À l’ère du multi-Cloud, les entreprises qui n’ont pas adopté le Cloud à un degré ou à un autre sont rares. Et pour cause, quelle entreprise pourrait se permettre de faire l’impasse sur des gains de coût et d’agilité ?
Pourtant, les nombreux bénéfices du Cloud ne suffisent pas à faire taire toutes les craintes, la première d’entre elle étant, de loin, la sécurité. Elle est un aspect majeur à prendre en compte à chaque phase du cycle d’adoption du Cloud, avec le transfert progressif des ressources informatiques en dehors des murs de l’entreprise. De même, face à l’utilisation simultanée du Cloud privé et public et de systèmes sur site, les entreprises doivent déterminer à qui incombe la protection de quelle ressource.
Pour bien comprendre l’évolution de la sécurité du Cloud et où nous en sommes, et ce qui nous attend, il nous faut revenir à l’époque où les serveurs, les logiciels et la plupart des fonctions opérationnelles se trouvaient sur site, leur gestion et leur maintenance étant sous votre responsabilité.
Phase 1 : vérification de la taille des serveurs
Tant que la salle des serveurs restait dans leurs locaux, la capacité de « voir et toucher » les ressources informatiques donnait aux entreprises l’assurance que celles-ci étaient en lieu sûr. Elles en avaient la maîtrise totale et la responsabilité ultime, ce qui en simplifiait la sécurité et leur permettait souvent de se contenter de logiciels élémentaires de cybersécurité et de règles robustes.
Cependant, avec l’augmentation de la demande sur les réseaux et de leur bande passante, et alors que la capacité de stockage a atteint un point de rupture, l’espace physique nécessaire pour répondre aux besoins informatiques de l’entreprise et les coûts associés sont rapidement devenus un obstacle à l’exploitation de l’informatique en interne. Le Cloud a donc été l’étape naturelle suivante, afin de délester l’informatique mais souvent au détriment de la sécurité.
Phase 2 : montée en puissance et expansion
En leur évitant de tout conserver sur site, la progression des technologies Cloud a facilité aux entreprises l’expansion de leurs ressources informatiques et leur a permis de répondre à la pression exercée sur leurs infrastructures par les clients et par le marché.
Toutefois, en dépit de ses promesses, l’avènement du Cloud a été accueilli avec des sentiments mitigés. L’équipe informatique s’est imposée comme le moteur du Cloud, y voyant un moyen de satisfaire les objectifs d’efficacité et de performances. Or, sous l’angle de la sécurité informatique, un nouveau facteur de risque a fait son apparition. Sous l’impulsion des responsables en quête de performances et de flexibilité, le Cloud est rapidement devenu la marche à suivre mais sa sécurité n’a souvent été envisagée qu’après coup, sans approche stratégique ou coordonnée. Les spams, ransomwares et vols de données sont tout aussi problématiques dans le Cloud que sur site, et l’externalisation des ressources informatiques ne résout rien à cet égard.
Phase 3 : l’informatique contre-attaque
Le département informatique se sentant renforcé, des préoccupations ont été soulevées au sujet de la sécurité des services Cloud et de la viabilité et de la visibilité des solutions hors site. Cependant, l’équipe de sécurité informatique a souvent perdu la partie, la direction de l’entreprise imposant le choix du Cloud. La sécurité a ainsi été maintes fois négligée au profit du gain financier.
Or, en parallèle de tous les avantages que le Cloud apportait à une entreprise, celui-ci n’a également pas tardé à devenir un terrain de jeu pour les cybercriminels ainsi qu’une mine d’informations personnelles et lucratives. De nombreuses entreprises faisant migrer leur infrastructure dans le Cloud ont supposé que leur prestataire assumerait la responsabilité de sa sécurité. Cette dernière a donc été reléguée au second rang des priorités.
Cependant, ce n’est pas toujours la meilleure stratégie, comme peuvent en témoigner les utilisateurs d’Amazon Web Services. Des erreurs de configuration du service de stockage Cloud S3 ont rendu vulnérables et mis en danger des données sensibles, ce qui a touché de nombreux usagers, parmi lesquels Accenture, l’armée américaine et la télévision australienne ABC, lesquels ont tous été victimes de fuites de données en conséquence. Quel que soit le niveau de services Cloud utilisé, les entreprises doivent employer tous les moyens possibles pour sécuriser leurs propres données.
Phase 4 : la direction impose son autorité
Malgré les inquiétudes, le désir de gains d’efficacité de la direction a conduit les entreprises à s’en remettre de plus en plus au Cloud. De fait, selon nos propres études, en matière de SaaS, 78 %[1] des PME et des grandes entreprises font déjà appel à au moins une forme de service Cloud, tandis que trois quarts (75 %) d’entre elles prévoient de faire migrer davantage d’applications dans le Cloud à l’avenir. Il en va de même pour l’infrastructure. Alors qu’un quart des entreprises (25 %) adoptent déjà une approche hybride et que 24 % en ont l’intention au cours des 12 prochains mois, la question de la sécurité d’une infrastructure informatique qui prolifère ne doit pas en compromettre les avantages.
Phase 5 : une nouvelle approche
Le Cloud étant désormais la norme admise, la poursuite de son adoption est indéniable et inéluctable. Toutefois la sécurité exige une approche différente, en mesure de protéger l’infrastructure la plus complexe et toute configuration Cloud quelle qu’elle soit. En raison de la nature hybride de l’adoption du Cloud, il n’existe pas de solution de sécurité universelle, comme cela a pu être le cas au temps de l’informatique sur site.
Toute solution doit être souple, facile à gérer et axée sur les performances, de façon à ne pas saper les avantages du Cloud. Que vous optiez pour un Cloud hybride, hébergé ou privé, la visibilité du lieu où résident les services et les données est la première étape fondamentale dans la protection de votre activité. Une fois cela établi, chaque composant de l’infrastructure Cloud doit bénéficier de ses propres mesures et technologies de sécurité, afin de protéger l’ensemble des données et équipements de l’entreprise contre les cybermenaces, tout comme celle-ci le ferait à l’intérieur de ses locaux.
Des cybermenaces vont continuer d’évoluer et de cibler les données où qu’elles se trouvent. Ce n’est qu’en déployant des technologies de sécurité qui combinent machine learning et threat intelligence à jour que vous pourrez protéger de manière optimale vos données et l’environnement réseau de votre choix.
Communiqué