Cloud Security : une nouvelle insécurité ?

Confier ses informations à un prestataire Cloud devrait donc rassurer. Pourtant, attention à la perte de contrôle ! Le rôle du DSI doit évoluer alors que le pilotage de la prestation devient central et que le Cloud génère une nouvelle forme d’insécurité, stratégique celle-là…

Cloud Security ?

Avec le Cloud pourtant, quelque chose de fondamental évolue : la nature même du processus de gestion de la sécurité, plus « stratégique », à laquelle le DSI doit désormais se consacrer. Car le principe consiste à transférer le patrimoine informationnel de l’entreprise, du SI périmètre « maîtrisé », à un tiers, en l’occurrence l’opérateur Cloud. Le rôle du DSI moderne change. Tout en conservant les gestes de proximité, il doit maintenant aligner le contrat de services d’un tiers sur les enjeux business de l’entreprise, en se concentrant sur les exigences de sécurité, ce qui impose une forte maîtrise des risques et des engagements.

Plus exactement, le DSI doit se concentrer non pas sur le système mais sur l’information. Les contrats de services deviennent plus engageants. Les responsabilités augmentent pour les fournisseurs de Cloud, déplaçant le rôle du DSI vers une sphère plus juridique. Le DSI, qui accède au rang de stratège de l’information, doit sortir de sa « bulle » technique informatique et se trouver plus proche de la direction générale, plus que jamais décisionnaire sur ces sujets.

Les nouvelles exigences Cloud en termes de sécurité

Pour y arriver, il faut être bien clair sur ses propres exigences de sécurité avant de les confier à un opérateur Cloud : pourquoi tel ou tel niveau de sécurité ? Dans quel but ? Sur quelles données, à quel niveau ? C’est un véritable plan d’assurance sécurité que vont devoir mettre en place conjointement l’opérateur de Cloud et le DSI, avec une analyse de risques très poussée.

L’opérateur devra répondre à ces exigences par un niveau d’engagement précis. Sur ce point, attention, les opérateurs peuvent avoir des niveaux de sécurité très différents : la fonction « anti-déni de service » est intégrée chez certains, payante chez d’autres… Le DSI devra enfin s’assurer de la bonne mise en oeuvre par l’opérateur, et demander des éléments de preuve, que souvent l’opérateur ne veut pas donner, ce qui pose parfois problème lorsque le DSI doit lui-même se justifier face à des allégations clients. Les pièges sont nombreux !

À commencer par les arguments commerciaux : ne jamais croire un opérateur sur parole ; ne pas hésiter à entrer dans les « détails » techniques ou encore s’assurer que les sauvegardes sont bien restaurées, et pour cela exiger des tests de restauration, de la visibilité sur les « preuves d’actions », etc. La tâche du DSI change donc radicalement. D’autant que le Cloud génère une nouvelle forme d’insécurité liée à l’abandon de souveraineté sur le SI (contrairement à l’infogérance où le SI continue d’appartenir à l’entreprise). La perte de gouvernance inquiète les entreprises, et ne va pas manquer de créer des problèmes dans le futur notamment pour les migrations Cloud. D’autant que dans ce domaine, l’interopérabilité des opérateurs n’est pas bonne !

La sécurité technique est bien meilleure sur le Cloud que chez soi : en ce qui concerne les menaces informatiques ou le piratage, le Cloud est efficace. Les opérateurs ont placé cette problématique au centre de leur métier. Ils adoptent les pratiques up-to-date et les meilleurs outils.