Verrouillez votre cloud !

Les professionnels informatiques considèrent la sécurité comme l'un des principaux freins à l'adoption du Cloud. Pourtant, ce n’est qu’un environnement de plus dont la sécurité doit être perçue comme un atout plutôt que comme un frein.

Beaucoup d'entreprises considèrent que l'adoption de toute forme de Cloud Computing modifie leur profil de risque. Pourtant, à moins d'avoir véritablement envie de se mettre en danger, la vulnérabilité d'une entreprise ne devrait pas augmenter que l'on adopte un cloud public ou privé.

Vu le niveau actuel de maturité du marché, où les décisions concernant la migration vers le cloud sont départementalisées, il arrive assez couramment que des départements métiers contournent les procédures de sécurité appliquées par la direction du système d'information (DSI) pour recourir unilatéralement à des services de Cloud (de SaaS en particulier). Cela sans prendre en compte les risques encourus.

Avant de donner les clés du cloud aux métiers, l'entreprise doit évaluer les différentes options qui s'offrent à elle en matière de déploiement (SaaS, PaaS ou IaaS ; hébergement interne ou externe ;  déploiements publics et privés). Elles doivent également comprendre comment sont organisés leurs propres services sur site et identifier ceux prêts à migrer vers le cloud. En optant pour le Cloud public, il faut comparer les différents fournisseurs et garanties de niveaux de service offerts (comme pour une externalisation classique). Puis, comme pour tout ce qui touche à la sécurité, en adoptant une approche basée sur le risque et contrastée par les dépenses et la valeur liées aux métiers. Les entreprises peuvent ainsi mettre en place un dispositif d'aide à la décision pour définir leur profil de risque (plus ou moins élevé) en fonction du degré d'exposition qu'elle souhaite encourir.

Aujourd'hui, de par son adoption massive et la croissance rapide qu'on lui prédit, le cloud s'impose comme une tendance lourde. L'abaissement des dépenses, la flexibilité et les opportunités qu'il génère, rendent le cloud évident pour bon nombre d'entreprises.

La DSI doit néanmoins rester proactive et s'approprier rapidement le cloud, car elle a l'opportunité de faire de la sécurité un atout plutôt qu'un frein pour cet environnement. Le cloud est un argument économique irrésistible, et il est peu probable qu'un cadre cesse d'utiliser un service simplement parce que ses vulnérabilités potentielles n'ont pas été étudiées (ce qui, à l'inverse, poserait un souci à n'importe quel responsable de la gestion des risques, de la sécurité et de la conformité). Cette tendance s'observe dans beaucoup d'entreprises. Les résultats d'une étude sur la sécurité commandée par CA Technologies indiquent notamment que :

·  49 % des entreprises interrogées utilisent des applications de cloud computing sans en avoir correctement examiné les risques en matière de sécurité ;

·  68 % considèrent que le DSI n'est pas responsable de la sécurité des ressources de cloud computing de leur entreprise.

Notons également que les partisans du cloud mettent souvent en avant la possibilité pour l'entreprise d'acheter elle-même ses services informatiques, et donc de contourner entièrement la DSI. À l'arrivée, les directions informatiques résistant au mouvement vers le cloud seront mises sur la touche.

Le cloud n'est qu'un nouveau modèle informatique qui doit coexister avec d'autres plateformes traditionnelles. Les organisations ne devraient pas instaurer de nouvelles politiques pour le sécuriser : au lieu de cela, elles devraient considérer leur environnement dans son intégralité, y compris le cloud, et concevoir un ensemble de politiques assez cohérent pour qu'il s'infiltre dans tous les niveaux de l'infrastructure informatique (traditionnelle ou de nouvelle génération).

Dans le même temps, les modèles de sécurité classiques sont en train de s'ajuster à cette nouvelle donne. Prenons l'exemple de la prolifération des données : l'un des principaux défis pour les entreprises est d'identifier les données pouvant être migrées vers le cloud en restant opérationnelles. Aujourd'hui, l'informatique étant distribuée ou « dans les nuages », il suffit d'un clic pour la diffuser dans le monde entier. Dans la plupart des cas, nous ne contrôlons que très peu l'information utilisée et partagée, ainsi que l'identité de celui qui la sollicite. Et avec le volume gigantesque de données que nous traitons et partageons chaque jour, la traçabilité et le contrôle des données est quasiment impossible.

Le cloud s'étend, par nature, au-delà des barrières physiques de l'entreprise et est logiquement partagé avec d'autres utilisateurs. À l'évidence, le périmètre de sécurité dessiné par les procédures classiques n'est pas suffisant pour contrôler les données et leurs mouvements vers et dans le cloud. Dans un environnement de cloud computing, il est essentiel d'adopter une approche de protection et de contrôle de l'information orientée sur les identités. Les solutions de prévention de pertes de données orientées sur le contenu nous permettent de comprendre que l'information se trouve dans nos fichiers et documents. Tandis qu'une approche orientée sur les identités apporte de la cohérence au flot de données et permet de leur donner un contexte en fonction des identités, des droits d'accès et des utilisations (envois par e-mail, copies, impressions, ...etc.).

De fait, les technologies de prévention de pertes de données doivent être plus centrées sur les identités et permettre l'intégration avec les technologies de gestion des identités et des accès (Identity and Access Management - IAM). Et à l'inverse, la gestion des identités et des accès doit  être davantage orientée contenu afin de fournir un niveau de contrôle favorisant le partage d'informations tout en réduisant les risques. Enfin, il est essentiel d'appliquer une gestion des identités et des accès orientée-contenus afin de s'assurer que seules les données appropriées soient migrées vers le cloud.