Interview de James Lyne, Director of Technology Strategy pour SC Magazine
[SC Magazine] Pouvez-vous nous dire où en est la sécurité du Cloud actuellement ? Sur quoi les DSI et les RSSI doivent-ils particulièrement porter leur attention ?
[James Lyne] Ces dernières années, les solutions Cloud (et la sécurité qui leur est associée) ont gagné en maturité. On peut raisonnablement affirmer que certaines solutions Cloud sont désormais mieux sécurisées que leurs équivalents hébergés au sein même de l’entreprise. Ceci est notamment vrai dans les PME, qui ont des difficultés à réaliser des gros investissements dans la sécurité. Ceci étant dit, toutes les plateformes Cloud ne sont pas égales face à la sécurité : celle-ci varie considérablement d’un fournisseur à l’autre et il est parfois difficile de s’en rendre compte.
Les DSI et RSSI ont bien compris ce phénomène et questionnent désormais plus vigoureusement les constructeurs afin de connaître précisément leurs pratiques, plutôt que de se fier uniquement à la réputation d’une marque, comme c’était le cas, il y a encore quelques années.
Pour mettre en place un Cloud sécurisé, il est essentiel de réaliser cette évaluation en gardant une idée en tête : faire comme s’il s’agissait d’une solution à mettre en place en interne. Cette évaluation doit être complétée par une négociation efficace et des politiques d’acquisition claires : ainsi vous êtes certain que le fournisseur est honnête et travaille dans votre propre intérêt.
[SC] Pensez-vous que les avantages apportés par le Cloud (coûts réduits, efficacité accrue) pour certaines entreprises et activités l’amèneront à se démocratiser encore davantage et à devenir un vivier de risques de sécurité ?
[James ] Souvent, les solutions Cloud n’aident pas à réduire les coûts. Elles sont en revanche déployées pour diverses raisons comme leur souplesse, leur facilité d’utilisation et leur intégration facile dans des environnements de travail modernes. Beaucoup d’applications dans le Cloud fonctionnent mieux pour les utilisateurs distants et sont davantage compatibles avec les appareils mobiles. Les avantages, par rapport aux solutions classiques sur-site, deviennent donc évidents et font oublier les coûts du Cloud.
[quote align=”left” color=”#0070c0″]Souvent, les solutions Cloud n’aident pas à réduire les coûts.[/quote] Parfois, les plateformes Cloud sont véritablement sources d’économies: c’est notamment le cas lorsque l’on prend en compte les avantages liés à la réalisation simultanée de plusieurs tâches essentielles à l’entreprise plutôt que le paiement d’une équipe entière pour maintenir le service.
C’est indéniable, le Cloud se démocratise de façon normale mais également volontaire et il doit impérativement être inclus en tant que source de menaces par tous les éditeurs en place.
[SC] Quelles sont les grandes tendances technologiques en termes de sécurité des données et de contrôle de la confidentialité ?
[James ] Opter pour des services hébergés dans le Cloud pose de véritables défis en termes de contrôle de la confidentialité, de sécurité des données et de protection contre les menaces. Ceci signifie également qu’il vous faut accepter l’idée que le fournisseur de Cloud, dans la plupart des cas, gère la sécurité à votre place. La plupart du temps, ce sont les conditions générales du contrat qui définissent les processus et les contrôles de sécurité mis en place, au lieu de l’équipe informatique de votre entreprise.
De nombreux fournisseurs de solutions en Cloud ont amélioré leur offre en termes de politiques de sécurité et de contrôle de la confidentialité disponibles par défaut afin de répondre aux besoins des entreprises exigeant des contrôles homogènes et harmonisés.
[quote align=”right” color=”#0070c0″]De nombreux fournisseurs de solutions en Cloud ont amélioré leur offre en termes de politiques de sécurité[/quote] Malheureusement, ces politiques par défaut sont sujettes à des changements intempestifs d’une version à l’autre de la plateforme et maîtriser ces changements est souvent plus difficile que pour des solutions localisées au sein de l’entreprise (ce qui peut être un avantage comme un inconvénient). Dans ce domaine, il reste indéniablement beaucoup de travail. Il est cependant rassurant de voir que certains fournisseurs font évoluer leur offre pour inclure les fonctionnalités par défaut nécessaires.
[SC] Comment les risques liés à la sécurité du Cloud computing ont-ils évolué ces deux dernières années ? Pouvez-vous nous donner quelques exemples ?
[James ] Le nombre de services externalisés a augmenté : c’est donc non seulement un volume plus important de données mais également des types différents de données qui sont exposés aux risques de sécurité.
Même si parallèlement les risques de sécurité sont plus nombreux, la fin du phénomène de FUD (Fear, Uncertainty, Doubt et plus globalement, l’aspect assez vague du concept de Cloud) a eu des effets positifs : on sait désormais établir plus intelligemment les pour et les contre en ce qui concerne les services en Cloud. Le nombre de sociétés que je rencontre, et qui ont désormais recours à de l’informatique et du stockage élastiques pour mener à bien une multitude d’analyses est impressionnant.
Il n’est plus rare de voir des applications développées sur-mesure installées sur des plateformes Cloud. Alors qu’auparavant, la première inquiétude dans un projet de Cloud portait sur la crédibilité de l’éditeur, il convient désormais de s’interroger sur la capacité d’intégration dans votre environnement de ces solutions Cloud sur-mesure.
[SC] Que doivent faire les DSI pour renforcer la sécurité de leur Cloud ?
[James ] Il est tout d’abord essentiel de bien questionner les fournisseurs et de savoir précisément avec qui vous travaillez. Souvent, les fournisseurs de Cloud intègrent dans leurs accords de nombreux tiers pour la sécurité et réservent les prestations complètes pour les clients les plus récalcitrants lors de la négociation.
Pour certains fournisseurs de Cloud, ceci signifie également que les grands comptes recherchent une sécurité plus renforcée que les PME. Je vous recommande d’activer votre réseau et de demander à vos homologues quels engagements ont été décidés et si les contrôles et process en place sont efficaces. Enfin, mettez en place un plan de secours et assurez-vous que le fournisseur ne se contentera pas de vous restituer vos données, mais qu’il vous les rendra dans un format compatible avec d’autres plateformes.
[SC] Avez-vous des exemples ou des anecdotes illustrant quelles mesures de sécurité sont efficaces pour le Cloud à partager avec nous ?
[James ] Je connais le RSSI d’une grande entreprise européenne spécialisée dans le retail qui fait appel à deux fournisseurs de stockage dans le Cloud pour gérer ses données critiques en ligne.
Les deux fournisseurs avaient mis en place une configuration redondante visant à garantir la disponibilité. Un matin, ce même RSSI arrive au bureau et trouve les deux solutions déconnectées.
Il se trouve que les deux services reposaient sur un même serveur terminal et que le fournisseur commun utilisait le même datacenter pour les deux technologies ; datacenter qui était donc déconnecté. La morale de cette histoire est très claire : maîtrisez l’ensemble de la chaîne de production et soyez conscients que des services qui semblent solides et de qualité cachent parfois certaines faiblesses.
[divider]
Partagez Sécurité du Cloud avec ce raccourci : http://wp.me/p2YJS1-Of
Qu’en pensez-vous ? Laissez un commentaire.