Now Reading
Les nouveaux enjeux de la sécurité Cloud
0

Les nouveaux enjeux de la sécurité Cloud

by Cloud Guru20 juillet 2015

NUAGEO est un cabinet de conseil spécialisé dans le Cloud Computing. Sa mission est d’accompagner les clients dans la modernisation ou le développement de leur système d’information. Ils nous apportent dans cet article un éclairage d’expert sur les nouveaux enjeux de la sécurité Cloud.

La sécurité est au cœur des questionnements Cloud : des solutions techniques et d’accompagnement ont été développées pour adresser les nouveaux cas d’usages que doit encadrer la DSI. Cependant, si la sécurité est nécessaire dans tout système d’information, la perte symbolique de contrôle induite par le Cloud nécessite de remettre au premier plan la notion de «confiance».

La question de la maîtrise des données doit être envisagée sous 2 angles :

1- La sécurité informatique classique

  • Physique : les accès directs aux serveurs, dans les datacenters
  • Malveillance : piratage, logiciels malveillants, social engineering…
  • Flux : les échanges de données qui passent désormais par internet, et doivent de fait être chiffrés
  • Organisation : le facteur humain qui est le plus souvent la source des failles de sécurité

2 – La confiance envers le fournisseur de service Cloud (CSP)

  • Contrats, SLA, PLA
  • Certifications & labels
  • Audits de la chaine de sous-traitance incluant le CSP (Cloud service provider)
  • Historique opérationnel

La réflexion qui s’engage autour de la sécurité dans le Cloud n’est pas uniquement technique : il s’agit de construire plus de confiance et d’ouverture en s’appuyant sur de nouveaux leviers tels qu’une compréhension poussée du contexte métier du client ou des enjeux juridiques.

Comme nous l’avons déjà souligné, la donnée est au centre de ces nouveaux modèles informatiques. Toutefois, un point majeur évolue : les données sont stockées à “l’extérieur” de l’entreprise. Ainsi la maîtrise passe également par la connaissance de l’environnement qui entoure le stockage de celle-ci:

Data_localisation

Une fois les enjeux de localisation intégrés, il est important de pouvoir qualifier le niveau de criticité des données. Pour cela, le modèle DICT est un outil relativement simple et efficace pour mettre en évidence les enjeux liés à chaque type de données, en fonction des usages associés.

DICT

Pour rappel :

La disponibilité : Le système doit fonctionner sans faille durant les plages d’utilisation prévues et garantir l’accès aux services et ressources installées avec le temps de réponse attendu.
L’intégrité : Les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En bref elle doivent être exactes et complètes.
La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.
La traçabilité (ou « Preuve ») : “garantie que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.”

Cette matrice nous aide donc à qualifier la donnée et le risque qui lui est associé. Une fois cela déterminé, des contres mesures pour minimiser le risque peuvent être déployées.

Les usages Cloud incitent donc à une actualisation de la stratégie sécurité à cause des facteurs suivants:

  • Multiplicité et facilité des accès
  • Perte de contrôle physique sur les données
  • Nouveaux enjeux : juridiques et organisationnels
  • Nouveaux challenges : réversibilité, intégration, disponibilité, besoin de confiance

La confiance devient donc l’un des principaux garants d’une politique de sécurité efficace, et se substitue à une vision “pessimiste” de défiance vis à vis de ses fournisseurs. Les certifications et les solutions spécifiques permettent aux DSI de déployer une politique de sécurité la plus adaptée à l’organisation de l’entreprise et à ses processus.

Pour atteindre cet objectif, nous sommes convaincus qu’il est nécessaire de considérer avant tout les usages des utilisateurs. Par son expertise fonctionnelle et technique, la DSI est l’interlocuteur privilégié des directions métiers pour comprendre et transcrire ces besoins pour mettre en place les solutions adaptées. Les échanges entre DSI et métiers deviennent alors des piliers pour garantir la qualité des solutions et leur intégration totale dans la stratégie SI de l’entreprise.

En conclusion, la mise en place de solutions Cloud doit être l’opportunité de placer les utilisateurs et leurs usages au centre de la réflexion sur la sécurité. L’enjeu est de garder la maîtrise des systèmes mais surtout de restaurer la confiance des utilisateurs.

La récente prise de conscience par les entreprises des impératifs de sécurité, dans le cadre d’une migration vers des outils Cloud, s’inscrit donc en complément des actions existantes liées à la conduite du changement et des efforts d’évolution de la stratégie SI.

L’émergence de ces problématiques a conduit Nuageo à rejoindre Cloud Confidence afin d’accompagner nos clients dans la définition d’une stratégie SI profitant des avantages que le Cloud lui confère dans un cadre durable avec des partenaires de confiance.

NUAGEO

> découvrir le site de Nuageo

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?