La sécurité, le nouvel atout et facteur de création de valeur du cloud

Le cloud suscite paradoxalement engouement et méfiance. Mais la complexité des questions de sécurité et les incertitudes sur l'évolution de la réglementation ne doivent pas encourager l'attentisme. Il est possible de tirer parti des bénéfices stratégiques du cloud en confiance à condition d'adopter une approche proactive de la cybersécurité, reposant sur la prise de conscience partagée par toute l'entreprise que la sécurité n'est pas un frein mais un atout et un facteur créateur de valeur.

Dans un contexte de crise sanitaire, marqué notamment par la généralisation du télétravail et de l’e-commerce, le cloud a fait la démonstration de ses atouts en termes de continuité d’activité, d’agilité et de puissance d’innovation. Son adoption s’est naturellement accélérée et imposée comme un impératif dans l’agenda de presque toutes les entreprises.

Néanmoins, le cloud suscite paradoxalement engouement et méfiance. S’il est considéré aujourd’hui comme l’accélérateur de la transformation (numérique) des entreprises, il est en même temps perçu comme le vecteur principal d’augmentation du risque, notamment de cyberattaques. Les différents incidents (souvent médiatisés) et les questions de souveraineté entretiennent ainsi un climat de défiance et freinent encore cette migration. Une étude menée par Accenture[1], auprès de cadres dirigeants, a récemment révélé que « les risques liés à la sécurité et à la conformité » sont considérés comme le principal obstacle qui empêche de tirer pleinement profit du cloud.

Une stratégie nationale pour le Cloud visant à instaurer un environnement conciliant sécurité, souveraineté et compétitivité

Les contours de la stratégie nationale pour le Cloud, présentée récemment par le Gouvernement démontrent qu’un besoin nouveau et central émerge aujourd’hui sur le marché : les entreprises entendent profiter « en confiance » des bénéfices du Cloud, c’est-à-dire en maîtrisant les risques posés notamment en termes de souveraineté et d’éventuelle dépendance technologique, d’application de lois extraterritoriales contraires, ou encore de confidentialité des données.

En effet, le plan dévoilé par le Gouvernement repose sur trois axes : un nouveau label « Cloud de confiance » (qui permettra aux entreprises et administrations françaises de bénéficier des meilleurs services Cloud mondiaux tout en respectant les valeurs européennes et en assurant la protection des données), une politique « Cloud au centre » visant à moderniser l’action publique grâce aux technologies du Cloud (en engageant les administrations sur la voie d’une transformation numérique de qualité) et enfin un soutien public au développement d’offres Cloud françaises, innovantes et compétitives dans le cadre du Plan de relance et du 4ème Plan d’Investissement d’Avenir (PIA).

Cette stratégie nationale, qui vise à impulser une nouvelle ambition vers le Cloud au sein des entreprises et des administrations, répond d’ores et déjà à un certain nombre d’enjeux et permettra sans nul doute de renforcer la confiance envers cette technologie.

La vulnérabilité du Cloud n’est pas une fatalité

Les débats autour de la souveraineté ne doivent cependant pas occulter le sujet de la sécurisation des usages du Cloud. En effet, contrairement à une idée répandue, la principale cause de vulnérabilité n’est pas liée aux fournisseurs de services (qui comptent parmi les entreprises qui investissent le plus dans la cybersécurité) mais à une mauvaise configuration des ressources[2] lors de la migration vers le cloud et aux comportements hasardeux des utilisateurs. La maîtrise des risques nécessite donc de changer de paradigme, car il ne s’agit pas d’appliquer d’anciennes recettes à ce nouvel élément qui prendra une place de plus en plus conséquente dans les entreprises. Ces dernières doivent devenir des acteurs de leur cybersécurité, en la considérant comme un accélérateur de leur migration vers le cloud et un avantage compétitif.

Il ne s’agit pas de nier la complexité du sujet, mais de le démystifier et d’adopter une approche qui permette à chaque entreprise de construire son propre cloud de confiance en fonction de sa sensibilité au risque. En effet, un cloud sécurisé n’est pas un produit standardisé. Il est le fruit d’une démarche qui doit encourager chaque organisation à rechercher un équilibre entre l’optimisation du risque et la prise en compte des contraintes (coûts, limitation technologique, conformité ...).  Il n’est pas non plus une solution figée : la sécurité doit s’adapter aux évolutions de l’entreprise et de son environnement cloud.

En ce sens la sécurité du cloud est l’affaire de tous. Elle doit s’appuyer sur 5 points fondamentaux que sont la formation (de l’ensemble des acteurs), la réflexion sur la stratégie de sécurité à mettre en place, l’automatisation du déploiement de la sécurité, l’anticipation des évolutions technologiques et réglementaires ainsi que sur la mise en œuvre de moyens forts de détection et réponses aux incidents

C’est pour cela que la sécurité du cloud est semblable à la sécurité routière, qui ne s’améliore depuis quarante ans que grâce à l’action collective des pouvoirs publics (renforcement de la réglementation et des contrôles), des constructeurs (véhicules plus sûrs grâce à de nouvelles technologies comme l’ABS et l’airbag) et des automobilistes (évolution des comportements grâce à une meilleure éducation au risque).

La complexité des questions de sécurité sur le cloud et les incertitudes sur l’évolution de la réglementation ne doivent pas encourager l’attentisme. Il est possible de tirer parti des bénéfices stratégiques du cloud en confiance à condition d’adopter une approche proactive de la cybersécurité. Celle-ci repose d’abord sur la prise de conscience partagée par l’ensemble de l’entreprise que la sécurité n’est pas un frein mais un atout et un facteur de création de valeur.
 

Alexis de Calan, Directeur Associé Sécurité chez Accenture France

[1] https://www.accenture.com/fr-fr/insights/security/secure-cloud

[2] Source gartner