La sécurité des données sur un petit nuage
Le moment me semble venu de se rendre à l’évidence : un DSI a peut-être plus de raisons d’être inquiet au sujet de la fiabilité et de l’intégrité de ses données quand elles ne sont sauvegardées ou disponibles que sur site
Une analyse de quatre facteurs clés achèvera de nous en convaincre ; passons donc en revue ces facteurs que je définis autour de l'expertise opérationnelle, du contrôle effectif des environnements, des architectures de chiffrement et de l'existence d'une infrastructure redondante.
Tous ces facteurs peuvent être réunis sur site. Cela peut néanmoins rapidement se révéler coûteux et difficile, en particulier quand il s'agit d'en disposer pour des processus qui ne sont pas essentiels à une entreprise. Par essentiel, j'entends tout ce qui distingue une entreprise d'une autre aux yeux de ses clients, comme le type de produits ou de services fournis par l'entreprise. Le reste appartient au "contexte", notion importante certes, mais qui n'affecte pas l'activité de l'entreprise dans la même mesure.
Le transfert des fonctions 'contextuelles' dans le cloud peut à mon avis permettre aux entreprises de réduire les coûts et d'exploiter ces économies au profit des fonctions essentielles.
L'Expertise opérationnelle
Les fonctions de sécurité doivent être planifiées et intégrées à tous les éléments de la solution, même aux composants qui ne sont pas essentiels aux besoins des clients. Par exemple, acquérir une grande partie des composants de la pile technologique SaaS assure à une entreprise des cycles de développement des logiciels sûrs, garantissant ainsi l'application de pratiques d'excellence en matière de sécurité pour les logiciels, les outils, les processus et les systèmes de surveillance essentiels à son activité.
Une solution en cloud apporte également le bénéfice d'une équipe dédiée à la surveillance, à la sécurité, à l'architecture, au développement de la plate-forme, à la conformité et à l'ingénierie. Disposer d'une équipe dédiée et spécialisée garantit donc une expertise optimale de la solution, et améliore la sécurité dans la mesure où les vulnérabilités apparaissent souvent lorsque la technologie est implémentée sans le niveau de compétence requis.
Grâce à des processus de validation et d'audit continus, les solutions en cloud garantissent à l'entreprise que toutes les opérations requises sont réalisées par le biais des mécanismes les plus aboutis, par exemple des audits SAS 70 de type II, des audits internes ou des contrôles de sécurité.
En outre, les services en cloud doivent fonctionner à grande échelle pour les applications spécifiques que l'on ne trouve pas dans une entreprise classique, ce qui exige en retour une automatisation grâce à laquelle toutes les tâches à exécuter le sont au moment approprié.
Environnements contrôlés
Une solution SaaS exige un environnement évolutif, conçu pour réaliser une tâche (ou un ensemble de tâches) de façon automatisée, répétée et fiable. Les fournisseurs de solutions en cloud utlisent donc des environnements homogènes du point de vue de la surveillance OS, et même du point de vue du matériel, celà pour améliorer la visibilité et diminuer d'autant l'exposition aux risques.
Dans ces environnements, la hiérarchie des accès est parfaitement maîtrisée. Il existe en effet des contrôles rigoureux afin de déterminer qui peut faire quoi et quand, une méthode qui doit être de fait automatisée afin d'améliorer encore davantage le niveau de sécurité.
Architecture de chiffrement des données
Les fournisseurs de solutions d'entreprise en cloud doivent s'assurer que les données sont chiffrées en transit et ailleurs, où qu'elles se trouvent. Il est pour cela essentiel d'utiliser des clés de chiffrement séparées des données ou de l'application.
L'une des options possibles consiste à sauvegarder les données dans le cloud et de disposer des clés sur site. Ou d'avoir un cloud où les clés sont gérées et sauvegardées et un autre cloud pour le chiffrement et le déchiffrement des données. Ces clouds doivent communiquer via des protocoles contrôlés, pour empêcher que des utilisateurs non autorisés n'aient accès aux deux clouds.
Infrastructure redondante
Pour assurer une fourniture efficace des services dans plusieurs centres de données et à grande échelle, les solutions en cloud exigent une infrastructure redondante. Elle doit se trouver au coeur de l'architecture afin de garantir une fiabilité et une reprise sur sinistre optimales.
La redondance est souvent négligée car complexe, pas toujours abordable, sans compter qu'elle n'est souvent envisagée qu'après-coup. Elle offre pourtant une sécurité supplémentaire. Si des pirates ciblent un centre de données, les autres centres de données continueront de fonctionner.
Une entreprise qui opte pour des solutions SaaS réunissant ces quatre facteurs est certaine que ses données sont fiables et en sécurité, même dans le cloud.