Le Cloud, une question de sécurité

    Sécurité Cloud - posté le 31-10-2016 par Hind Bouzidi

    cloud_sécurité_ECN.jpegS’il y a bien une question qui revient souvent lorsque l’on parle du Cloud, c’est bien celle de la sécurité et de la protection des données. Quels sont les risques de sécurité majeurs du Cloud Computing ? Comment assurer une protection des données les plus sensibles ? Nous avons pris le temps d’échanger sur la question avec notre expert Edouard Camoin, Responsable de la Sécurité des Systèmes d'Information chez Outscale.

     

    Quand Cloud rime avec confiance

    Pour Edouard Camoin, la confiance entre entreprises et Cloud Providers doit se construire avant tout autour des garanties apportées par celui-ci en termes de conditions générales d'utilisation, de certifications ou tout élément rassurant au tout début de la collaboration. C’est d’ailleurs pour cela « qu'il est très important de bien étudier les conditions d'utilisations et les différentes certifications, agréments, ... que le provider va pouvoir fournir » avant de s’engager dans une aventure Cloud.

    Entre un fournisseur et un autre, la différence va donc se faire sur ces informations : « il faut mettre dans la balance tous les éléments de garanties que vont pouvoir fournir les différents fournisseurs et puis il appartient ensuite au client d'estimer son risque pour ses données. Il y a des clients qui n'ont pas besoin d'avoir un accès permanent à leurs données mais besoin d'une forte pérennité dessus, et d'autres clients qui ont besoin de pouvoir accéder très régulièrement à leurs données mais qui par contre n'ont pas besoin d'avoir des garanties fortes sur la pérennité de la donnée ». C'est donc ce risque que le client doit étudier pour pouvoir choisir un fournisseur qui répond à tous ses besoins. Pour Edouard Camoin, un des indices de confiance les plus pertinents est un élément de certification « car il assure que le fournisseur est audité régulièrement par un organisme indépendant, ce qui offre des garanties supplémentaires de conformité par rapport à un standard ».

    Autre donnée importante à garder à l’esprit : un fournisseur de Cloud est un spécialiste qui se concentre exclusivement sur ses métiers. Lui faire confiance est donc parfois moins risquée que se lancer dans une infrastructure gérée en interne, où certaines ressources et compétences manquent à l’appel.

     

    Faire de la sécurité un process à tous les niveaux

    De manière générale, la protection des données est une priorité dans chaque process mis en place par un fournisseur de Cloud. Que ce soit au moment du transport des données ou une fois l’infrastructure Cloud bien installée, tous les outils et informations nécessaires sont mis à disposition du client et des équipes pour une sécurité optimale. « La redondance, la résilience, la confidentialité des échanges, ... sont des choses qui sont en règle générale demandées dans tous les standards et qui vont être vérifiés durant des audits de certification ou bien de conformité » précise Edouard Camoin.

    S’il s’avère qu’un jour un bout de l'infrastructure subissait une panne (les pannes matérielles sont des choses fréquentes, en particulier sur les disques) l'intégrité des données doit pouvoir être garantie et le système doit quant à lui être en capacité de revenir à l'état initial (résilience).

     

    Le 100% sécurisé n’existera jamais

    La réponse d’Edouard Camoin a le mérite d’être claire : le 100% sécurisé n'existe tout simplement pas. » Pour lui, la sécurité, c’est surtout positionner un curseur face à des risques et se poser la question de savoir contre quoi nous devons nous protéger afin de mettre en face la réponse la plus adéquate. « Typiquement un algorithme de chiffrement est réputé fiable à un instant donné mais qu'en sera t-il dans 1 an ? dans 10 ans ? ». En effet, la sécurité évolue à la même allure que la technologie dans son ensemble : « des failles de sécurité sont découvertes tous les jours dans les logiciels et c'est le travail des équipes de sécurité de s'assurer que les logiciels sont mis à jour régulièrement pour corriger les failles de sécurité découvertes de manière réactive ».

     

    L’audit, un moyen efficace de mesurer le niveau de sécurité

    Avant de réussir son passage au Cloud Computing, Edouard Camoin nous rappelle combien il est primordial de prendre du recul et de se poser des questions déterminantes pour la suite :

    • Que souhaitez-vous mettre dans le Cloud ?
    • Quel est votre besoin ?
    • Quels sont les risques ?
    Et ce n’est qu’à partir de là que vous pourrez réellement vous poser la question du fournisseur le plus pertinent pour vous. Pour consolider votre décision, il est important d’auditer votre fournisseur : « idéalement, le choix d'un prestataire certifié sur un périmètre correspondant à ce que le client souhaite permettra d'éviter d'avoir à auditer soi-même le fournisseur ». Sinon, il faudra faire appel à des auditeurs indépendants. Et si le fournisseur choisi n'est pas certifié sur un standard défini, dans ce cas il est préférable que le client prévoie des clauses d'audits réguliers afin de s'assurer que le fournisseur rend bien le service tel qu'il l'a défini dans les conditions de sécurité prévues. « Cela rend rapidement le projet coûteux et plus compliqué à gérer car il faut un prestataire d'audit que l'on va devoir gérer à sa charge » précise Edouard Camoin.

    Plus de raison d’avoir peur : si on gère correctement son risque et que l’on choisit le bon Cloud Provider, il n'y a pas de raison que cela se passe mal. Les opérateurs de Cloud, pour la plupart, sont certifiés et donc audités régulièrement sur une multitude de points, le plus souvent liés directement à la sécurité.


    A relire : Le Cloud vous fait peur ?


    Pub Ebook_Outscale_Cloud Insights DSI_Les 4 prerequis pour les entreprises 2

    À propos de l'auteur : Hind Bouzidi

    En tant que spécialiste de la communication, Hind fait preuve de pédagogie et de vulgarisation pour mettre à la portée de tous des sujets techniques dans le domaine des nouvelles technologies.

    https://fr.outscale.com

    Commentaires