Loading

Sécurité et Cloud : savoir gérer le risque

De nombreuses entreprises hésitent encore à adopter des services Cloud, principalement pour des questions de sécurité.

Une étude récente conduite auprès de 300 DSI a même conclu que pour 78 % d'entre eux, la sécurité est le principal obstacle à leur migration dans le Cloud, notamment dans le Cloud public. Portée par sa flexibilité et son évolutivité, l’utilisation du Cloud en entreprises progresse cependant. Cette croissance s’accompagne t-elle pour autant d’une sécurité suffisante ?

Cette question rappelle l'une des problématiques rencontrées lors de nombreuses présentations traitant de la sécurité : quelle est la définition d’un niveau de sécurité « suffisant » ? Le qualifier demande un travail approfondi. Malheureusement, avec les trop nombreuses ‘check lists’ de vérification de la sécurité existante, il est tentant de suivre aveuglément ces conseils. C’est exactement ce qu’il ne faut pas faire.

Toute décision en matière de sécurité implique un certain degré de compromis. Pour être en sécurité dans le Cloud, il faut abandonner une forme de contrôle classique pour une autre. Le contrôle classique de la sécurité est basé sur l’emplacement : si vous savez où se trouve une donnée et que vous en avez la propriété effective, alors cette donnée est probablement en sécurité. Si vous ne savez pas où elle est et que sa propriété semble être du ressort de quelqu’un d’autre, alors elle n’est probablement pas en sécurité.

Dans le Cloud, le concept de sécurité basé sur l’emplacement n’existe plus. Vous ne savez plus où se trouvent exactement vos données (immeuble, salle, rack, unité, disque). Et c’est une bonne chose ! Quelqu’un d’autre s’en charge. Quelqu’un qui dispose d’un budget supérieur et de personnel dédié et plus qualifié pour protéger vos données contre les attaques, contre la concurrence et contre le fournisseur du service lui-même. Est-ce que cela signifie que pour bénéficier des promesses du cloud computing vous devez abandonner toute sécurité ?

Non. Le compromis réside dans le fait de changer votre vision du contrôle. Vous abandonnez le contrôle basé sur l’emplacement au profit d’un nouveau modèle, qui s’appuie sur des contrats de niveau de services, des normes vérifiables de sécurité, des systèmes de confidentialité et de protection de l’intégrité des données (chiffrement et signatures numériques). Vous pouvez conserver le contrôle  et la propriété  des données, même si vous n’avez plus le contrôle  ni la propriété  de l’infrastructure. D’une certaine façon, ce modèle n’est pas nouveau. Nous l’utilisons déjà pour nos connexions réseau. Nous avons en effet abandonné les connexions dédiées (locations de lignes) pour des connexions partagées (Internet), et c’est exactement le même modèle qui assure la sécurité des données en transit. Un modèle qui s’étend également au traitement et au stockage des données.

Il y a cependant un autre facteur que je me plais à rappeler : celui du tierce partie désintéressée. Les fournisseurs de services Cloud ignorent le contexte inhérent à vos données ainsi que leur valeur. Ceci peut réduire considérablement la menace en interne. Mais s’inquiètent-ils de la sécurité de vos données ? Les fournisseurs de services Cloud savent qu’il est dans leur intérêt de mettre en place des contrôles pour assurer un solide cloisonnement entre leurs tâches administratives et les données de leurs clients. En outre, ces contrôles rendent le Cloud difficile d’accès pour tous ceux espérant voler des données ou lancer des attaques.

Les fournisseurs cherchent à atteindre la cible la plus large possible, en automatisant au maximum les tâches : moins il y a d’interventions humaines, moins il y a de risques de faire des erreurs. En conclusion, « le niveau de sécurité » n’est pas la bonne question. Il faut plutôt se demander quel est « le niveau de risques ». Faire l’évaluation des risques pour prendre des décisions en matière de sécurité aboutit toujours au bon équilibre et aux compromis adéquats. Je conseille aux DSI et aux Responsables de la sécurité de s’enquérir des meilleures stratégies de gestion des risques. Les bons interlocuteurs n’hésiteront pas à vous donner toutes les informations voulues car ils savent qu’ils gagneront ainsi votre confiance. Ils ont même probablement envisagé et géré des risques auxquels vous n’aviez pas même pensé.

Le cloud computing résout de nombreux problèmes. Et il mûrit. En à peine quelques années, les offres sont devenues plus variées et plus souples, et sont proposées par des entreprises renommées et de confiance. Si la sécurité du Cloud devient suffisante pour conduire à une adoption croissante par quelques-uns, ne devient-elle pas suffisante pour le reste d’entre nous ?

Christian Lorentz Christian Lorentz - Product Marketing Manager - Riverbed
Christian Lorentz est Product Marketing Manager chez Riverbed.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Hyperconvergence : quels enjeux et bénéfices en 2017 ?Hyperconvergence : quels enjeux et bénéfices en 2017 ?En rupture totale avec les anciennes pratiques IT, l’hyperconvergence intéresse et séduit de plus en plus les DSI par leur approche très intégrée et très automatisée qui réduit le TCO et les temps de déploiement. Voici 5 bénéfices clés d’une hyperconvergence réussie en 2017.Découvrez le TOP 5 d’hyperconvergence réussie en 2017

Ressources Informatiques

Hyperconvergence : quels enjeux et bénéfices en 2017 ? En rupture totale avec les anciennes pratiques IT, l’hyperconvergence intéresse et séduit de plus en plus les DSI par leur approche très intégrée…
   Inmac wstore | 4 pages
Découvrez le Top 5 Décideur IT
1er Guide de sécurité Byod, Mobile et Cloud en entreprise Cloud et Mobilité ont fait exploser l'ancestrale sécurité périmétrique qui protégeait les infrastructures. Parallèlement, l'ingéniosité, la complexité…
   Smart DSI | 4 pages
Découvrez les 5 meilleures pratiques en entreprise
Comment optimiser la gestion d‘énergie des serveurs virtualisés ? Si la virtualisation et les infrastructures convergées mettent à la disposition des responsables IT des outils puissants, elles font naître des défis…
   EATON | 4 pages
Découvrez le livre blanc
10 manières de vous protéger contre les Ransomwares Les ransomwares utilisent des modèles cryptographiques non conventionnels tels que Tor ou des algorithmes de chiffrement courants qui rendent impossible…
   Comsoft | 8 pages
Découvrez le livre blanc
Rapport IDC sur la gestion de Cloud hybride Dans un environnement informatique hybride complexe, la gestion des opérations peut nécessiter l'utilisation de plusieurs outils de gestion et la mise…
   IDC - Red Hat | 8 pages
Découvrez le Guide IDC
Comment garantir la sécurité de vos flux documentaires ? Ce livre blanc explique comment le format PDF et la solution Power PDF de Nuance permettent de mettre en place, rapidement, efficacement et à moindre…
   Guide Nuance | 28 pages
Garantissez l'intégrité et la sécurité de vos documents
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

David Pekmez David Pekmez MVP Exchange Server

Cédric Georgeot Cédric Georgeot MVP File System Storage

Patrick Guimonet Patrick Guimonet Spécialiste SharePoint

Vidéos Informatiques

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI