Home » Technologie » Cloud Computing » Sécurité du cloud : cinq erreurs humaines à éviter

Sécurité du cloud : cinq erreurs humaines à éviter

Tech Page One

Les fournisseurs de services cloud public ont conçu des plateformes dotées d’un très haut niveau de sécurité. Gartner est formel, les failles de sécurité viendront des clients.

Sécurité du cloud : cinq erreurs humaines à éviter

Ils ne s’en sont jamais cachés. Les directeurs informatiques ont à de multiples reprises exprimé leurs craintes concernant la sécurité du cloud. Mais après des années de maturation, il existe aujourd’hui de nombreuses stratégies permettant de rendre ces environnements plus sûrs. Chiffrement, authentification, ou même simplement sensibilisation aux bonnes pratiques sont autant d’aspects qui peuvent jouer un rôle important dans la sécurisation.

La peur, parfois justifié, parfois irrationnel, du grand méchant cloud a pendant une longue période fait obstacle à l’adoption de solutions innovantes. L’appréhension collective était palpable dès lors qu’un responsable évoquait la possibilité de s’orienter vers le cloud. L’idée de céder une part de contrôle à une autre organisation suscitait la crainte. Il se pourrait néanmoins que cette méfiance ne soit pas orientée dans la bonne direction. Selon les prédictions de Gartner, d’ici 2020 « 95 pour cent des failles de sécurité relatives au cloud seront liée à un manquement de la part du client. »

Les processus avant la technologie

Pour éviter de commettre des erreurs et travailler dans le cloud en toute sécurité, des processus et stratégies adaptés doivent donc être élaborés dès les prémices du projet. Différentes approches sont possibles selon le type de cloud choisi : public, privé ou hybride.

Dans le cloud public, les principales préoccupations seront de nature procédurale : les prestataires de cloud public emploient d’importantes équipes d’experts en sécurité, recourent à des techniques avancées et ont des processus de maintenance maîtrisée. Vos interrogations devront donc plutôt se porter sur les procédures en place, la localisation des données ou les conditions de réversibilité.

La plupart des entreprises européennes se concentrent toutefois sur le déploiement d’infrastructures privées ou hybrides. Dans ces scénarios, plusieurs erreurs classiques peuvent être simplement éviter.

1) Échanger sans chiffrer

L’un des élément clés de toute stratégie de sécurité réside dans la mise en œuvre d’un chiffrement rigoureux. Mais attention, ce chiffrement ne doit pas seulement porter sur les données stockées. Il doit intervenir sur toute la chaîne, y compris sur les données en mouvement. Les solutions de chiffrement offrent aujourd’hui ces différentes couches de protection au sein d’un environnement cloud privé.

2) Segmenter sans personnaliser

L’un des avantages clés du cloud réside dans la capacité à séparer les services du matériel physique sur lesquels ils reposent. Cette séparation peut néanmoins se révéler à double tranchant. Il se peut que vous souhaitiez allouer des droits d’accès, des capacités de calcul, des espaces de stockage ou encore de la bande-passante différents selon les départements – un groupe d’ingénieurs utilisera par exemple des applications plus gourmandes que l’équipe de comptabilité, qui elle utilisera des données plus sensibles que les services généraux. Dans un datacenter traditionnel, un tel cloisonnement entraînerait une séparation physique des équipements. Dans un environnement de cloud privé, cette granularité devra être gérée par des fonctions logicielles simples et performantes.

3) Authentifier sans simplifier

Pour que le cloud puisse fonctionner efficacement, il est nécessaire de savoir qui accède au système. Il est par conséquent essentiel de mettre en place un système complet de gestion des identités, afin de garantir l’authentification des utilisateurs et un contrôle fin des accès aux données. Dans le cas d’un cloud hybride, pour éviter une complexité source de failles, le système devra pouvoir gérer via une interface centralisée, l’utilisation des ressources dans le cloud et sur site.

4) Ouvrir sans contrôler

Passer au cloud ne signifie pas renoncer à sa protection périmétrique. Il demeure impératif d’assurer une protection contre les attaques informatiques externes tout en permettant l’utilisation des ressources par les collaborateurs autorisés de n’importe où. Inutile ici de réinventer ce qui fonctionne en interne. Le pare-feu rester un indispensable de l’arsenal de sécurité. Mais le DSI devra également adjoindre une solution de contrôle lui offrant une visibilité complète sur les flux entrants et sortants afin de détecter toute activité inhabituelle au sein de son environnement.

5) Sécuriser sans sensibiliser

Pour que ces procédures soient pleinement efficaces, il est nécessaire qu’elles soient soutenues par toute l’entreprise. Les organisations doivent convenir d’un ensemble de directives, les appliquer et informer le personnel sur leur mise en œuvre. Ceci implique la mise en place de mécanismes de contrôle et de notification, des mises à jour et audits réguliers, ainsi qu’une coordination entre les différents départements. Les entreprises ne doivent pas considérer que le déploiement du cloud relève uniquement de la responsabilité du département informatique. Pour que la technologie soit efficace, il est nécessaire que tous les acteurs agissent de concert, en appuyant les politiques de sécurité.

 

Maxwell Cooter

Maxwell Cooter

Max est un journaliste indépendant qui s’intéresse à une grande variété de sujets liés à l’informatique. Il a été le rédacteur en chef et le fondateur de Cloud Pro, l'une des premières publications dédiées au cloud. Il a également fondé et écrivait pour Techworld d'IDG après avoir été le rédacteur en chef de Network Week. En tant que journaliste pigiste, il travaillait pour IDG direct, SC Magazine, Computer Weekly, Computer Reseller News, Internet magazine, PC Business World et bien d'autres. Il a également participé à de nombreuses conférences et a été commentateur de la BBC, ITN et de la version online de la chaîne CNBC.

Derniers articles:

 

Tags: Cloud Computing, Technologie,  Sécurité