Cloud et sécurité peuvent-ils cohabiter?

mercredi, 13.06.2018

Thierry Blanc*

Directeur de la gouvernance DFI Service.

Le Cloud fait aujourd’hui partie des mots tendances que toute personne se doit de prononcer au moins une fois par jour dans les conversations. Le Cloud, souvent traduit par, informatique en nuage, consiste à exploiter du calcul et du stockage sur des serveurs informatiques distants. Plus simplement, cela consiste à dire que les serveurs et les applications informatiques ne résident plus dans l’entreprise mais sur internet. Les accès sont certes facilités, mais qu’en est-il réellement de la sécurité de vos données?

Pour le client, le passage au Cloud présente de nombreux intérêts: Tout d’abord il simplifie la gestion de son informatique. Le client n’a plus à se soucier de l’installation, de la maintenance ou même de l’administration. Ces activités étant prises en charge par le fournisseur de Cloud. En terme de budget, la maîtrise est simplifiée car les coûts sont des coûts d’exploitation (OPEX) et non plus d’investissement (CAPEX). Enfin, concernant l’accès il est possible d’accéder à ses données à travers un simple navigateur que ce soit, via un ordinateur, une tablette ou même un smartphone. D’une certaine façon le client atteint son objectif, celui de se concentrer sur ses activités métiers.

Où-sont concrètement ces données? La localisation géographique des données n’était pas un problème lorsque les traitements informatiques étaient gérés en interne. Les principaux fournisseurs de Cloud utilisent des centres de données répartis dans le monde entier et les données peuvent transiter d’une localisation à une autre en fonction de différents. Afin de pallier à ce problème, les fournisseurs d’accès ont amélioré leur offre en permettant aux utilisateurs de choisir dans quel pays ils souhaitent déposer leurs données. Toutefois, le recours à des fournisseurs soumis à la législation américaine, et notamment au Patriot Act ou Cloud Act, n’est pas sans conséquence.

Qu’en est-il de la sécurité? Il est certain que le passage au Cloud demande un changement d’approche:

Le fait d’abandonner la gestion technique et opérationnelle des infrastructures doit être nécessairement compensé par une meilleure connaissance des prestations du fournisseur. (nationalité, législation, sécurité des données, processus de réversibilité, etc...)

Il faut également mieux encadrer les pratiques des utilisateurs: à titre d’exemple, la question de la sécurité des moyens d’authentification devient beaucoup plus cruciale quand les données de l’entreprise sont accessibles depuis n’importe quel poste connecté à Internet.

Globalement, la mise en œuvre de ces nouveaux services suppose une révision complète des procédures et des mesures de sécurité à mettre en œuvre au sein de l’entreprise et avoir une approche centrée sur la gestion des risques est probablement la meilleure démarche à suivre.

Plus de 7 entreprises sur 10 ont déjà franchi le pas de Cloud, avec des promesses de gains financiers, mais sans avoir nécessairement pris conscience des implications de cette transition. Faire de la sécurité, c’est avant tout gérer des risques et faire des choix. L’objectif final étant de protéger ses informations contre le vol, la fuite, ou la suppression de données.

*Directeur de la gouvernance DFI service






 
 

AGEFI



 
...