Évaluer la sécurité d’un projet Cloud et la gérer au quotidien

Elles se retrouvent rapidement dans une situation hybride avec une partie de leur système d’information sur le Cloud, voire sur différents Cloud, et une autre continuant d’exister au sein même de l’entreprise.

Évaluer la sécurité d’un projet Cloud et la gérer au quotidien, Ce découpage généralement suit une typologie particulière :

1.    D’un côté, les systèmes d’engagement qui permettent de se connecter avec les clients et les partenaires.  On trouve dans cette catégorie le CRM, la gestion des partenaires, le courrier électronique, les outils collaboratifs … Ces systèmes mettent en œuvre des fonctions génériques et critiques pour l’entreprise, devant fonctionner en 24 x 7 et évoluer très fréquemment pour rester à l’état de l’art. Vouloir maintenir et gérer de tels systèmes en propre induit des coûts de détention prohibitifs. Ainsi, ces systèmes sont les premiers à faire l’objet d’une migration vers le Cloud.

2.    De l’autre côté, les systèmes dits d’enregistrement parmi lesquels on trouve les ERP, les systèmes de contrôle financier, de gestion de la production, les systèmes RH. C’est sur ces systèmes que repose  le métier de l’entreprise et ils sont souvent l’aboutissement d’années de travail et d’amélioration continue. Ils ne font généralement pas partie des plans de migration vers le Cloud.

D’après le cabinet d’analystes Forrester¹, 24 % des entreprises se trouvaient déjà dans cette situation hybride fin 2012. Ces entreprises sont face à deux problèmes majeurs :

1.    Un problème technique d’intégration entre le on-premise et le Cloud.
2.    Un problème de sécurité de ces données.

L’utilisation de passerelle d’API permet de résoudre les problèmes d’intégration entre des applications existantes utilisant une logique de type SOA et des applications dans le Cloud proposant des API de type JSON/REST.

La sécurité des données dans le Cloud est moins évidente. Les données présentes dans le Cloud concernent les clients, les partenaires et des processus collaboratifs mis en œuvre par l’entreprise.

Ces données sont donc sensibles et l’entreprise ne peut se permettre d’ignorer les problèmes de sécurité sous-jacents.

Là encore, la passerelle d’API peut contribuer à sécuriser ce nouveau type de flux de données en ajoutant des fonctions de type gestion d’identité, filtrage de données, chiffrement de données, sécurisation des accès aux fonctions de médiation évoquées précédemment.

Au-delà du choix du ou des prestataire(s) de services Cloud selon les solutions apportées en termes de sécurité, la sécurisation des données échangées dans un tel cadre passe par la définition et la gouvernance des flux de données associés et la réponse aux questions :

•    Qui sont les participants ? Comment les identifier ? Quels droits ont-ils ? Comment faire correspondre leur identité avec les modèles d’authentification existants dans le système de gestion d’identité et d’accès de l’entreprise ?
•    Quel est l’objet de l’échange ? Quelles sont les données échangées ? Quel niveau de sécurisation mettre en œuvre ?
•    Comment assurer, en toute transparence, la traçabilité des échanges et l’application des règles de sécurité mise en œuvre ?

La mise en place d’une infrastructure de gouvernance des flux de données permettra de mettre en œuvre et d’appliquer les règles et directives répondant à ces questions.
La passerelle d’APIs sera un composant clef d’une telle infrastructure. Elle va permettre, d’une part la réalisation de l’interaction entre les différents composants du système d’information hybride et d’autre part la sécurisation à tous les niveaux du flux de données associé.

Enfin, une passerelle d’APIs peut être placée et de façon non exclusive dans la DMZ, au sein du réseau d’entreprise ou même directement dans le nuage. Dans ce dernier cas, l’entreprise gérera sa sécurité bien au-delà de ses frontières naturelles et percevra, finalement, le Cloud comme un élément de sécurité plutôt que comme une menace.

La passerelle d’API devient ainsi un élément important sur un marché de la sécurité dans le Cloud que le cabinet d’analystes Gartner² évalue à 3,1 milliards de dollars en 2015.

¹Forrester, The Hybrid² Integration Challenge by Stefan Ried, Ph.D., May 1, 2013
?Gartner, Market Trends: Cloud-Based Security Services Market, Worldwide, 2014, October 15, 2013