Advertisement
Loading

Sécurité et Cloud : savoir gérer le risque

De nombreuses entreprises hésitent encore à adopter des services Cloud, principalement pour des questions de sécurité.

Une étude récente conduite auprès de 300 DSI a même conclu que pour 78 % d'entre eux, la sécurité est le principal obstacle à leur migration dans le Cloud, notamment dans le Cloud public. Portée par sa flexibilité et son évolutivité, l’utilisation du Cloud en entreprises progresse cependant. Cette croissance s’accompagne t-elle pour autant d’une sécurité suffisante ?

Cette question rappelle l'une des problématiques rencontrées lors de nombreuses présentations traitant de la sécurité : quelle est la définition d’un niveau de sécurité « suffisant » ? Le qualifier demande un travail approfondi. Malheureusement, avec les trop nombreuses ‘check lists’ de vérification de la sécurité existante, il est tentant de suivre aveuglément ces conseils. C’est exactement ce qu’il ne faut pas faire.

Toute décision en matière de sécurité implique un certain degré de compromis. Pour être en sécurité dans le Cloud, il faut abandonner une forme de contrôle classique pour une autre. Le contrôle classique de la sécurité est basé sur l’emplacement : si vous savez où se trouve une donnée et que vous en avez la propriété effective, alors cette donnée est probablement en sécurité. Si vous ne savez pas où elle est et que sa propriété semble être du ressort de quelqu’un d’autre, alors elle n’est probablement pas en sécurité.

Dans le Cloud, le concept de sécurité basé sur l’emplacement n’existe plus. Vous ne savez plus où se trouvent exactement vos données (immeuble, salle, rack, unité, disque). Et c’est une bonne chose ! Quelqu’un d’autre s’en charge. Quelqu’un qui dispose d’un budget supérieur et de personnel dédié et plus qualifié pour protéger vos données contre les attaques, contre la concurrence et contre le fournisseur du service lui-même. Est-ce que cela signifie que pour bénéficier des promesses du cloud computing vous devez abandonner toute sécurité ?

Non. Le compromis réside dans le fait de changer votre vision du contrôle. Vous abandonnez le contrôle basé sur l’emplacement au profit d’un nouveau modèle, qui s’appuie sur des contrats de niveau de services, des normes vérifiables de sécurité, des systèmes de confidentialité et de protection de l’intégrité des données (chiffrement et signatures numériques). Vous pouvez conserver le contrôle  et la propriété  des données, même si vous n’avez plus le contrôle  ni la propriété  de l’infrastructure. D’une certaine façon, ce modèle n’est pas nouveau. Nous l’utilisons déjà pour nos connexions réseau. Nous avons en effet abandonné les connexions dédiées (locations de lignes) pour des connexions partagées (Internet), et c’est exactement le même modèle qui assure la sécurité des données en transit. Un modèle qui s’étend également au traitement et au stockage des données.

Il y a cependant un autre facteur que je me plais à rappeler : celui du tierce partie désintéressée. Les fournisseurs de services Cloud ignorent le contexte inhérent à vos données ainsi que leur valeur. Ceci peut réduire considérablement la menace en interne. Mais s’inquiètent-ils de la sécurité de vos données ? Les fournisseurs de services Cloud savent qu’il est dans leur intérêt de mettre en place des contrôles pour assurer un solide cloisonnement entre leurs tâches administratives et les données de leurs clients. En outre, ces contrôles rendent le Cloud difficile d’accès pour tous ceux espérant voler des données ou lancer des attaques.

Les fournisseurs cherchent à atteindre la cible la plus large possible, en automatisant au maximum les tâches : moins il y a d’interventions humaines, moins il y a de risques de faire des erreurs. En conclusion, « le niveau de sécurité » n’est pas la bonne question. Il faut plutôt se demander quel est « le niveau de risques ». Faire l’évaluation des risques pour prendre des décisions en matière de sécurité aboutit toujours au bon équilibre et aux compromis adéquats. Je conseille aux DSI et aux Responsables de la sécurité de s’enquérir des meilleures stratégies de gestion des risques. Les bons interlocuteurs n’hésiteront pas à vous donner toutes les informations voulues car ils savent qu’ils gagneront ainsi votre confiance. Ils ont même probablement envisagé et géré des risques auxquels vous n’aviez pas même pensé.

Le cloud computing résout de nombreux problèmes. Et il mûrit. En à peine quelques années, les offres sont devenues plus variées et plus souples, et sont proposées par des entreprises renommées et de confiance. Si la sécurité du Cloud devient suffisante pour conduire à une adoption croissante par quelques-uns, ne devient-elle pas suffisante pour le reste d’entre nous ?

Christian Lorentz Christian Lorentz - Product Marketing Manager - Riverbed
Christian Lorentz est Product Marketing Manager chez Riverbed.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Découvrez la toute nouvelle revue du Décideur ITDécouvrez la toute nouvelle revue du Décideur ITBénéficiez des analyses, des dossiers et des études exclusives de la nouvelle revue informatique SMART DSI pour comprendre les enjeux, évaluer les perspectives et conduire la transformation numérique de votre entreprise. Le nouveau support d'aide à la décision pour les Décideurs IT.Découvrez la nouvelle revue SMART DSI

Ressources Informatiques

SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
BYOD : Guide des meilleures pratiques en entreprise Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé les interactions entre les collaborateurs. Encore faut-il que l’entre¬prise…
   HPE Aruba | 4 pages
Découvrez votre Guide de Stratégie Mobile
Optimiser la consommation énergétique du data center La gestion et la supervision des infrastructures IT n’ira qu’en s’aggravant tant que les entreprises n’adopteront pas une vraie gestion dynamique…
   Top 5 Décideur IT | 4 pages
Découvrez votre livre blanc
Livre blanc sur la gestion des serveurs virtualisés Si la virtualisation et les infrastructures convergées mettent à la disposition des responsables IT des outils puissants, elles font naître des défis…
   EATON | 4 pages
Découvrez le livre blanc
10 manières de vous protéger contre les Ransomwares Les ransomwares utilisent des modèles cryptographiques non conventionnels tels que Tor ou des algorithmes de chiffrement courants qui rendent impossible…
   Comsoft | 8 pages
Découvrez le livre blanc
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Nicolas Milbrand Nicolas Milbrand Consultant Microsoft indépendant

Freddy Elmaleh Freddy Elmaleh Consultant freelance

Sabine Terrey Sabine Terrey Directrice de la Rédaction - IT Pro

Vidéos Informatiques

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Windows 10 Professionnel : 5 Innovations pour les CollaborateursRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré…Par Itpro

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI