Loading

Évaluer la sécurité d’un projet Cloud et la gérer au quotidien

Aujourd’hui, la plupart des entreprises utilisent ou envisagent d'utiliser des services sur le Cloud.

Elles se retrouvent rapidement dans une situation hybride avec une partie de leur système d'information sur le Cloud, voire sur différents Cloud, et une autre continuant d'exister au sein même de l’entreprise.

Ce découpage généralement suit une typologie particulière :

1.    D'un côté, les systèmes d’engagement qui permettent de se connecter avec les clients et les partenaires.  On trouve dans cette catégorie le CRM, la gestion des partenaires, le courrier électronique, les outils collaboratifs … Ces systèmes mettent en œuvre des fonctions génériques et critiques pour l’entreprise, devant fonctionner en 24 x 7 et évoluer très fréquemment pour rester à l'état de l’art. Vouloir maintenir et gérer de tels systèmes en propre induit des coûts de détention prohibitifs. Ainsi, ces systèmes sont les premiers à faire l'objet d'une migration vers le Cloud.

2.    De l'autre côté, les systèmes dits d’enregistrement parmi lesquels on trouve les ERP, les systèmes de contrôle financier, de gestion de la production, les systèmes RH. C’est sur ces systèmes que repose  le métier de l'entreprise et ils sont souvent l'aboutissement d'années de travail et d'amélioration continue. Ils ne font généralement pas partie des plans de migration vers le Cloud.

D’après le cabinet d'analystes Forrester1, 24 % des entreprises se trouvaient déjà dans cette situation hybride fin 2012.

Ces entreprises sont face à deux problèmes majeurs :

1.    Un problème technique d'intégration entre le on-premise et le Cloud.
2.    Un problème de sécurité de ces données.

L'utilisation de passerelle d'API permet de résoudre les problèmes d'intégration entre des applications existantes utilisant une logique de type SOA et des applications dans le Cloud proposant des API de type JSON/REST.

La sécurité des données dans le Cloud est moins évidente. Les données présentes dans le Cloud concernent les clients, les partenaires et des processus collaboratifs mis en œuvre par l’entreprise.

Ces données sont donc sensibles et l'entreprise ne peut se permettre d'ignorer les problèmes de sécurité sous-jacents.

Là encore, la passerelle d’API peut contribuer à sécuriser ce nouveau type de flux de données en ajoutant des fonctions de type gestion d'identité, filtrage de données, chiffrement de données, sécurisation des accès aux fonctions de médiation évoquées précédemment.

Au-delà du choix du ou des prestataire(s) de services Cloud selon les solutions apportées en termes de sécurité, la sécurisation des données échangées dans un tel cadre passe par la définition et la gouvernance des flux de données associés et la réponse aux questions :

•    Qui sont les participants ? Comment les identifier ? Quels droits ont-ils ? Comment faire correspondre leur identité avec les modèles d'authentification existants dans le système de gestion d'identité et d'accès de l’entreprise ?
•    Quel est l’objet de l’échange ? Quelles sont les données échangées ? Quel niveau de sécurisation mettre en œuvre ?
•    Comment assurer, en toute transparence, la traçabilité des échanges et l’application des règles de sécurité mise en œuvre ?

La mise en place d'une infrastructure de gouvernance des flux de données permettra de mettre en œuvre et d’appliquer les règles et directives répondant à ces questions.
La passerelle d’APIs sera un composant clef d'une telle infrastructure. Elle va permettre, d'une part la réalisation de l'interaction entre les différents composants du système d'information hybride et d'autre part la sécurisation à tous les niveaux du flux de données associé.

Enfin, une passerelle d’APIs peut être placée et de façon non exclusive dans la DMZ, au sein du réseau d’entreprise ou même directement dans le nuage. Dans ce dernier cas, l'entreprise gérera sa sécurité bien au-delà de ses frontières naturelles et percevra, finalement, le Cloud comme un élément de sécurité plutôt que comme une menace.

La passerelle d'API devient ainsi un élément important sur un marché de la sécurité dans le Cloud que le cabinet d'analystes Gartner2 évalue à 3,1 milliards de dollars en 2015.

¹Forrester, The Hybrid² Integration Challenge by Stefan Ried, Ph.D., May 1, 2013
?Gartner, Market Trends: Cloud-Based Security Services Market, Worldwide, 2014, October 15, 2013

 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
BYOD : Guide des meilleures pratiques en entrepriseBYOD : Guide des meilleures pratiques en entrepriseGestion des terminaux mobiles, conteneurisation ou bien les deux ? Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation et de l’approche en couches de la sécurité qu’offrent ces deux systèmes.Découvrez les meilleures pratiques

Ressources Informatiques

Le Guide Azure pour le développement d’applications : Ce guide détaille divers scénarios adaptés au cloud, et plus particulièrement au développement d'applications à l'aide des services de plateforme…
   Microsoft | 40 pages
Découvrez le guide Azure pour le développement d’applications
BYOD : Guide des meilleures pratiques en entreprise Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation…
   VMware | 8 pages
Découvrez les meilleures pratiques !
Comment sécuriser les accès et contrer la compromission d’identité ? La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles…
   RSA | 6 pages
Téléchargez le livre blanc
Authentification forte : quels enjeux pour la sécurité du SI ? Mobilité, consumérisation et BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications…
   RSA | 4 pages
Découvrez votre livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Loïc Duval Loïc Duval Spécialiste systèmes d'exploitation

Laurent Teruin Laurent Teruin Consultant Senior Lync et MVP Lync

Tristan Karache Tristan Karache Journaliste informatique

Vidéos Informatiques

Adobe Document Cloud en Video Motion !Découvrez maintenant, en Video Motion, comment entrer dans l'ère du document intelligent…Par Itpro

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Windows 10 Professionnel : 5 Innovations pour les CollaborateursRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré…Par Itpro

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI