Cloud hybride : trois règles d’or pour sécuriser son infrastructure

De plus en plus d’entreprises se tournent vers le cloud hybride pour allier les avantages des cloud publics et privés. Selon Gartner, la moitié des grandes entreprises devraient adopter ce type de déploiement d’ici fin 2017.

Les phases de déploiement sont des moments critiques pour l’entreprise, il est important de bien les préparer en amont afin de réduire les risques, d’assurer l’accès aux données en temps réel et de respecter les règles de conformité européennes. Pour mener à bien cette mission, trois règles sont à respecter :

1/ Avoir une bonne connaissance de l'infrastructure et de son environnement

La première étape est de mieux connaître son environnement informatique afin de pouvoir prendre en considération l’ensemble des éléments, qu’il s’agisse du caractère des données stockées ou des applications installées. Une fois ce travail effectué, il faut se concentrer sur les éléments à migrer et s’assurer de la compatibilité de ces derniers avec les technologies choisies pour l’infrastructure hybride.   

Cette analyse globale de la situation ne doit pas s’arrêter à l’entreprise en elle-même, il faut également comprendre les menaces pesant sur le marché : des entreprises concurrentes ont-elles été victimes d’attaques ou de problèmes informatiques spécifiques ? Si oui, par quels biais sont passés les cybercriminels et quelles ont été les conséquences ? Il est important d’apprendre de ses propres erreurs, mais aussi de celles des autres acteurs du marché.

 2/ Développer un plan stratégique et bien s’entourer

Avant d’effectuer la migration des données, il faut d’abord établir un plan stratégique clair et complet couvrant l’ensemble du processus, de la migration au déploiement. Envisager les éventuelles difficultés permet de mieux s’y préparer.

Ce plan doit également définir le profil de prestataire recherché : l’entreprise veut-elle privilégier la performance ou l’accompagnement client ? Quelles technologies doit absolument utiliser le prestataire ? Pour faciliter le choix, différentes certifications existent, elles représentent un bon indicateur de fiabilité mais ne doivent pas être le seul élément décisif. Deux clouds peuvent en effet avoir les mêmes certifications mais présenter des profils de risque différents. Comprendre ces profils permet de mettre en place les outils de sécurisation adéquats. 

La conformité est un point essentiel, les solutions et le prestataire choisis doivent respecter l’ensemble des normes de sécurité et de confidentialité des données, y compris les accords spécifiques aux marchés verticaux (santé, banque, etc.). La législation évolue constamment, et le prestataire doit donc se préparer en amont de chaque réforme pour pouvoir assurer immédiatement la conformité.

Enfin, la transparence est un élément très important chez un prestataire – ce dernier doit être honnête sur les risques encourus par l’entreprise, en fonction du domaine d’activité mais aussi des technologies mises en place. Il doit ainsi expliquer quels sont les menaces et comment l’infrastructure est sécurisée au mieux. 

3/ Utiliser toutes les ressources disponibles et tester régulièrement 

Les premières étapes vont révéler plusieurs menaces pesant sur l’infrastructure, mais il existe tout autant de solutions et de pratiques pour les contrer : double authentification, gouvernance, cryptage, etc. Le mise en place de ces outils permet une meilleure sécurisation.

Mais l’informatique est un secteur en constante évolution, le fait qu’une infrastructure soit sécurisée et conforme aujourd’hui, ne veut pas dire qu’elle le sera dans les prochains mois. C’est pourquoi des tests réguliers sont à préconiser. Ils permettent de vérifier que le système peut combattre les dernières menaces répertoriées, ou encore que l’entreprise est bien conforme aux dernières réglementations.

Les tests et les monitorings en temps réel permettent notamment de repérer les vulnérabilités avant que les potentiels cybercriminels ne le fassent. L’entreprise peut ainsi, avec l’aide de son prestataire, pro-activement combler les failles et éviter une attaque.

Comme dans tout domaine professionnel, un projet mal préparé comprend de nombreux risques – l’informatique ne fait pas exception.   Ces trois règles permettent de s’assurer que le projet de cloud hybride est fiable et minimisent ainsi les risques liés à un changement d’infrastructure et à une migration. 

Chiffrement / Gouvernance