Sécurité du Cloud : les entreprises souffrent d’un décalage de perception et d’un manque de collaboration entre direction, DSI, métiers et utilisateurs. Un point de vue défendu par Arnaud Cassagne, directeur technique chez Nomios.
Selon une récente étude publiée par l’INSEE, seulement 12% des entreprises françaises ont recours au Cloud, et pour 30% d’entre elles, la sécurité est un frein majeur au développement de projets d’externalisation de leurs données, infrastructures et applications vers le Cloud. Dans la réalité ce sont près de 95% des applications utilisées en entreprise qui sont hébergées soit en Datacenter, soit au sein de l’entreprise, et dont l’utilisation est parfaitement maîtrisée par la DSI, les 5% restants seulement étant hébergées dans le Cloud. Ainsi, malgré les avantages certains du Cloud, les projets peinent encore à se faire une place au sein des entreprises aujourd’hui.
Après le coût du Cloud, la sécurité semble donc être le second frein pour les entreprises. Celui-ci repose t-il uniquement sur l’emplacement physique des données, applications et matériels et le manque de confiance envers les prestataires ?
La réalité va un peu au-delà de cette idée. Si le Cloud nécessite une vraie confiance envers des partenaires, il provoque surtout un vrai désordre au sein des entreprises au niveau de l’organisation mais également en termes de perception et de collaboration entre les différents acteurs : dirigeants, DSI, métiers et collaborateurs.
Le problème : un décalage de perception lié à la sécurité du Cloud
Il est certain que le Cloud manque de structuration et de collaboration entre les différentes entités de l’entreprise et que cela représente un frein important. En interne, chacun à sa propre vision du Cloud : les dirigeants veulent aller vite pour tirer profit des avantages du Cloud, les directions métiers engagent leurs propres projets via des prestataires externes (exemples : création de sites web événementiels pour le marketing, installation d’applications métiers RH ou financières, etc.) désormais sans concertation avec la DSI, et les utilisateurs eux-mêmes s’organisent des espaces de travails collaboratifs pour faciliter leurs échanges.
Au milieu de tout cela, la DSI est finalement la seule à se préoccuper de la sécurité du Cloud. Dans le cadre d’un système d’information traditionnel, les infrastructures, les applications, les sites ou encore les données sont hébergés au sein de l’entreprise ou dans un Datacenter dont la DSI a la maîtrise totale. La DSI est donc systématiquement informée de tous projets et initiatives.
Aujourd’hui, le Cloud bouleverse ce modèle et la DSI n’est plus forcément sollicitée.
L’une des principales problématiques pour la DSI est le « Shadow IT », c’est à dire toutes les applications ou systèmes d’information et de communication mis en œuvre au sein de l’entreprise sans approbation de la DSI, voire même sans que celle-ci n’ait été informée.
En matière de Cloud, cela se traduit par des utilisateurs internes qui hébergent des données ou des applications liées à l’entreprise dans le Cloud, sans que la DSI ne soit informée de l’existence de ces pratiques. Alors, même si la plupart des DSI estime savoir ce qu’il se passe sur leur réseau, en pratique cela n’est pas vraiment le cas. Ces pratiques liées au « Shadow IT » représentent un risque pour l’organisation puisqu’elles sont réalisées au mépris des bonnes pratiques et de la sécurité.
Le « Shadow IT » illustre bien une problématique très liée à la culture française : les utilisateurs sont habitués à un niveau de liberté important. Résultat : les responsables IT sont souvent vus comme les « méchants », bloquant ou ralentissant les projets, privant de liberté les collaborateurs en empêchant l’accès à Internet ou à des applications, et instaurant des règles au prétexte de la sécurité.
Rappelons tout de même qu’en Allemagne, les politiques en matière d’accès au web pour les salariés sont bien plus strictes qu’en France…
La sécurité, encore une fois « le parent pauvre » des nouvelles tendances
Les prestataires de Cloud ont besoin de vendre l’utilisation de leurs infrastructures et de leurs services afin de rentabiliser au plus vite leurs investissements. D’un point de vue business, cela se comprend. Mais d’un point de vue sécuritaire, le niveau n’est pas suffisant tout simplement parce que la sécurité n’est pas pensée dès le début des projets.
Dans le Cloud, à l’instar de ce que nous observons sur des nouvelles tendances en entreprise tels que les objets connectés, la sécurité est le « parent pauvre ». La sécurité coute chère et les prestataires de Cloud doivent générés des profits avant de penser à renforcer la sécurité de leurs infrastructures.
De l’importance de faire confiance aux prestataires
Le Cloud impose à l’entreprise de confier tout ou partie de ses données et applications ou encore d’utiliser les infrastructures d’un tiers. En terme de sécurité, cela suppose pour la DSI de pouvoir s’appuyer sur des prestataires de confiance, et donc de prendre le temps de sélectionner les bons partenaires, de connaître les hommes derrières les solutions et les services.
Car en effet, en cas de problème de sécurité, ce n’est pas le prestataire qui sera tenu pour responsable, mais bien la DSI qui aura fait le choix du prestataire.
Pour cette raison, entre autres, le Cloud de proximité est très sollicité par les entreprises françaises. Beaucoup d’entreprises se sentant rassurées par le Cloud de proximité parce qu’elles savent que leurs données sont hébergées près de chez elles et qu’elles ont parfois pu visiter les installations des Datacenter dans lesquelles leurs données se trouvent physiquement.
Mais attention, une proximité physique avec ses données ne signifie pas forcément une sécurité renforcée et un service optimal. L’entreprise doit définir quels sont ses besoins premiers afin de définir le bon modèle.
Prenons l’exemple d’une entreprise qui ne dispose pas de données très sensibles ou d’applications critiques à placer dans le Cloud mais qui a plutôt besoin d’un accompagnement de proximité pour faire évoluer rapidement ses ressources. Cela ne pose pas de problème que ses données soient hébergées quelque part à l’étranger, par contre elle a absolument besoin d’une équipe de support à proximité pour adapter les besoins en temps réel.
Alors lorsque l’on parle de Cloud de proximité, il est important de définir ce dont on a le plus besoin : un hébergement de ses données à proximité ou une équipe de services à proximité ?
En matière de Cloud, les entreprises françaises ont encore un vrai déficit en matière de perception et de collaboration en interne, et de nombreuses problématiques de sécurité résultent de ce déficit. Dans un premier temps, il apparaît crucial d’éduquer toutes les parties prenantes de l’entreprise sur les enjeux de la sécurité et les règles liées au développement de projets Cloud, afin que chacun prenne conscience de sa responsabilité en matière de Cloud et de sécurité.
Enfin, afin de garantir plus de sécurité au Cloud – dont la sécurité n’a pas été forcément la priorité initiale, que cela soit par manque de compétences en sécurité du fournisseur ou par manque de moyens – de nouvelles solutions sont apparues dernièrement : comme l’ajout d’une couche de sécurité directement dans le nuage avec des prestataires qui proposent de la « tokenisation » ou encore du chiffrement des données. On peut y voir une bonne solution pour palier à cette incapacité persistante de nombre d’entreprises françaises à faire collaborer leurs salariés et dirigeants, afin de mener à bien des projets Cloud, finalement avantageux pour tout le monde.