La sécurité, grande oubliée dans la migration vers le cloud hybride

Cropped Favicon Economi Matin.jpg
Par Pierre-Yves Popihn Publié le 8 avril 2019 à 6h06
Attaques Ddos Cyber Securite France
@shutter - © Economie Matin
50Une entreprise utilise en moyenne 50 fois plus de services cloud qu?elle n?en a recensé.

Le cloud hybride ne cesse de séduire les entreprises par son agilité, son efficacité et sa rentabilité. Si bien que deux tiers des grandes entreprises déclarent avoir une stratégie ou un programme pilote d’installation de cloud hybride. Pour autant, une caractéristique primordiale est mise sur le banc de touche : la sécurité.

Si les entreprises savent sécuriser leurs datacenters au travers d’outils et de bonnes pratiques, la sécurité du cloud n’est pas intégrée dans cette réflexion. En effet, les règles de sécurité ne sont souvent pas répliquées à minima à l’identique dès lors que l’infrastructure migre dans le cloud. De plus, si l’importance de sa sécurité n’est pas remise en cause, le garant de cette sécurité reste souvent flou. Les entreprises sont face à de nombreux interlocuteurs (fournisseurs, métiers, IT…), qui ont tendance à dissoudre leur responsabilité, pouvant rendre vulnérable une entreprise parfaitement sécurisée on-premise.

Avec cette sécurisation à double vitesse, le cloud devient une nouvelle porte d’entrée pour les hackers. Ces derniers peuvent plus facilement atteindre le datacenter en exploitant les ressources présentes dans le cloud. Se pose alors la question de remettre la sécurité du cloud au cœur de la stratégie d’entreprise, et surtout comment.

Définir des critères d’évaluation pour chaque fournisseur IT

Les capacités offertes par le cloud séduisent de plus en plus les métiers qui y voient une opportunité de croissance… mais les équipes IT n’en sont pas toujours informés, et il arrive souvent qu’une entreprise ait différents prestataires cloud. Les entreprises sont donc loin d’avoir endigué le Shadow IT et le cloud semble même avoir multiplié ces pratiques : selon une étude du Cesin et de Symantec, une entreprise utilise en moyenne 50 fois plus de services cloud qu’elle n’en a recensé.

La mise en place d’une gouvernance autour du cloud se dessine. Celle-ci a pour objectif de valider ou non un fournisseur qui répondrait/ne répondrait pas à des critères d’évaluation, notamment sur un certain nombre de processus et règles établis pour protéger le cloud et sa communication avec les datacenters.

Une sécurisation réussie passe par son automatisation

L’automatisation de la sécurité est la clé pour assurer une sécurité optimale autant on-premise que dans le cloud, notamment pour gagner en efficacité et réduire les délais. Néanmoins, si l’automatisation de l’agilité et de la rapidité du cloud a déjà été intégré au sein des entreprises, l’automatisation de la sécurité reste encore le dernier maillon dans la chaîne de production. Il reste donc encore du chemin à parcourir pour que la sécurité devienne un paramètre « classique », intégré dès le commencement d’un process global.

Fédérer ses collaborateurs autour de la sécurité

La sensibilisation autour de la sécurité ne pourra être faite sans l’appui des salariés. Le dialogue doit notamment être ouvert : sous forme de groupes de travail entre métiers et IT par exemple, pour que chacun comprenne les besoins et les obstacles de l’autre mais aussi pour éliminer le risque autour du Shadow IT. Aussi, le Comex doit également prendre la sécurité comme un axe prioritaire afin que cette problématique ruisselle sur l’ensemble des salariés. Toutefois, les entreprises ont parfois besoin de faire appel à des services externes, pour aider les entreprises en difficulté à sortir la tête de l’eau, de manière à gagner en productivité et en compétitivité.

La migration vers le cloud ne doit pas voir en la sécurité un frein mais plutôt un atout. Finalement, il s’agit, pour les entreprises, de penser leur stratégie en intégrant les paramètres de sécurité, dès le début de leur réflexion. Suivront ensuite des règles prédéfinies, une responsabilité claire et une bonne adhésion des salariés et de la direction.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Pierre-Yves Popihn, directeur Technique France chez NTT Security.