Dans ce climat d’insécurité autour des données, quels sentiments peuvent avoir les DSI devant un schéma directeur préconisant avec force le passage au Cloud public ? Djamel Chaïd, consultant senior au sein de Devoteam Consulting, et intervenant auprès de grands comptes sur des projets de transformation Télécom, livre son analyse.
Quel est le lien entre Sony, Ebay et Domino’s Pizza ? Ces trois géants économiques ont subi en 2014 une attaque informatique majeure. Sony a vu tout son système informatique mis à terre et ses données dérobées, Ebay a demandé à ses utilisateurs de changer de mot de passe et Domino’s Pizza a été contraint de choisir entre payer une rançon ou voir les données de ses clients publiées sur Internet ! Dans ce climat d’insécurité autour des données, quels sentiments peuvent avoir les DSI devant un schéma directeur préconisant avec force le passage au Cloud public ?
Près d’une entreprise sur deux reste réticente au Cloud, la principale barrière freinant son adoption étant la sécurité. Ces entreprises se déclarent préoccupées par les problématiques liées à la propriété, au respect de la vie privée et au stockage de données confidentielles dans le Cloud.
La majorité des entreprises réticentes considèrent qu’elles manquent de compétences requises à la sécurisation de leurs services hébergés dans un Cloud. Cela montre qu’avec un accompagnement dans la sécurisation de leurs services de Cloud, les DSI pourront surmonter cette principale barrière.
Mettre de côté les idées reçues
Selon Amazon, aucun des avantages du Cloud Public ne peut se retrouver dans un Cloud privé. Existe-t-il donc vraiment des raisons objectives pour se priver des avantages industriels du Cloud Public ? Pour répondre à cette question, il faut mettre de côté les idées reçues qui profitent à une grande partie des fournisseurs traditionnels qui ont très vite compris que le Cloud Public représentait un danger pour leurs activités liées aux centres de calcul privés.
Aujourd’hui, le Cloud public n’est pas forcément plus risqué qu’un Cloud privé qui se trouve hors de portée depuis Internet. Pour preuve, deux exemples récents de piratage d’un Cloud privé, OVH en juillet 2013 et le groupe Target en janvier 2014. Dans une grande majorité des cas de piratage, la faille est interne à l’entreprise, comme une erreur humaine ou une corruption…
L’analyse des mesures de sécurité mises en place par des fournisseurs de Cloud public (Google, Amazon…), permet de s’apercevoir rapidement que la majorité des DSI n’ont pas les moyens de sécuriser leur datacenters privés au même niveau de protection.
Concernant la garantie de disponibilité, les derniers chiffres sur les indisponibilités de service du Cloud en 2014 montrent une offre de Cloud public mieux équipée contre les différentes formes d’incidents. Les améliorations des temps de disponibilité sont le résultat à la fois de l'expérience acquise ces dernières années ainsi que du déploiement de moyens importants de redondance. Les fournisseurs de Cloud sont conscients que cet indicateur est très important dans la démarche de changement des futurs clients Cloud. Un datacenter privé est souvent répliqué mais les processus de continuité de service sont souvent mal maîtrisés et les impacts d’une perte totale de service du datacenter nominal peuvent être désastreux avant que la bascule ne soit totalement opérationnelle.
Les 4P
L’amélioration de la sécurité passe par ailleurs par la mise en place d’actions ciblées sur les quatre axes de l’intégration d’un nouveau service, les 4P : Personnel, Processus, Partenaires, Produits.
Tout d’abord, il est nécessaire de former et sensibiliser les utilisateurs afin d’améliorer leur capacité à identifier les menaces potentielles. Ensuite il convient d’adapter les processus aux nouveaux services Cloud. Encadrer les demandes d’accès, limiter les privilèges. La collaboration étroite avec les partenaires Cloud est très importante. Il est primordial d'étudier l’ensemble des outils et produits de sécurisation à disposition. Il convient aussi de mettre en place les automatismes pour mieux détecter les attaques et les contrer, de mesurer la performance de la sécurité en fonction des exigences réglementaires, financières et d’apporter les correctifs qui s’imposent.
Aujourd’hui, bien que l’offre Cloud public paraisse mature, il subsiste un manque de cadre juridique spécifique. Ceci impose une vigilance accrue de la part des DSI lors des phases de négociations. Il est parfois souhaitable de passer par un partenaire Cloud expérimenté. Dans ce sens et avec une approche plus globale, la commission européenne a diligenté l’ETSI pour coordonner différents acteurs du Cloud sur des travaux de normalisation dans des secteurs critiques tels que la sécurité, l'interopérabilité, la portabilité de données et la réversibilité. Des travaux dont les résultats auront sans nul doute un impact positif sur la manière d’appréhender ces problématiques.
La sécurité du Cloud doit être l’affaire de tous. Les fournisseurs doivent proposer des solutions à la sécurité éprouvée, et les DSI doivent réfléchir aux bonnes pratiques au niveau des processus, aux outils de sécurisation et aux aspects contractuels.