Karim Bouamrane, directeur Europe du Sud et Afrique de Bitglass, donne 3 conseils pour réussir la mise en œuvre d’une stratégie multi-cloud.
Un nombre croissant d’entreprises adoptent une stratégie multi-Cloud afin de ne pas trop dépendre d’un seul fournisseur et de réduire le risque de menaces telles que les attaques DDoS. Cela leur permet de réaliser des économies, d’optimiser les performances et d’améliorer le temps de fonctionnement afin de garantir la continuité des opérations.
L’abandon de l’approche basée sur un Cloud unique capable de répondre à l’ensemble des besoins (“one-cloud-fits-all”) et l’utilisation de services multiples de différents fournisseurs offrent également de nombreux autres avantages organisationnels. En effet, grâce à cette approche, les entreprises ont la liberté de choisir les offres qui répondent à leurs besoins spécifiques tout en structurant différentes charges de travail dans des environnements distincts, afin de rester en phase avec leurs objectifs et politiques commerciales. En d’autres termes, elles conservent leur flexibilité et fonctionnent de la manière qu’ils préfèrent.
Les entreprises engagent de plus en plus un processus de transformation numérique et le nombre de déploiements multi-cloud augmente rapidement. Les entreprises transfèrent leurs données vers le cloud pour automatiser leurs opérations, ce qui leur permet de mettre en place des politiques de BYOD et d’intégrer des technologies telles que l’intelligence artificielle, l’IoT, la blockchain et de nouveaux outils cognitifs afin d’accroître leur efficacité globale. Chez nos voisins britanniques, une étude publiée en décembre dernier par le Cloud Industry Forum (CIF) révélait que quasiment quatre entreprises sur cinq (78 %) ont déjà adopté deux services ou plus, et que 84 % prévoient d’accroître leur utilisation du cloud. IDC affirmait récemment que le multi-cloud sera adopté par plus de 85 % des entreprises dans moins de deux ans.
Repenser la stratégie de sécurité de l’entreprise
Bien que les améliorations apportées aux outils de gestion de Cloud aient facilité le déploiement et l’exploitation des environnements informatiques multi-Cloud, certains défis subsistent. La sécurité en particulier reste une question fondamentale qui ne peut être ignorée. Et même si les fournisseurs de services cloud disposent de protocoles et d’outils appropriés pour garantir la sécurité de leurs offres, la la sécurisation des données elles-mêmes, en particulier lors de l’accès, incombe toujours à l’entreprise. Conscients qu’il est primordial de sécuriser les données face aux menaces, les RSSI sont aujourd’hui particulièrement sélectifs au moment de choisir les fournisseurs de service cloud et d’outils tiers pour sécuriser l’accès aux données.
Trois facteurs clés sont à prendre en compte pour les entreprises qui souhaitent exploiter les avantages du multi-cloud sans compromettre la sécurité.
1 Maîtriser la réalité du nuage
Lorsqu’il s’agit d’utiliser le cloud, et plus encore lorsque plusieurs fournisseurs de services sont concernés, les modèles traditionnels de gestion et de sécurité des données ne s’appliquent pas. Les employés ont désormais la possibilité d’accéder aux données de l’entreprise depuis n’importe quel endroit, sur n’importe quel appareil et à tout moment. Cela signifie que l’information entrera et sortira des applications Cloud par l’intermédiaire d’une infrastructure que l’entreprise ne possède ni ne contrôle.
Les outils de sécurité traditionnels ne sont pas conçus pour protéger les données dans le Cloud auxquelles l’utilisateur accède à partir de ses appareils personnels et des réseaux hors site. De plus, au fur et à mesure que les entreprises commencent à transférer des données de leurs solutions sur site vers le cloud, elles s’exposent à de nouveaux types de menaces spécifiques au Cloud.
Face à l’augmentation du nombre de services Cloud utilisés, la surveillance de ces flux de données peut s’avérer de plus en plus difficile. Pourtant, les entreprises doivent conserver une visibilité et un contrôle complets sur leurs informations.
De même, les entreprises doivent réévaluer la manière dont elles se protègent contre les cybermenaces telles que les logiciels malveillants. L’implémentation d’outils permettant d’arrêter les menaces connues et inconnues dans le Cloud, sur n’importe quel appareil accédant aux données, et en temps réel est nécessaire pour une sécurité totale.
En d’autres termes, des solutions de sécurité exclusives sont nécessaires dans ce nouvel environnement Cloud.
2 Gagner en visibilité sur les données et mieux les contrôler
Bien que de nombreux services cloud soient proposés avec des fonctionnalités natives ou intégrées qui offrent un certain degré de visibilité et de contrôle au sein de leurs applications spécifiques, le respect des politiques internes ou l’apport de modifications à chaque service cloud utilisé peut s’avérer douloureux et problématique.
Par exemple, un fournisseur de soins de santé peut être contraint de se conformer à un nouveau règlement sur la protection des renseignements personnels concernant les dossiers médicaux ou d’autres renseignements médicaux protégés (RPS). Dans ce cas, il devra ajouter de nouvelles politiques afin d’identifier les modèles de données sensibles, ainsi que pour contrôler qui peut y accéder et quand.
Si elle se retrouvait dépendante des seuls outils de sécurité natifs, la direction informatique devrait alors modifier manuellement les stratégies au sein de chaque application. Une tâche considérable autant que chronophage. De plus, les fonctions de sécurité natives de certaines applications peuvent être moins granulaires que d’autres, ce qui rend difficile l’application de ces changements sur une base uniforme; Ainsi, certaines applications ne peuvent simplement pas être sécurisées aussi bien que d’autres.
Pour relever ces défis, les entreprises ont besoin d’une solution unique qui leur offre visibilité et contrôle sur l’ensemble de leurs applications cloud.
3 Reproduire la même exigence dans le Cloud
Le passage au multi-cloud ne signifie pas nécessairement que les pratiques appliquées sur site doivent être abandonnées. Même si cela nécessite des technologies et des stratégies de mise en œuvre différentes, les entreprises doivent disposer d’une protection complète des données, d’une protection contre les menaces ainsi que d’une visibilité et d’une gestion des identités qui leur pemettra d’empêcher tout accès non autorisé à leurs données.
Pour assurer une protection globale, les solutions de sécurité choisies doivent être faciles à déployer et à intégrer aux outils existants sur site. Elles assureront une sécurité continue et cohérente au sein de l’ensemble de l’entreprise, indépendamment du déplacement des données. Ces solutions devront également être suffisamment avancées et évolutives pour être en mesure de faire face à l’ajout d’un plus grand nombre d’applications Cloud et l’augmentation de charges de travail basées sur le Cloud.
La mise en place d’une sécurité et d’une gouvernance en temps réel efficaces et adaptées au monde du multi-cloud est essentielle pour assurer une protection permanente des données et de leurs utilisateurs. Reconnaître ce besoin et recadrer les stratégies de sécurité de manière appropriée permettra aux entreprises de tirer parti en toute confiance d’un environnement multi-Cloud.