Dimensionnement de la sécurité

AppEngine de Google. Il existe bien d’autres possibilités parmi les offres pour le cloud des principaux acteurs : Salesforce.com Inc. s’est forgé un nom avec ses offres SaaS (Software as a Service), IBM Corp. a sorti LotusLive, une version en ligne de ses programmes Lotus, et le roi de la virtualisation VMWare Inc. investit massivement dans l’informatique via Internet.

N’oublions pas non plus les autres incursions de Microsoft dans ce domaine avec ses versions Internet d’Exchange, Windows Live et Office Online. L’argument en faveur du cloud dans ses différentes manifestations devient toujours plus séduisant à mesure que les entreprises cherchent des moyens de réduire les coûts et d’accéder facilement à une expertise. Néanmoins, il est impossible d’échapper au fait que le passage au cloud modifie la relation qu’entretient une entreprise avec ses informations, tant en interne qu’avec l’extérieur. Par conséquent, la question suivante se pose tout naturellement : Est-il possible de gérer ces risques et de continuer à retirer une valeur de l’ensemble en constante expansion des fonctionnalités de l’informatique via Internet ? La réponse des experts est un grand oui.

« Les entreprises ont besoin de comprendre exactement le degré de sécurité dont elles ont besoin, le niveau de sécurité que peut fournir le cloud et le degré de sécurité qu’elles peuvent ajouter », explique James Staten, analyste senior chez Forrester Research Inc. Par exemple, une entreprise américaine travaillant dans le secteur des services financiers a besoin de protéger les données des clients et de se conformer aux réglementations fédérales, mais les services de l’informatique via Internet n’assureront pas cette conformité.

Ce sera à l’entreprise d’ajouter ses propres applications de sécurité. Selon Staten, un tel utilisateur pourra renforcer la plate-forme EC2 d’Amazon avec des agents de cryptage et des agents de surveillance. L’entreprise pourra également penser à une protection renforcée contre les accès non autorisés. « Un site Web public accessible aux clients avec un log-in comporte généralement un modèle de cryptage et un moteur de sécurité », ajoute Staten. « Si vous n’avez pas ces couches de sécurité sur le cloud, il faudra les remplacer ou avoir un modèle de sécurité dégradé, lequel offrira par exemple moins d’accès. »

Dans le secteur des services financiers, cela peut signifier autoriser les clients à voir leurs soldes, mais pas à effectuer des opérations. « Les gens pourront se demander s’il est possible, par exemple, de respecter la loi américaine HIPAA avec le cloud ? Si vous ne faites rien, aucun cloud au monde ne vous fournira un environnement conforme », affirme Staten. « Vous devez délivrer les services et les applications dans un environnement sécurisé. » La plate-forme Azure fournit les circonstances dans lesquelles les entreprises devront prendre cet aspect en considération.

« Nous utilisons une variété de technologies et procédures de sécurité contribuant à protéger les informations personnelles hébergées sur la plate-forme de services Azure contre les accès, les utilisations et les divulgations non autorisés », déclare John Chirapurath, directeur du marketing, de l’identité et de la sécurité pour Microsoft. Mais, toujours selon Chirapurath : « Microsoft propose une infras truc ture informatique sur laquelle les développeurs peuvent créer des applications. Il incombe au développeur de vérifier que ses applications, son contenu et ses services respectent la législation en vigueur. » Toutefois, Staten constate que le renforcement de la sécurité d’un service pour le cloud n’augmente pas significativement les coûts.

Darren Platt est directeur informatique et vice-président de l’ingénierie chez Symplified Inc., une société qui propose la gestion des accès Web aux entreprises. Platt soutient que les économies de coûts de l’informatique via Internet sont tellement importantes — par exemple selon lui, SaaS peut diviser les coûts d’une entreprise par 10 — qu’il existe une grande marge de manoeuvre financière pour des exigences supplémentaires en matière de frais généraux. Il insiste également sur la nécessité de telles exigences, ce qui n’a rien de surprenant. « Pour un responsable de la sécurité dans les entreprises, la tâche est difficile », explique Platt.

« Mais maintenant que les applications sont ouvertes au Web et que les salariés peuvent y accéder à partir de leur domicile, la vulnérabilité est encore plus accentuée. »