Stratégie cloud first : opportunités et défis

Les dernières recommandations des responsables de la sécurité des systèmes d'information à l’adresse des entreprises qui placeraient toutes leurs données dans le cloud seraient d’aller vers un système plus hybride

Le cloud public apporte aux entreprises de nombreux avantages, parmi lesquels une plus grande évolutivité, une plus grande souplesse et la réduction des coûts. Si les plus grands fournisseurs de cloud public offrent un service robuste et fiable, il leur arrive d’accuser des pannes, et celles-ci font inévitablement les gros titres. Les incidents médiatisés récemment suscitent un vrai questionnement sur la stratégie cloud-first et ses limites.

Ainsi les dernières recommandations des responsables de la sécurité des systèmes d'information (RSSI) à l’adresse des entreprises qui placeraient toutes leurs données dans le cloud seraient d’aller vers un système plus hybride car, à l’aune de ces récents événements, il n’est pas infondé de dire que le risque de placer toutes ses données dans un cloud unique est réel. Il ne s’agit pas de refondre complètement sa stratégie cloud first mais de disposer de systèmes résilients.

Au cours des dernières années, la stratégie consistant à aller de plus en plus vers le cloud public a connu une adhésion massive au sein des DSI des grandes entreprises. Ainsi cette stratégie se traduit dans les faits par un déploiement systématique de nouvelles applications dans la mesure du possible dans le cloud et c’est seulement en cas d’impossibilité que ces dernières sont déployées dans un autre environnement cloud. Cette tendance forte a suscité un réel enthousiasme mais, les entreprises réfléchissant désormais à la prochaine étape, il est nécessaire de se poser certaines questions. Est-ce vraiment la meilleure stratégie à adopter dans tous les cas ? Peut-elle évoluer et s’adapter pour répondre à tous les besoins futurs de l’entreprise ?

La stratégie cloud first a été établie en partant du principe que les fournisseurs de cloud public étaient les mieux armés pour proposer les datacenters les plus sécurisés et les plus résilients du marché grâce à leur taille et leur expertise. Néanmoins, il est essentiel que les entreprises comprennent bien les rôles et les responsabilités établies dans les accords de niveaux de service (SLA).

Les engagements des fournisseurs de cloud public portent en général plutôt sur la disponibilité des systèmes que sur les données elles-mêmes. Il en résulte que la sécurisation et la protection de ces dernières est la responsabilité de l’entreprise. Il reste un gros travail de sensibilisation à faire au sein de ces dernières s’agissant de ces données et de leur maîtrise. Comment les stocker ? Où sont-elles stockées ? Qui les gère ? Qu’adviennent-elles en cas de sinistre ? Quid de la reprise après incident ? Bien souvent, ces questions restent en suspens.

Ainsi à titre d’exemple, avec Microsoft Office 365, Microsoft fournit tous les outils nécessaires au fonctionnement d’une messagerie. Néanmoins, les organisations restent tributaires de l’infrastructure de Microsoft, et notamment de la résilience et de la fiabilité de ses data centers. De ce fait, Il est indispensable de disposer d’une solution permettant de conserver une sauvegarde de l’ensemble de ses données de messagerie en ligne - et au-delà, de sa suite collaborative en ligne – hors du cloud Microsoft. Ces données de secours peuvent être hébergées dans le datacenter du client, ou chez un autre acteur du cloud. Il s’agit de la seule solution pour se prémunir à la fois de la perte d’accès, de la perte de données, et garantir une réversibilité.

Du point de vue des données, Il y a deux aspects prioritaires à prendre en considération dans le cadre de la définition d’une stratégie cloud. Ainsi lorsque les cloud publics tombent en panne, dans le cas d’une mauvaise manipulation ou d’une perte de données, ces derniers n’endosseront pas la responsabilité de ces dommages, qui reste du fait du client. A lui de prévoir une copie sécurisée

Quant à la résilience, il est possible que les SLA soient fixés à un niveau de service de 99,9%, mais uniquement en matière de disponibilité du réseau et de pérennité de l’infrastructure. La disponibilité des données reste alors la responsabilité de l’entreprise, qui doit mettre en place des procédures de gestion et de protection des données grâce à l’adoption de méthodes intelligentes qui permettront de garantir la disponibilité des données d’entreprise. Il ne suffit pas de se contenter de disposer d’un simple jeu de ses données sécurisé en cas de besoin mais d’avoir également la possibilité de redémarrer ses systèmes critiques et de les faire fonctionner dans son data center en cas de panne des acteurs de cloud public.

Au même titre que le multi-cloud devient de plus en plus populaire, le défi pour les entreprises est de mettre en place une approche de protection des données hybride qui intègre des services cloud disparates et automatise le mouvement des données au sein de plusieurs workloads, à l’endroit et au moment où elles sont nécessaires. Sous cette désignation, il s’agit d’adresser la protection des données et des systèmes qui sont hébergés dans des clouds publics pour qu’en cas de besoin l’entreprise soit capable de les redémarrer même en mode dégradé ou qu’elle puisse a minima faire fonctionner ses systèmes dans son data center en attendant un retour à la normale.

Le cloud public doit donc également être perçu comme un moyen de reprise après sinistre. Il faut savoir mettre en place la démarche inverse à savoir disposer des données stockées dans le data center de l’entreprise en ayant recours au cloud public comme un moyen de secours pour redémarrer le système à l’instar des dernières recommandations proposées par le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) qui regroupe des RSSI de grandes entreprises

Si la stratégie cloud first nécessite désormais des ajustements, ces derniers passent par l’adoption de solutions de protection de données multi cloud qui sachent anticiper de manière intelligente et répondre aux exigences des données partagées entre différents clouds, les clouds privés, les data centers, les clouds publics et entre les clouds publics eux-mêmes. 

Autour du même sujet

Stratégie cloud first : opportunités et défis
Stratégie cloud first : opportunités et défis

Le cloud public apporte aux entreprises de nombreux avantages, parmi lesquels une plus grande évolutivité, une plus grande souplesse et la réduction des coûts. Si les plus grands fournisseurs de cloud public offrent un service robuste et fiable, il...