[Sécurité] Les 8 idées reçues sur la sécurité dans le Cloud.

Au cours des dernières années, le Cloud est devenu une technologie incontournable pour les entreprises. En effet, il permet par exemple d’apporter une flexibilité en termes de stockage, puissance de calcul avec un coût adapté à son utilisation.

Le Cloud offre ainsi aux entreprises l’opportunité d’innover et de répondre facilement et rapidement à des augmentations d’activité. Malgré cela, il existe toujours beaucoup d’idées reçues qui nécessitent d’être expliquées.

  1. Les données ne sont pas en sécurité dans le Cloud

On pense souvent, à tort, que la sécurité est plus forte avec des serveurs physiques. L’entreprise a ce sentiment car elle ne contrôle plus les couches basses d’infrastructures qui sont gérés par le fournisseur cloud. Dans les faits les Cloud providers investissent de façon colossale dans la sécurité physique de leurs infrastructures, la surveillance, la redondance et les systèmes anti-incendie mais aussi dans la protection pour faire face aux intrusions et attaques. Le cabinet d’analystes Gartner affirme d’ailleurs que les principaux fournisseurs de services Cloud proposent une sécurité égale ou meilleure que celle de la plupart des data centers privés.

Cependant on oublie souvent que la sécurité dans sa globalité est de la responsabilité du Cloud provider et de l’entreprise : c’est une responsabilité partagée. En effet, le Cloud provider est responsable de la protection de l’infrastructure exécutant tous les services proposés dans le Cloud. Cette infrastructure comprend le matériel, les logiciels, le réseau et les installations exécutant les services Cloud. La responsabilité de l’entreprise est également importante mais elle dépend des modèles de Cloud computing (IaaS, PaaS, SaaS) et des services choisis.

  1. Le Cloud implique de tout externaliser

Non, ce n’est pas nécessaire, ni indispensable. Pour déterminer quels sont les périmètres déployables dans le Cloud, il faut réaliser au préalable un diagnostic interne des besoins avant d’étudier les offres des prestataires. L’avantage du Cloud réside dans sa flexibilité. Dans l’optique de migration vers le Cloud, les services et les solutions pourront progressivement migrer au fur et à mesure.

  1. Avec le Cloud, la conformité est automatique donc simple

En réalité, la conformité repose à la fois sur le fournisseur de services Cloud et à l’entreprise qui en bénéficie. Selon les PCI Guidelines, le client et son fournisseur doivent convenir de règles et procédures au niveau des exigences en matière de sécurité, de responsabilité de l’exploitation et au niveau de la gestion. Les rôles et responsabilités pourront ainsi être bien cadrés.

La conformité du Cloud est difficile à atteindre car cela nécessite de s’assurer que les fournisseurs de services protègent bien les données et que des barrières de sécurité indispensables sont bien en place (ex : chiffrement et backup).

  1. Il est impossible de savoir où sont stockées les données

Une entreprise qui envisage une migration vers le Cloud a toujours la possibilité en amont de s’assurer du lieu exact où sont localisées ses données, surtout s’il s’agit d’informations stratégiques.

Les Cloud providers peuvent donner des indications précises quant aux modalités d’hébergement et de localisation des données et des équipes de production. Les annonces récentes de mise à disposition de datacenter en France des Cloud AWS et Microsoft Azure vont dans ce sens. Ces informations devront notamment être indiquées dans le contrat pour éviter toutes mauvaises surprises et assurer le bon respect des réglementations européennes comme le RGPD (Règlement Général pour la Protection de Données).

  1. On ne choisit pas les technologies de sécurité quand on migre vers le Cloud

Comme évoqué plus haut, l’entreprise est responsable de la sécurité dans le Cloud au niveau des périmètres non gérés par le Cloud provider. Il est important de mettre en place des solutions de sécurité adaptées pour se protéger sur chacune d’elles (ex : Web Application Firewall, chiffrement des données). Certaines de ces solutions sont directement disponibles et paramétrables via le Cloud provider. Pour les autres, il faudra prévoir de s’équiper de solutions de sécurité. L’entreprise doit donc évaluer le niveau de sécurité à atteindre et se faire accompagner dans le choix des meilleures technologies du marché.

  1. La confidentialité des données n’est pas assurée dans le Cloud

L’hébergement de données sur des serveurs distants est préoccupant pour beaucoup d’entreprises. L’actualité autour de diverses fuites de données sur des applications dans le cloud contribue à tort à donner ce sentiment d’insécurité.

Des solutions parfaitement sécurisées existent mais il revient à l’entreprise de poser les bonnes questions (Les données personnelles sont-elles dans le cloud ? Sont-elles anonymisées ? Chiffrées ? Comment les données sont-elles accessibles ?  …) et de s’assurer que le Cloud provider propose un service ou ensemble de services répondant à ses attentes.

Ainsi, par exemple, il est d’usage d’utiliser un protocole sécurisé de cryptage (SSL), en plus des dispositifs de gestion de la traçabilité des accès et des opérations (bastion).

  1. En cas de résiliation d’abonnement, il sera difficile de récupérer ses données

Les Cloud providers se doivent de permettre la réversibilité des données assurant ainsi la récupération par l’entreprise des données stockées dans le Cloud en cas de résiliation de l’abonnement.

Il s’agit donc de bien vérifier les conditions contractuelles, les délais ainsi que les coûts liés à la transmission des données (utilisation des ressources de bande passante).

  1. En cas de panne, mes données ne seront pas accessibles

La plupart des fournisseurs Cloud disposent de plusieurs sites redondés assurant ainsi la sauvegarde des données sur plusieurs serveurs situées dans des datacenters différents.

Cela fait donc partie des préalables de s’assurer que le fournisseur sera en mesure de garantir la sécurité des données et de l’infrastructure qu’il protège et ainsi maintenir la pérennité des informations contenues dans le système d’information. Attention cependant, nativement les Cloud providers proposent de la réplication de données sur plusieurs zones mais pas de sauvegarde. Il appartient donc à l’entreprise de mettre en place des solutions pour prévenir des erreurs humaines de suppression de contenu.

 

En conclusion, s’il y a beaucoup de préjugés et croyances autour de la sécurité dans le Cloud, c’est principalement lié à son innovation et le profond bouleversement qu’il engendre.

Même si nous atteignons une phase de maturité, nombreux sont ceux qui véhiculent des idées fausses sur le sujet. Il est donc important de bien comprendre le Cloud. L’entreprise doit se renseigner en amont car tous les Cloud providers n’offrent pas les mêmes garanties. De ce fait la stratégie Multi Clouds se développe pour offrir les meilleurs services selon les besoins. Enfin, il ne faut pas considérer que toute la sécurité repose sur le Cloud provider. Il est essentiel de prévoir un diagnostic de la Sécurité du Système d’Information (SSI) afin d’avoir une meilleure visibilité de son niveau de maturité en termes de sécurité.

LINKBYNET peut vous accompagner dans ce sens et vous permettre d’identifier et dimensionner les actions concrètes à mettre en place, en adéquation avec vos besoins exprimés et la stratégie de l’entreprise. Vous disposerez ainsi des éléments de décision tangibles quant à la migration vers le Cloud. Le rôle de LINKBYNET est ici de proposer divers services visant à conseiller et/ou gérer tout ou partie du système d’information (SI).

 

Si vous êtes dans le processus de migration to the cloud, ou que vous y réfléchissez ?

Inscrivez-vous à notre webinaire sur le sujet Mardi 29 mai de 11h00 à 11h45 (heure de Paris) :

Les 5 étapes indispensables pour réussir sa migration dans le cloud en toute sécurité

Laisser un commentaire