> Cloud > Cloud : une nouvelle insécurité ?

Cloud : une nouvelle insécurité ?

Cloud - Par Dick Lewis - Publié le 21 octobre 2014
email

Techniquement, un Cloud public est plus sûr qu'un SI.

Cloud : une nouvelle insécurité ?

Confier ses informations à un prestataire Cloud devrait donc rassurer. Pourtant, attention à la perte de contrôle ! Le rôle du DSI doit évoluer alors que le pilotage de la prestation devient central et que le Cloud génère une nouvelle forme d’insécurité, stratégique celle-là…

Avec le Cloud pourtant, quelque chose de fondamental évolue : la nature même du processus de gestion de la sécurité, plus « stratégique », à laquelle le DSI doit désormais se consacrer. Car le principe consiste à transférer le patrimoine informationnel de l’entreprise, du SI périmètre « maîtrisé », à un tiers, en l’occurrence l’opérateur Cloud. Le rôle du DSI moderne change. Tout en conservant les gestes de proximité, il doit maintenant aligner le contrat de services d’un tiers sur les enjeux business de l’entreprise, en se concentrant sur les exigences de sécurité, ce qui impose une forte maîtrise des risques et des engagements.

Plus exactement, le DSI doit se concentrer non pas sur le système mais sur l’information. Les contrats de services deviennent plus engageants. Les responsabilités augmentent pour les fournisseurs de Cloud, déplaçant le rôle du DSI vers une sphère plus juridique. Le DSI, qui accède au rang de stratège de l’information, doit sortir de sa « bulle » technique informatique et se trouver plus proche de la direction générale, plus que jamais décisionnaire sur ces sujets.

Les nouvelles exigences Cloud

Pour y arriver, il faut être bien clair sur ses propres exigences de sécurité avant de les confier à un opérateur Cloud : pourquoi tel ou tel niveau de sécurité ? Dans quel but ? Sur quelles données, à quel niveau ? C’est un véritable plan d’assurance sécurité que vont devoir mettre en place conjointement l’opérateur de Cloud et le DSI, avec une analyse de risques très poussée.

L’opérateur devra répondre à ces exigences par un niveau d’engagement précis. Sur ce point, attention, les opérateurs peuvent avoir des niveaux de sécurité très différents : la fonction « anti-déni de service » est intégrée chez certains, payante chez d’autres… Le DSI devra enfin s’assurer de la bonne mise en oeuvre par l’opérateur, et demander des éléments de preuve, que souvent l’opérateur ne veut pas donner, ce qui pose parfois problème lorsque le DSI doit lui-même se justifier face à des allégations clients. Les pièges sont nombreux !

À commencer par les arguments commerciaux : ne jamais croire un opérateur sur parole ; ne pas hésiter à entrer dans les « détails » techniques ou encore s’assurer que les sauvegardes sont bien restaurées, et pour cela exiger des tests de restauration, de la visibilité sur les « preuves d’actions », etc. La tâche du DSI change donc radicalement. D’autant que le Cloud génère une nouvelle forme d’insécurité liée à l’abandon de souveraineté sur le SI (contrairement à l’infogérance où le SI continue d’appartenir à l’entreprise). La perte de gouvernance inquiète les entreprises, et ne va pas manquer de créer des problèmes dans le futur notamment pour les migrations Cloud. D’autant que dans ce domaine, l’interopérabilité des opérateurs n’est pas bonne !

La sécurité technique est bien meilleure sur le Cloud que chez soi : en ce qui concerne les menaces informatiques ou le piratage, le Cloud est efficace. Les opérateurs ont placé cette problématique au centre de leur métier. Ils adoptent les pratiques up-to-date et les meilleurs outils.

Téléchargez gratuitement cette ressource

Aborder la Blockchain, comprendre et démarrer

Aborder la Blockchain, comprendre et démarrer

Une véritable révolution se prépare progressivement... les entreprises doivent veiller à ne pas rester à l’écart et se faire prendre de vitesse. Tout comme la mobilité ou encore le cloud, la blockchain est une composante essentielle de la transformation numérique. Découvrez, dans ce dossier, comment aborder, comprendre et démarrer la Blockchain

Cloud - Par Dick Lewis - Publié le 21 octobre 2014