Article écrit en collaboration avec Katia Gatwa Keza, Manager, Cyber Risk Services.

Agilité, flexibilité, réduction des coûts fixes : les promesses sans cesse renouvelées du Cloud Computing séduisent de plus en plus décideurs publics et privés. Preuve de ce succès : les marges insolentes affichées par les fournisseurs de services cloud et la part croissante dans les budgets DSI de ce mode d’approvisionnement à la demande. Le cloud a indéniablement de beaux jours devant lui : il bouleverse la manière dont particuliers et entreprises consomment les services numériques, redistribue les cartes entre acteurs historiques de l’outsourcing et nouveaux entrants et d’aucuns prédisent même qu’il serait en passe de reléguer l’informatique au rang de produit de commodité. Face à ces prévisions optimistes, les préoccupations autour de la sécurité des données restent réelles et l’actualité foisonnante des cyberattaques toujours plus sophistiquées les unes que les autres vient nous le rappeler. Dernière en date : un hébergeur et fournisseur de cloud cible d’une attaque par déni de service d’une ampleur inédite impliquant des caméras connectées…

Alors, entre donner un blanc-seing aux fournisseurs de services cloud pour gérer la sécurité des données qu’ils hébergent ou céder au discours anxiogène et passer à côté d’opportunités de croissance, où trouver le juste milieu ? Quelle stratégie adopter pour ne pas être pris de court et protéger les données et l’image de l’entreprise ?    

Tirer tout le potentiel des Big Data et de l’internet industriel

Tout d’abord, force est de constater que jusqu’ici les cyber-attaques aussi spectaculaires soient-elles, n’ont pas réussi à infléchir la courbe d’adoption du cloud. L’engouement pour les infrastructures et applications à la demande croit sans relâche. Ce mode d’approvisionnement drainera ainsi 49% des budgets DSI d’ici trois ans [1]. Car les décideurs l’ont bien compris : outre la promesse de réduire les couts d’exploitation, adopter le cloud, c’est aussi se donner les moyens de tenir une autre promesse de taille : celle de faire parler les Big Data, ces gisements de données issues de sources aussi hétérogènes que les vingt milliards d’objets connectés que comptera le monde d’ici la prochaine décennie. D’ores et déjà, centres de données, transformateurs électriques ou encore systèmes de contrôle commande en sont équipés, pour ne citer que quelques exemples dans le secteur de l’énergie. Car Internet industriel rime avec cloud et virtualisation : en offrant des moyens à la demande pour stocker, traiter et transmettre en temps réel la masse de données issues de ces capteurs, le cloud s’affirme comme un allié technologique incontournable de la transformation des entreprises industrielles à la recherche de nouveaux relais de croissance. Nombre d’acteurs de ce domaine passent ainsi progressivement d’une logique de produits (vendre des transformateurs électriques) à une logique de services numériques à forte valeur ajoutée pour leurs clients.

Adopter une démarche par les risques

La question n’est donc plus désormais : « allons-nous dans le cloud ? » mais plutôt : « comment y allons-nous ? ». En d’autres termes : quel(s) modèle(s) de service et de déploiement adopter pour quels usages et quelles données ? Et surtout à quels risques ? Faire le choix d’un cloud public pour héberger des applications dont dépend étroitement l’avantage compétitif de l’entreprise ou se doter d’un outil collaboratif « as a service » expose à une palette de risques sécurité qu’il convient de mesurer et d’anticiper bien avant même le choix d’un quelconque fournisseur. Car faut-il le rappeler ? Du point de vue de l’entreprise cliente, héberger ses applications et ses données dans le cloud n’atténue en rien les retombées en cas d’incident de sécurité majeur, comme par exemple une fuite massive de données. L’approche par les risques s’avère donc incontournable pour qui veut garder la maîtrise de ces données et préserver son image de marque.

Une fois les risques évalués, un plan d’assurance sécurité doit être établi avec le fournisseur afin de s’assurer que celui-ci s’engage à mettre en œuvre les exigences et mesures de sécurité adéquates pour couvrir ces risques, et ce tout au long de la durée du contrat. Parmi ces exigences :

–         Le respect du cadre légal et réglementaire en vigueur, notamment en matière de protection des données personnelles et de droits de propriété intellectuelle

–         Le déploiement de mesures de sécurité liées à l’exploitation (veille sur les vulnérabilités, sauvegardes, mise à disposition de traces en cas d’incident)

–         La réalisation régulière d’audits de sécurité par des prestataires tiers qualifiés

–         Dans le cas de services SaaS, le respect de la clause de réversibilité permettant au client de disposer de l’ensemble de ces données dans un format ouvert au terme du contrat

Faire de la sécurisation des identités et des accès la clé de voute du dispositif

Alors faut-il s’en tenir là ? Pour répondre à cette question, rappelons cette métaphore désormais bien connue, de l’entreprise digitale d’aujourd’hui : celle de l’aéroport. Hub ultra connecté dont les frontières mouvantes s’étendent dans le cloud et où utilisateurs, applications, terminaux mobiles et autres serveurs partagent des données et accèdent à des systèmes déployés dans le hub, le cloud ou chez un partenaire. Ce changement de paradigme qui caractérise l’entreprise ouverte et agile d’aujourd’hui place la gestion des identités au cœur des dispositifs de sécurité. L’entreprise n’étant plus une forteresse imprenable, l’enjeu est désormais de protéger les données et les applications au plus près, quelle que soit leur localisation. Parmi les objectifs poursuivis : créer des zones de confiance par la fédération d’identités (à l’instar des zones d’embarquement) où, une fois authentifié l’utilisateur peut accéder en toute liberté aux données et ressources auxquelles il est habilité ; administrer de manière centralisée les identités et offrir des moyens d’authentification renforcés pour les données les plus sensibles ; enfin, tracer les accès et s’assurer du respect de la conformité.

Déployer une stratégie d’IAM (Identity and Access Management) nécessite une expertise à la fois sur les risques, les processus et la gestion du changement propres à ce domaine. C’est l’analyse de risque qui éclairera le choix technologique qui peut se porter sur des solutions d’IAM bien établies ou s’orienter vers un CASB (Cloud Access Security Broker) selon la maturité de l’entreprise.

[1] Source IDC

Si ce sujet vous intéresse, n’hésitez pas à me contacter.