(0)
Bonnes pratiques

Vos partenaires cloud sont-ils suffisamment secure ?

  • François Gratiolet
    Président de Business Digital Security

L’avenir s’écrira dans les nuages. Dès aujourd’hui, les acteurs économiques et les organisations envisagent les solutions cloud avec un intérêt grandissant. Selon une récente étude menée par ServiceNow, plus de la moitié des personnes interrogées dans le monde (52 %) ont déclaré qu’elles choisiraient le cloud — sous la forme SaaS ou PaaS — comme plateforme privilégiée pour déployer de nouvelles applications métier, et ce au détriment d’infrastructures propres.

Toujours plus de cloud

A moyen terme, on peut imaginer que l’ensemble des organisations aura recours au cloud sous une forme ou une autre. Plus ou moins rapidement, certes, mais elles l’adopteront. C’est le sens de l’histoire et on ne voit pas, aujourd’hui, ce qui pourrait induire un changement d’orientation. Croissance exponentielle des données produites, besoin grandissant d’accéder à des ressources informatiques importantes sur des périodes de temps parfois très limitées, volonté des acteurs de réaliser des économies d’échelle et profiter d’une structure de coûts flexibles… Les principales tendances du moment nous conduisent vers toujours plus de cloud.

Ce mouvement de migration d’une infrastructure propre vers des ressources largement mutualisées soulève tout de même de nombreuses questions relatives à la cybersécurité. L’adoption du cloud doit s’appuyer sur une stratégie claire en matière de protection des données et des systèmes d’information. On ne le répétera sans doute jamais assez.

Intégrer la cybersécurité à sa réflexion

Les acteurs économiques qui envisagent le recours au cloud seront bien avisés de se demander ce qu’est un cloud secure. Répondre à cette question n’a rien d’évident. Les critères à prendre en considération sont nombreux et dépendent de l’activité que l’on souhaite mener. Une réelle réflexion est nécessaire et doit permettre d’envisager une gouvernance optimale en matière de gestion des ressources cloud. S’il n’a jamais été aussi simple d’accéder à de nouvelles ressources informatiques, le défi est de parvenir à garder la maîtrise sur ces actifs aujourd’hui ô combien précieux que sont les données et de préserver l’entreprise de toute fuite, vol ou perte d’intégrité de celles-ci.

En matière de cybersécurité, en l’occurrence, les garanties offertes par les fournisseurs de solutions cloud, dans leur grande hétérogénéité, peuvent varier du tout au tout. Comment, dans ce contexte, offrir aux équipes IT l’agilité et la flexibilité requises sans rien concéder en matière de sécurité ?

Référencer, préalablement, les fournisseurs de services cloud

Une des réponses à apporter réside dans le référencement des acteurs cloud, des solutions ou prestataires de services mutualisés, répondant aux exigences établies en matière de sécurité. L’idée est d’évaluer un ensemble de prestataires de confiance susceptibles d’apporter des réponses aux besoins à venir. Ce référencement devra être effectué en regard de la stratégie cyber qui, elle-même, doit être en phase avec la stratégie business.

J’ai personnellement eu l’occasion d’accompagner de tels projets de référencement pour des acteurs du secteur de la banque et de l’assurance. Ce travail méticuleux offre de belles opportunités et crée de la valeur pour les organisations. En effet, une fois la liste des fournisseurs sur lesquels on peut compter dressée, les équipes métier ou informatiques peuvent librement et en quelques jours, et surtout sans crainte, recourir à leurs services, en amont de tout projet ou développement. On évite surtout de devoir, pour chaque besoin, réitérer une évaluation lourde, complexe, pour garantir la sécurité. Si le cloud permet d’accéder à plus de flexibilité et d’agilité, il est en effet dommageable que des procédures de contrôle viennent alourdir son adoption.

La puissance du cloud sans rien sacrifier à la sécurité

La stratégie cyber préalablement établie permet de définir comment chaque actif informationnel doit être sécurisé. Selon les besoins et les enjeux métier, une fonction pourra s’appuyer sur un service cloud plus ou moins sécurisé. Par exemple, des projets de développement n’impliquant pas de données sensibles pourront s’appuyer sur des ressources cloud ouvertes, présentant un niveau de sécurité plus faible et donc moins chères qu’un processus d’analyse de données clients. Le référencement, représenté graphiquement par exemple sous la forme d’un quadrant magique, permet d’établir la liste des fournisseurs autorisés pour chaque fonction, au regard des garanties en matière de sécurité qu’ils offrent. La carte des fournisseurs cloud référencés devra néanmoins être actualisée pour tenir compte des évolutions de l’environnement de l’organisation et des fournisseurs eux-mêmes.

Une fois ce travail effectué, les divers services d’un groupe pourront approvisionner des ressources ou adopter le cloud en connaissance de cause, avec efficience, en profitant de réelles économies d’échelle sans rien sacrifier à la sécurité.

Biographie

François Gratiolet est le président de Business Digital Security (cabinet de conseil en stratégie et marketing dans les domaines du digital et de la cybersécurité).
Précédemment Deputy Head of Group IT risk, Security & Assurance La Poste ou CSO EMEA Qualys, il travaille depuis 18 ans à la définition et au pilotage de projets de transformation business et de gestion des risques IT pour des grands groupes, ainsi que des missions de conseil en stratégie, marketing, évangélisation et développement d’affaires pour des start-ups, éditeurs technologiques ou fournisseurs de services. Diplômé de l’Executive MBA de l’ESCP Europe (2011) et de Telecom ParisTech (1999), il est certifié CISM, CISA et Risk Manager ISO 27005. Il est membre de l'IFA et du groupe cybersécurité de Telecom ParisTech où il pilote l'initiative cyber assurance.

(0)

Commentaires (0)

Pas encore de commentaires

Commenter cette page

Votre adresse de messagerie ne sera pas publiée.