Comment vous assurer que votre cloud est sécurisé ?

3 juin 2019

Analyse

Par Daphnis DE SA

Avec la transformation numérique de leurs activités, et les forts besoins en mobilité des collaborateurs, les entreprises sont de plus en plus séduites par des solutions de cloud computing. Mais le fait que les données soient hébergées par un tiers ne dispense pas de se préoccuper de leur sécurité. Voici les 5 points-clés à vérifier pour maximiser la sécurisation de votre cloud.

 

Selon le baromètre 2019 de la cybersécurité, réalisé par Infopro Digital en collaboration avec L’Usine Nouvelle et Sylob, près de la moitié des industriels interrogés ont déjà investi dans des solutions hébergées dans le cloud. Adapté aux nouvelles pratiques digitales professionnelles et à la complexité croissante des systèmes d’information, le recours à l’IaaS (Infrastructure as a Service), au PaaS (Platform as a Service) ou au SaaS (Software as a Service) fait son chemin dans les feuilles de route de la plupart des DSI.

Les chiffres prévisionnels du marché du cloud computing sont d’ailleurs éloquents. Fin 2017, le cabinet IDC prévoyait que ce marché atteindrait les 554 milliards de dollars en 2021, soit le double des dépenses effectuées dans le cloud en 2016. L’externalisation va donc devenir peu à peu la norme et prendre le pas sur l’informatique traditionnelle. Comme le révèle le baromètre 2019 de la cybersécurité cité plus haut, ce sont pour le moment les grandes entreprises qui investissent le plus dans les technologies du cloud (73% des entreprises réalisant plus de 500 millions d’euros de CA), mais il y a fort à parier que les TPE et les PME s’emparent elles aussi du sujet à mesure de leur transformation numérique.

Privilégier une sécurité multicouche

Basculer d’une infrastructure propriétaire, « dans les murs », à des solutions distantes et immatérielles n’est pas toujours évident à appréhender du point de vue de la sécurité. Pourtant, la sécurisation du cloud n’est pas si différente de la sécurisation d’un environnement informatique traditionnel. Elle repose sur un partage de responsabilité, entre le prestataire, l’entreprise cliente et les utilisateurs, avec en ligne de mire le fameux adage : « la confiance n’exclut pas le contrôle ».

  • Le choix du type d’hébergement

Cloud public, cloud privé, cloud hybride… lequel privilégier ? Tout dépend de la sensibilité des données que vous souhaitez héberger à l’extérieur. Le cloud public présente aujourd’hui de bons niveaux de sécurisation, grâce notamment au travail de la Cloud Security Alliance (CSA), mais le partage des infrastructures et des ressources avec d’autres clients du fournisseur de cloud n’est pas sans risque. Une attaque ciblant un autre client peut avoir par exemple des conséquences sur la disponibilité des services. Le cloud privé a l’avantage de mettre à disposition de l’entreprise un environnement qui lui est totalement dédié, mais la solution sera plus onéreuse. Le cloud hybride apparaît aujourd’hui comme le meilleur compromis : il permet de répartir les données entre le cloud public et le cloud privé en fonction de la sensibilité de l’information et des exigences de la politique de sécurité de l’entreprise.

  • La nationalité du fournisseur de services

Tous les pays ne sont pas logés à la même enseigne en matière de protection de l’information. L’Europe est plutôt bientôt dotée depuis le RGPD, mais le Patriot Act et le plus récent Cloud Act (pour « Clarifying Lawful Overseas Use of Data Act ») permettent au gouvernement américain d’avoir un droit de regard sur les données collectées ou hébergées par les sociétés américaines, quel que soit l’emplacement géographique des serveurs.

  • Le niveau de contrat

Qui dit prestataire dit contrat de service et SLA. S’il est difficile de personnaliser un contrat pour du cloud public, le cloud privé donne beaucoup plus de latitudes à l’entreprise cliente. Vérifiez bien le niveau de responsabilité qui incombe au prestataire et celui qui vous revient. En cas de données critiques, dans le cas d’un cloud privatif, il est possible d’adapter le niveau de sécurisation de l’environnement à vos exigences. Tout comme les pénalités en cas de dysfonctionnement et d’indisponibilité. Dans tous les cas, privilégiez un prestataire qui vous donne la possibilité d’auditer régulièrement ses installations.

  • La technologie réseau

À l’instar du type de cloud, le transit de l’information entre les infrastructures hébergées et les terminaux des utilisateurs peut se faire sur des réseaux publics (de type Internet) ou privés. Pour protéger les données entre deux points distants, assurez-vous de pouvoir utiliser une technologie VPN IPSec ou une technologie de type MPLS qui assurent de très hauts niveaux de sécurité. En les complétant par une solution SD-WAN, votre système d’information utilisera automatiquement la technologie réseau la plus adéquate au regard de la criticité de l’information transportée.

  • La formation des utilisateurs

Le cloud octroie aux utilisateurs un sentiment de liberté d’accès aux données qui ne doit pas mettre en péril la sécurisation du système. Charge à vous d’acculturer les collaborateurs de l’entreprise pour qu’ils ne constituent pas votre plus grande faille de sécurité : authentification à deux facteurs, guide de bonne pratique, sensibilisation à la cybersécurité… Vérifiez également le niveau de sécurité et la configuration des applications qui se connectent au cloud. À se préoccuper de la sécurisation des données sur le site distant, on oublie parfois les fondamentaux de la sécurité dans les usages au sein de l’entreprise.

 

Le cloud computing va devenir la norme dans les prochaines années. Cette externalisation ajoute de nouvelles variables dans la politique de sécurité de l’entreprise, sans pour autant révolutionner les bonnes pratiques de la cybersécurité. Choisissez un partenaire de confiance, qui sait répondre à vos exigences de conformité, de disponibilité, de confidentialité et de réversibilité des données, en fonction de leur criticité. N’oubliez pas pour autant votre responsabilité, de nouveaux outils et de nouveaux usages imposent une conduite du changement appropriée pour limiter les failles de sécurité venant des utilisateurs.

Besoin de plus d'informations

Daphnis DE SA
Daphnis DE SA

Pour aller plus loin

Pour recevoir la documentation Hub One adaptée à vos besoins

Le présent site stocke des cookies et autres traceurs sur votre équipement (ci-après dénommés « cookies »). Ces cookies sont utilisés par Hub One pour collecter des informations sur la manière dont vous interagissez avec le site et établir des statistiques et des volumes de fréquentation et d’utilisation afin d’améliorer votre parcours en tant qu’utilisateur.
Vous pouvez choisir de ne pas autoriser certains types de cookies, à l’exception de ceux permettant la fourniture du présent site web et qui sont strictement nécessaires au fonctionnement de ce dernier. Pour accepter ou refuser l’utilisation des différentes catégories de cookies (à l’exception de la catégorie des cookies strictement nécessaires), rendez-vous dans les Préférences cookies.
Vous pouvez à tout moment revenir sur votre autorisation d’utilisation des cookies (Préférences cookies).
Le refus de l’utilisation de certains cookies peut avoir un impact sur votre utilisation du site.
En savoir plus : Politique cookies
Préférences cookies
Refuser tous les cookies
Accepter tous les cookies