soit leur emplacement. Pour y parvenir, nous avons utilisé la plateforme de gouvernance de données Collibra afin de profiler les données, de les classer et de décider quels éléments de données devaient être protégés. Nous avons également mis en place des capacités de protection des données qui donnaient les moyens à l’entreprise de masquer ou de caviarder les données personnelles sensibles permettant l’identification dans DataBricks et dans la couche de visualisation des données (PowerBI).
Cette stratégie a contribué à canaliser la migration progressive des données à l’aide du même mécanisme. En outre, elle nous a permis de contrôler la sécurité et la protection de la vie privée avant le téléchargement, l’analyse et l’utilisation éventuelle des données. Ensuite, nous avons pu mettre en œuvre un référentiel de sécurité Azure et des recommandations de sécurité DataBricks afin de protéger la confidentialité des données.
Toutes ces mesures sont importantes pour les utilisateurs finaux, qui doivent pouvoir avoir confiance dans les plateformes des institutions. Désormais, ils sont à même de se servir de l’environnement de l’entreprise de manière sécuritaire. Placer l’humain au centre de l’approche infonuagique implique de toujours envisager la sécurité du point de vue des utilisateurs finaux.
Le facteur coût est toujours présent
En faire plus avec moins pour continuer à renforcer le dynamisme infonuagique
Le passage à l’infonuagique requiert des investissements initiaux dans du matériel informatique et des licences logicielles, et entraîne périodiquement des coûts de maintenance, de soutien et de formation du personnel. Le tout peut prendre rapidement beaucoup d’ampleur dans les grandes entreprises.
Pour simplifier les choses, présenter clairement les avantages de l’infonuagique peut contribuer à son adoption générale et à l’obtention d’excellents résultats. Des conversations stratégiques approfondies en faveur de l’infonuagique peuvent contribuer aux progrès en ce sens. Chaque utilisateur de l’entreprise a son propre niveau de compréhension de l’infonuagique. Remédiez à la situation dès maintenant pour renforcer la confiance des responsables d’application par rapport à ce à quoi le programme, et les avantages visés pourraient ressembler.
Élaborer un plan de migration vers le nuage axé sur les avantages que peuvent en tirer les utilisateurs fait partie intégrante du processus. Un plan de migration infonuagique bien défini dresse une feuille de route claire et précise des coûts initiaux associés à la migration. Il permet aux organisations de prévoir les investissements nécessaires, de hiérarchiser les activités de migration selon les besoins opérationnels et de gérer les coûts en surveillant régulièrement l’utilisation du nuage, en optimisant les coûts et en ventilant les coûts par service ou projet.
Enfin, faites appel à un fournisseur de services infonuagiques pour gérer votre infrastructure infonuagique et optimiser les coûts. Ce faisant, vous réduirez le fardeau du personnel des TI à chaque étape du processus.
La réglementation évolue
Comprendre le contexte réglementaire et adapter le nuage efficacement
Les secteurs fortement réglementés doivent se conformer à des règles strictes susceptibles de ne pas être compatibles avec les systèmes infonuagiques. L’évolution de la réglementation est un phénomène complexe suscitant des interrogations et des incertitudes concernant la manière de s’y conformer et d’apporter une gouvernance efficace.
Par exemple : une banque d’envergure désirait automatiser ses tactiques de sécurité infonuagiques à l’aide des fonctionnalités originales d’Azure et d’AWS, tout en veillant à ce que les directives soient fiables et produisent les résultats visés au moyen de tests en deux étapes. Disposant déjà d’une structure de soutien dans Azure et AWS, la banque voulait s’assurer de remplir les objectifs de contrôle infonuagique, quel que soit l’environnement technologique ou infonuagique utilisé, tout en se conformant aux pratiques de pointe du secteur.
Pour y parvenir, nous avons analysé plus de 200 exigences de contrôle de la sécurité infonuagique et élaboré une logique stratégique afin d’évaluer si les mesures de contrôle d’une ressource donnée étaient suffisantes – ou non. Nous avons créé plus de 150 directives supplémentaires en deux étapes à l’aide de HashiCorp Sentinel, Azure Policy et AWS Config, en utilisant des fonctionnalités génériques pour appliquer les contrôles. D’autres étapes ont suivi.
