Il y a plusieurs années de cela, le Cloud Computing n’était pas aussi démocratisé, tant du point de vue des usages que des mentalités qu’il l’est aujourd’hui. Et la principale crainte des DSI en matière de Cloud Computing, c’était d’abord et avant tout de maîtriser la perte de contrôle de leur système d’information, et notamment, maîtriser les éventuels incidents de sécurité pouvant y être associé. Aujourd’hui, force est de constater qu’il est impossible d’éviter le phénomène du Cloud Computing.
Tandis qu’une étude réalisée par Intel concernant l’adoption du Cloud, auprès de 1200 professionnels exerçant une fonction de responsabilité informatique, révèle que 80% des répondants ont prévu dans leur budget une part réservée au développement ou à l’adoption du Cloud, l’importance, c’est désormais d’adapter sa politique de protection du SI à ce nouvel environnement.
Dans cet article, nous allons passer en revue les nouvelles problématiques liées au Cloud et à la sécurité informatique, et comment il est possible pour les entreprises de s’adapter, quelles que soient leur taille ou leurs compétences en interne.
Le système d’information redessiné par le Cloud
La généralisation de l’environnement numérique dans les entreprises a entraîné un certain nombre de modifications sur le plan de l’infrastructure informatique. En effet, non seulement le nombre d’objets connectés, de tous types, a résolument augmenté, mais également, l’intégration avec le Cloud ou avec des services cloud, ont multiplié le nombre d’entrées possibles au système d’information.
C’est ce qui amenait les spécialistes de la sécurité IT à être extrêmement pessimistes quant aux possibilités de sécuriser le nouvel environnement informatique des entreprises. La donnée n’est plus stockée sur un disque dur physiquement situé au sein des locaux de la structure. Elle peut être sur un appareil mobile, ou dans le nuage, quelque part dans le monde.
Cependant, tandis que les systèmes d’information évoluent, il faut compter également sur l’évolution des méthodologies et des technologies pour les sécuriser. À charge pour les entreprises de programmer cette orchestration de la sécurité informatique façon nouvelle génération.
L’orchestration de la sécurité
Ainsi, tandis que les organisations criminelles se professionnalisent et que les attaques et les chantages auprès des entreprises augmentent, sécuriser son système d’information est plus que jamais nécessaire.
A l’heure du Cloud, cette sécurisation consiste désormais dans l’application d’un certain nombre de précautions et d’outils :
– Pour ce qui est de la protection des données, la mise en place de chiffrement à la source et d’authentification renforcée, authentification à deux facteurs par exemple, sont des prérequis.
– En fonction de la criticité des données, il s’agira également de contrôler le lieu de l’hébergement des données et la conformité avec les réglementations.
– La mise en place de pare-feux de nouvelle génération incluant les objets connectés et le Cloud est également nécessaire. Ces nouvelles solutions de sécurité permettent de répondre aux problématiques du Cloud en déployant de nouvelles couches de protection virtuelles au sein de l’environnement de l’utilisateur. Elles permettent également de mieux gérer le trafic et la bande passante et de redonner aux administrateurs informatiques davantage de contrôle sur leur réseau.
Le recours à un prestataire
Mais pour mettre en place ces procédures, encore faut-il en posséder les compétences et le matériel nécessaires. Tandis que les besoins des entreprises augmentent, on constate une pénurie de talents en matière de sécurité informatique. De ce fait, les professionnels dans ce domaine coûtent cher et les grosses entreprises se les disputent. Mais tandis que ces dernières ont les moyens d’investir dans la protection de leurs systèmes d’information, qu’en est-il des petites et des moyennes entreprises, qui sont pourtant tout autant concernées par ces problématiques de sécurité ?
Dans ce cas de figure, la délégation des compétences informatiques, c’est-à-dire le recours à une prestation d’infogérance, est alors l’orientation privilégiée pour accompagner cette mutation du système d’information dans le Cloud. On parle également de Sécurité-as-a-Service. Il s’agit de boucler la boucle et de proposer aux entreprises dont l’informatique n’est pas le cœur de métier la possibilité de disposer d’infrastructures et de méthodologies de sécurité informatique digne des plus grandes structures.
Précautions et recommandations
Dans le cadre de la mise en place d’une telle démarche, les problématiques sont alors déplacées et ne concernent plus des aspects techniques, mais plutôt des aspects contractuels et réglementaires. Ainsi, le contrat avec le prestataire de sécurité informatique doit être examiné avec soin, afin de déterminer quelles sont les responsabilités des uns et des autres en cas d’incident, sous quel délai les services peuvent être rétablis ou encore, s’il est prévu un plan de continuité d’activité ou un plan de retour à l’activité.
Enfin, si l’infogérant est également l’hébergeur, il faudra contrôler le lieu de localisation des données et la possibilité de garantir l’intégrité de ces données et leur réversibilité en fin de prestation.
Ainsi, nous venons de voir comment le système d’information des entreprises a été redessiné par la multiplicité des connexions avec les objets mobiles et les applications et services liés au Cloud. Tandis que les compétences pointues en informatique se font rares, mais que les besoins de protéger le système d’information par des méthodologies et des outils sont de plus en plus vitaux, les entreprises, et notamment les TPE et les PME sont amenées à recourir à une sécurité elles-mêmes mises en place en tant que service, via des prestataires. Elles s’épargnent ainsi la nécessité de disposer de compétences en interne ou d’investir dans des matériels coûteux, mais il reste à leur charge de s’assurer de conditions contractuelles et réglementaires avantageuses pour la pérennité de leur capital informationnel sur le long terme.
