Tandis que les avantages du Cloud de ne sont plus à démontrer, qu’il s’agisse d’améliorer la capacité de stockage, les possibilités d’évolutivité et de productivité, ou encore de lisser les investissements en infrastructures informatiques dans le temps, les entreprises restent sensibles aux problématiques de localisation et de sécurité de leurs données.
Ainsi, en 2013, 57 % des répondants du CloudIndex de PAC affirmaient que la sécurité était le frein numéro un à l’adoption des services de Cloud Computing.
En 2014, ils étaient encore plus nombreux avec 61 % des répondants. Les affaires Snowden, Prism et autres scandales publiés dans la presse n’ont pas arrangé les choses, bien au contraire. Si bien que les entreprises ont désormais des prérogatives particulières concernant la sécurité dans le Cloud. Et ceci est pour le mieux, puisqu’en effet, il est important de se soucier avant toute chose de la fiabilité et de l’infrastructure informatique, du prestataire lui-même, et bien entendu de la possibilité de récupérer facilement la jouissance de ces données.
Mais d’un autre côté, n’y a-t-il pas un certain nombre d’idées reçues quant à la sécurité des environnements Cloud ? Nous allons dans cet article tâcher d’apporter un éclairage sur ces questions.
La migration dans le Cloud s’accélère
Selon une enquête menée par Kaspersky Lab et B2B International sur les risques informatiques en 2014, la moitié des entreprises reconnaissent que les environnements virtuels tiennent une place de plus en plus importante dans leur système d’information.
Bien entendu, les applications métier sont concernées, mais pas seulement. En effet, désormais, même les applications critiques sont utilisées dans le Cloud, et par applications critiques, on peut entendre celles dont l’indisponibilité pourrait avoir un impact important sur le chiffre d’affaires de l’entreprise, sur ses obligations contractuelles, sur sa réputation, voire même sur sa pérennité. De ce fait, il devient absolument vital de pouvoir garantir le fonctionnement de cette application et l’intégrité des données qui sont contenues en son sein.
Les spécificités de la sécurité dans le Cloud
La sécurité dans le Cloud, c’est l’affaire de tous, qu’il s’agisse des responsables informatiques, des utilisateurs eux-mêmes et bien entendu des prestataires informatiques.
Une remise en question de la politique de sécurité doit être effectuée dans le cadre de l’utilisation de services aux infrastructures Cloud, car il existe des spécificités.
Bien entendu, il est toujours important de faire attention à la complexité des mots de passe, de bien connaître les données critiques à sécuriser, et de gérer avec soin les accès et les droits de chaque utilisateur. Mais au-delà de ces conseils pratiques qui s’appliquent à tout environnement informatique, il est également aussi utile de hausser autant que possible le niveau de sécurité.
Ainsi, il est par exemple possible de sécuriser les règles de sécurité et d’accès niveau de la couche applicative en s’appuyant sur le langage SAML (Security Assertion Markup Language) pour échanger les données d’authentification et d’autorisation. En effet, ce protocole, qui devient de plus en plus incontournable, offre un cadre de sécurité indépendant de la plate-forme technique qui l’utilise.
Les atouts du Cloud en matière de sécurité
D’un autre côté, on peut considérer intrinsèquement que le Cloud apporte des niveaux de sécurité supplémentaires, dans la mesure où les infrastructures sont gérées par des prestataires experts en matière de sécurité, et stockées dans des locaux qui disposent d’une surveillance élevée (protection contre le vol, les intrusions, les incendies, le feu…) et de recours en cas de panne (alimentation en énergie, matériels redondants…).
De plus, les prestataires proposent généralement des services managés en matière de sécurité, comme par exemple le déploiement de firewalls, de solutions de filtrage, ou encore de protection anti-intrusions.
Enfin, le prestataire met généralement en place une veille afin d’être en permanence au fait des nouvelles problématiques de sécurité, qui évoluent dans le temps de façon continue. De ce fait, c’est à la fois les terminaux, le réseau, l’Internet et le Cloud qui sont sécurisés par le prestataire, de quoi permettre aux responsables informatiques de l’entreprise de se concentrer sur d’autres sujets.
Ainsi, parce que la sécurité dans le Cloud est prise en charge par le prestataire, elle délivre l’entreprise d’une partie des inquiétudes qui lui sont associées.
En effet, que ce soit du point de vue logiciel ou matériel, c’est le fournisseur qui devra maintenir les différents niveaux de sécurité mise en place, s’assurer du bon fonctionnement, de l’intégrité et des sauvegardes des données.
Parce qu’il est spécialisé dans ce domaine et qu’il utilise à la fois des compétences pointues et des infrastructures en permanence monitorées, le prestataire est plus à même d’assurer la sécurité des informations et des applications hébergées en mode Cloud.
Cependant, l’entreprise doit également jouer un rôle dans cette sécurité. Tout d’abord, en en connaissant les enjeux et en s’assurant que le prestataire dispose des bonnes consignes et qu’il effectue bien son travail. Mais également, en tâchânt de sécuriser jusqu’aux niveaux d’accès de la couche applicative et en sensibilisant ses collaborateurs à ces problématiques de sécurité informatique.
