La perspective d’une migration de l’infrastructure informatique vers le cloud est de plus en plus séduisante pour de nombreuses entreprises et organisations. Les principaux bénéfices à attendre pour elles sont les économies en termes de coûts, la flexibilité et le gain de temps.
Nombre d’entreprises ont également réalisé que le passage au cloud peut les aider à accroître la visibilité et l'efficacité de leur sécurité.
La perspective d’une migration de l’infrastructure informatique vers le cloud est de plus en plus séduisante pour de nombreuses entreprises et organisations. Les principaux bénéfices à attendre pour elles sont les économies en termes de coûts, la flexibilité et le gain de temps leur permettant de se concentrer sur les services et les applications qui sont importantes pour leurs clients.
Nombre d’entre elles ont également réalisé que le passage au cloud peut les aider à accroître la visibilité et l'efficacité de leur sécurité. Ainsi, bien que les avantages du passage au cloud soient évidents, certaines questions doivent se poser afin de le faire efficacement et en toute sécurité.
Par exemple : à quel moment et à qui incombe la responsabilité de la sécurité à chaque niveau d’intervention ?
La sécurité doit être la priorité numéro 1
La sécurité doit être la priorité absolue de tous les fournisseurs de cloud digne de ce nom. Cependant, ces derniers proposent des offres avec différents degrés de sécurité, il est donc important de bien comprendre quand intervient la responsabilité de chacun. En matière de sécurité, les fournisseurs de solutions en mode « Software as a services » (SaaS) supportent ainsi la majorité des responsabilités, les fournisseurs de solutions « Plateform as a service » (PaaS) ont une part moindre de responsabilité, alors que les fournisseurs de solutions en mode « Infrastructure as a Service » (IaaS) proposent un modèle de responsabilité partagée. Concernant la sécurité physique, les fournisseurs de cloud sont responsables de la gestion des gardiens, clôtures, contrôles d’accès, alarmes anti-intrusion et caméras de vidéosurveillance dans leurs datacenters qu’ils doivent concevoir et exploiter en suivant des directives strictes. La sécurité virtuelle des milliers de serveurs, commutateurs, répartiteur de charge et les machines virtuelles dans ces datacenters concernent un autre pan de la responsabilité qui incombe au fournisseur de cloud.
Le client expérimenté exigera que son fournisseur cloud apporte la preuve de son obtention des certifications et accréditations, témoignant de la sécurité de son offre. Ces certifications et accréditations sont décernées par des auditeurs tiers qui contrôlent que la sécurité mise en place correspond bien aux normes imposées par les organismes fortement réglementés comme les gouvernements, la santé ou la finance.
Ainsi, la certification la plus étendue et respectée est nommée ISO-27001. Développée par l'Organisation Internationale de Normalisation, la norme ISO-27001 est reconnue par les entreprises du monde entier. Les fournisseurs d'infrastructure cloud devraient également se soumettre aux vérifications du Service Officiel de Contrôle 1, 2 et 3 (SOC 1, 2, 3) qui permettent de garantir la conformité de leurs politiques internes. La certification de la sécurité de l'infrastructure technologique d'un fournisseur de cloud par les auditeurs permet aux RSSI (Responsables de la Sécurité des Systèmes d’Information) de mieux évaluer les offres de cloud computing. Les clients doivent aussi se renseigner quant aux certifications et accréditations applicables à leur secteur d'activité. A titre d’exemple, l’industrie des cartes de de paiement doit se conformer à la norme de sécurité PCI DSS de niveau 1.
Votre espace privatisé dans le cloud
Certains fournisseurs, comme Amazon Web Services, offrent également la possibilité aux clients de bénéficier d’un espace isolé dans le cloud, ce que nous appelons un Cloud Privé Virtuel. Dans ce cas, les clients ont le contrôle complet de leur environnement réseau virtuel et ont, ainsi, la possibilité de choisir leur série d'adresses IP, de créer des sous-réseaux, de configurer des tables de routage et des passerelles réseaux et peuvent aussi définir les règles de pare-feu associées.
Ce service est utilisé par des entreprises qui souhaitent pourvoir utiliser le cloud comme une extension de leurs centres de données existants, tout en bénéficiant de la flexibilité et du faible coût des services de cloud computing. Fondamentalement, il n'y a rien d’incohérent à fournir de l’infrastructure à la demande tout en offrant un espace isolé et sécurisé aux entreprises habituées à utiliser un environnement, sur site ou en colocation, déjà mis en place.
D’ailleurs, une entreprise qui tire profit de cette technologie est Schneider Electric, spécialiste mondial de la gestion de l’énergie. Schneider Electric propose des produits, services et solutions dans les domaines de la distribution électrique, des automatismes industriels, de l’énergie sécurisée ou encore dans les automatismes du bâtiment. L’entreprise utilise le cloud comme un réel accélérateur de croissance, par son efficacité et sa fiabilité. Ainsi parmi les 15 applications fonctionnant sur AWS actuellement, Schneider Electric a déployé un réseau social d’entreprise, nommé SPICE, basé sur la technologie TIBCO TIBBR. Cette solution a été migrée vers Amazon VPC afin de garantir de meilleurs performances réseaux et applicatives. Le réseau social d’entreprise permet aux 90 000 collaborateurs de Schneider Electric qui ont un compte de bénéficier d’un réseau social collaboratif à l’échelle mondiale dans un environnement privatisé et sécurisé. En effet, les employés y partagent leurs bonnes pratiques avec pour objectif de collaborer en interne plus efficacement.
Cela signifie que de nombreux projets en cours sont discutés sur cette plateforme et que les informations échangées ne sont donc pas destinées à être rendues publiques. Ainsi, l’utilisation d’Amazon VPC permet ainsi à Schneider Electric de bénéficier d’un espace isolé et sécurisé dans le cloud tout en faisant profiter leurs utilisateurs d’une expérience de navigation optimale aux Etats-Unis, en Europe ou encore en Asie Pacifique, grâce à une connectivité directe vers les infrastructures d'Amazon et une accélération réseau de bout-en-bout.
Le partage des responsabilités en matière de sécurité
Alors que le cloud peut offrir un niveau plus élevé de sécurité physique et virtuelle que la plupart des entreprises ne peuvent se permettre dans leurs propres locaux, il faut également souligner que la sécurité dans son ensemble est une responsabilité partagée entre le client et le fournisseur de cloud.
En effet, les fournisseurs de services de cloud computing peuvent être très sécurisés, cependant, si un client lance une application non sécurisée ou vulnérable dans le cloud, il risque de compromettre son projet. Inversement, si un client exécute une application très sécurisée dans un environnement cloud peu sécurisé, il encourt le même risque. L’objectif de cette responsabilité partagée est de faire bénéficier aux clients de la flexibilité et du contrôle nécessaires afin de leur permettre de déployer des applications qui répondent convenablement à leurs besoins.
Effectivement, la plupart des entreprises ne peuvent pas s’octroyer le luxe de dédier des ressources à la sécurité physique ou virtuelle. Un bon fournisseur de services cloud doit être en mesure d’investir massivement dans des technologies, des procédures et du personnel de sécurité. Ainsi, la sécurité dans le cloud est réalisable à grande échelle, et nous sommes impatients de voir les entreprises continuer à innover dans leurs pratiques IT au profit de leurs activités et cela dans un environnement technologique sécurisé, hautement disponible à faible coût.
Stephen Schmidt
Source