Cloud et la question complexe de la sécurité informatique
Pour leur transition numérique ou pour l’expansion de leurs activités dans le domaine de l’informatique, beaucoup d’entreprises ont quand même opter pour l’utilisation du cloud.
On comprend très facilement cette approche car l’informatique nuage a rendu beaucoup plus flexible la gestion des ressources informatiques. Le cloud a apporté beaucoup de commodités dans le partage des données, sans oublier un gain de temps très considérable dans la mise en place des ressources et leur accès et visibilité publiques.
Cet article va aussi vous intéresser : Sécurité informatique : les entreprises peuvent-elles compter sur le cloud au niveau de la sécurité
C’est clairement une option de choix.
Cependant, la question de la sécurité informatique reste quelque chose d’assez poignant que tous les fournisseurs et utilisateurs du cloud ont du mal à répondre efficacement.
« DSI et décideurs se doivent de privilégier des architectures « security by design » évolutives, et des compétences opérationnelles à la pointe des principes de sécurité et de protection des données. Un véritable défi dans l’environnement numérique mouvant dans lequel nous évoluons ! », explique Xavier Filiu, Responsable sécurité de T-Systems France,
Les cybers attaquants de tout type d’organisation criminelle, gouvernementale ou simple amatrice exploitent en permanence des vulnérabilités plus ou moins connues sur le marché. Leur niveau d’expertise, d’ingéniosité, et leur course à l’exploit sont tels qu’il est indispensable pour les entreprises d’armer solidement la cyberdéfense de leurs systèmes d’information. La robustesse de ces derniers, tout comme les environnements dans lesquels ils évoluent, doivent être testés et surveillés régulièrement par des experts en cyber sécurité pour assurer la résilience de l’ensemble. », ajoute le spécialiste.
Dans un tel contexte, tout va dépendre littéralement pour le cloud, de la confiance que les utilisateurs voudront bien lui témoigner. Pour cela, ces derniers doivent avoir une certaine assurance que la sécurité est belle et bien établie.
Comme le sait l’utilisation du cloud rend difficile la détermination des frontières extérieures d’une entreprise. Si commercialement parlant cela peut avoir des avantages, au niveau de la sécurité, on se rend compte malheureusement que les menaces se diversifient et les vecteurs d’attaque se multiplient.
Dans le cloud, il n’est pas rare que la ressource soit distribuée entre les différents clients. Cela se fait généralement dans un contexte de mutualisation des outils numériques. L’avantage de cette fédération est qu’elle permet une bonne évolution des ressources ainsi que l’augmentation des performances.
Cependant il faut quand même noter un problème lié à la transparence qui peut causer d’énormes problèmes en termes de conformité mais aussi de sécurité.
« Il n’est ainsi pas toujours aisé d’appliquer des réglementations locales et/ou européennes, de gérer les différentes catégories de protection des données ou les directives relatives aux mots de passe. Or, les services Cloud doivent s’adapter aux méthodologies agiles de leurs clients, et la sécurité se doit d’être alignée avec ces prérogatives. », explique Xavier Filiu
« La responsabilité partagée est la devise du Cloud. Dans un modèle IAAS, les utilisateurs sont responsables des applications et des données qu’ils opèrent dans le Cloud, tandis que le CSP prend la responsabilité de la sécurité de la plateforme elle-même. Cet accord s’effectue dans le cadre d’une collaboration pour un service spécifique. Au-delà, le service fourni par le CSP apparaît comme une « boîte noire » pour le client. Ce dernier n’a ainsi aucune visibilité sur les forces et faiblesses des solutions Cloud utilisées, notamment dans des environnements complexes. La question de la confiance entre le fournisseur et son client devient ici primordiale. », ajoute ce dernier.
Il faut donc retenir quelque chose d’assez important. La sécurité passe avant toute chose. Elle doit être au début de chaque projet impliquant des outils informatiques. Pour le cloud la question est presque primordiale en tenant compte de sa portée aujourd’hui.
« D’abord, ne négligez pas la dimension hautement stratégique de la sécurité. Concepts de gestion des risques, de continuité des activités, de plan à long terme du cycle de vie des systèmes hébergés…, la sécurité doit donc faire partie des réflexions fondamentales. De plus, N’oubliez pas que les failles peuvent intervenir à tous les niveaux. Au sein même des processus Cloud, mais aussi entre le ou les Cloud(s) et le système d’information interne. Il convient de mettre en place un système de gestion de la conformité continue, sur la base des normes et règlements ISO, LPM, NIST, SOX… Cela doit inclure la réponse aux incidents Cloud, l’intégration des aspects de sécurité dans les approches agiles DevOps, l’expertise des scenarii de tout type d’attaques, et la modélisation proactive des menaces Cloud. », conseille Xavier Filiu.
Accédez maintenant à un nombre illimité de mot de passe :