36% des salariés pensent que leur entreprise a déjà souffert d’une cyberattaque... en réalité, c’est le cas de plus de 90% d’entre elles.
La sécurité de l’externalisation est l’une des questions qui a le plus fait jaser ces dernières années et les acteurs de la chaîne de valeur cloud doivent rassurer leurs clients et prospects. Avec le temps, les freins ont été levés, mais parfois la barrière psychologique reste. Mes données sont-elles en sécurité si je n’ai pas la main sur les infrastructures ou l’acteur qui les gère directement pour moi ? Il a été tout d’abord question de « sûreté » de fonctionnement : taux de disponibilité, capacité de récupération… L’immense majorité des acteurs, infogéreurs et opérateurs de cloud, ont été cependant capable de fournir rapidement des SLA. Au quotidien, seul un nombre restreint d’entre eux sont vraiment à même d’expliquer de façon transparente « comment » ils atteignent ces chiffres, pour que la promesse colle avec l’expérience vécue du client. Au final, c’est un facteur clé de différenciation.
Menace interne : le principal facteur est le risque humain
Reste ensuite la question de la « cybersécurité ». L’argument phare du cloud est justement d’offrir une meilleure sécurité que ce que beaucoup d’entreprises peuvent espérer réaliser « chez elles ». Cela vient simplement de la mécanique de spécialisation : la sécurité est un aspect du core-business d’un prestataire cloud, pour qui il en va tout simplement de sa crédibilité et de la confiance de ses clients… là où elle est vue souvent comme un frein et un centre de coût pour les dirigeants et les métiers dans de nombreuses entreprises.
Les chiffres ont d’ailleurs tendance à prouver que la sécurité est souvent moindre chez soi, que ce qu’on ne pense. IBM estimait ainsi, il y a quelques mois, que 55% des attaques survenues en 2014 étaient le fait de « menaces internes » ou « quasi-internes », autrement dit : des employés mal intentionnés ou étourdis, des prestataires intervenants sur place ou encore des personnes étant amenées pour diverses raisons à se trouver dans les locaux. Un des moyen de réduire ce risque est d’automatiser et d’orchestrer l’exploitation, le déploiement… toutes les tâches critiques qui touchent à l’infrastructure / au cœur de réseau.
Définir clairement sa politique de sécurité à l’heure du cloud
A côté de cela, pénétrer dans un datacenter professionnel – physiquement ou par un « accès » numérique – est souvent une autre paire de manche. Évidemment ce serait un raccourci que de penser qu’un partenaire infogéreur peut, à lui seul, assurer tous les tenants et aboutissants en matière de sécurité alors que les systèmes d’information n’ont jamais été aussi ouverts, complexes, voir fragmentés.
Une entreprise doit être capable de définir clairement sa politique de sécurité à l’heure du cloud, car c’est ce qui lui permettra non seulement d’avoir une gouvernance rationnelle, mais aussi de veiller à ce que ses prestataires soient à la hauteur. Elle doit pouvoir imaginer le rôle positif d’autres places fortes, offertes par les logiques cloud et d’infogérance. Les normes et labellisations des datacenters et des acteurs du cloud – y compris de la part de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) – aident à ce titre à y voir plus clair. De plus, une stratégie d’externalisation cloud est souvent l’occasion de remettre à plat le sujet et de gagner en maturité en se posant des questions qui n’avaient pas été mise en avant depuis des années en interne.
Malheureusement, il reste du chemin à faire. Non seulement les compétences en matière de sécurité se font encore rares, même pour les plus grandes entreprises, afin d’instituer ou de mettre à jour de telles politiques, mais en plus la perception du problème s’avère souvent biaisée.
(*) Source : sondage Opinion Way – CapGemini/Sogeti publié en juin 2015