Ces mesures ont établi des pratiques d’intégration et de déploiement continus ainsi que de développement contrôlé par Git, tout en permettant l’exploration de mécanismes de codage tels que l’injection de paramètres.
Chacune des étapes a aidé la banque à intégrer des mécanismes de codage flexibles qui ont facilité l’adaptation à un contexte réglementaire en constante évolution. Cette approche axée sur l’humain pour l’optimisation infonuagique peut s’avérer utile pour toute entreprise évoluant dans un secteur réglementé.
La souveraineté des données doit être considérée
Conserver les données en sol canadien et bien les protéger
Les entreprises désirent que les données des consommateurs demeurent stockées en sol canadien plutôt que chez un tiers à l’étranger. Ce type de souveraineté des données est particulièrement pertinent pour les organisations du secteur gouvernemental et public.
Pour répondre à ces exigences, il est nécessaire de choisir un fournisseur de services infonuagiques qui dispose de centres de données locaux, situés dans le pays et procédant à la collecte et au traitement des données. De cette manière, les données demeurent au sein du pays et sont assujetties aux lois nationales sur la protection des données. Par la suite, les organisations sont en mesure de procéder au chiffrement des données afin de protéger les données sensibles lorsqu’elles sont transmises et stockées.
Les entreprises doivent envisager le chiffrement des données au repos et en mouvement de sorte à les protéger des accès non autorisés. Il est primordial d’élaborer une stratégie de gouvernance des données afin de les gérer conformément à la réglementation locale et de s’assurer qu’elles sont utilisées de façon éthique et responsable.
Une perte de contrôle est à craindre
Gérer les données, et atténuer les risques liés à la confidentialité et à la conformité
La sous‑traitance d’aspects des services de TI à un fournisseur de services infonuagiques suscite chez de nombreuses entreprises la crainte d’une perte de contrôle quant à la gestion et la maintenance des données. Cela peut poser un risque en matière de protection des données des clients et d’exigences de conformité.
Pour surmonter cet obstacle, les organisations doivent adopter une approche holistique. Il est important d’avoir une vue d’ensemble qui englobe la gestion des risques, la main‑d’œuvre, la gouvernance, la technologie et les activités de l’entreprise. Cela vous aidera à moderniser votre entreprise de manière à avoir une incidence positive sur l’ensemble de vos fonctions, et non pas sur une fonction à la fois. En soi, l’établissement d’une approche holistique englobe toutes les dimensions, y compris les enjeux mentionnés précédemment, tout en créant une stratégie infonuagique.
Choisissez un fournisseur de services infonuagiques bénéficiant d’une solide réputation en sécurité et en protection des données, qui fait également preuve de transparence quant à ses pratiques de sécurité et de conformité à la réglementation. De plus, il est important d’établir des contrôles d’accès clairs concernant les données dans le nuage. Ces contrôles couvrent tout autant les personnes autorisées à accéder aux données que les périodes d’accès ou l’utilisation qui en est faite. En outre, songez à instaurer une vérification régulière de la sécurité au cœur du processus. De cette façon, les organisations peuvent mieux détecter et éliminer les vulnérabilités afin de protéger les données dans le nuage.
Résumé
Réévaluer les modèles infonuagiques actuels à l’aide d’une approche axée sur l’humain aide les utilisateurs qui travaillent, innovent, collaborent et entrent en contact dans votre nuage à tirer le maximum de ses capacités. Bien que les chefs de l’information et d’autres dirigeants éprouvent une certaine fatigue après une vague de déploiements infonuagiques, ce n’est pas le moment de baisser les bras. Il faut plutôt aider les parties prenantes à se familiariser avec l’infonuagique et à en prouver la valeur. Évitez les stratégies vite faites et tournez‑vous vers une approche infonuagique continue et évolutive. Soyez à la recherche d’un modèle permanent de mise en œuvre du nuage, d’évaluation de son efficacité et d’ajustements à intervalles réguliers. Enfin, dégagez dorénavant un meilleur RCI du nuage.
Communiquez avec nous
Vous avez aimé? Communiquez avec nous pour en savoir davantage.