Quels sont les point clés à considérer avant de confier tout ou partie de son infrastructure à un fournisseur de Cloud ?

D’abord, il convient d’identifier le modèle de Cloud qui convient le mieux à l’entreprise, ensuite choisir le type de système qu’il est possible de migrer en toute sécurité, mettre en place une politique de gestion et de contrôle des accès, utiliser le chiffrement des données stockées et transmises, et enfin surveiller l’activité.

Comment identifier le modèle de Cloud qui convient le mieux à l’entreprise ?

Il existe globalement trois modèles de Cloud Computing : Software as a Service (SaaS), Platform as a Service (PaaS) et Infrastructure as a Service (IaaS). Le choix du modèle aura un impact non seulement sur l’utilisation de ce Cloud par l’entreprise, mais aussi sur les problèmes de sécurité auxquels elle aura à faire face. Dans le cadre d’un modèle SaaS, il est fondamental de s’assurer que le fournisseur est à même d’assurer la sécurité des données et que vous pouvez opter pour son offre en toute confiance. Dans le cas du PaaS, il faudra s’assurer que le cryptage ne dégrade pas la performance du service. Avec l’IaaS, le contrôle des accès sera la première des priorités. Une fois le modèle choisi, il faudra s’assurer que l’on ne risque pas de rencontrer un blocage lié à la sécurité au cours de la procédure de migration.

Comment choisir quel type de système peut être migré en toute sécurité dans le Cloud ?

Les choix en matière de migration vers le cloud sont le plus souvent déterminés par des questions techniques, ensuite par des impératifs économiques. Tous les systèmes qui sont déjà virtualisés seront en première ligne parce qu’ils sont les parties les plus flexibles d’une architecture informatique. Ensuite, il faudra réfléchir à la nature des données qui seront stockées ou mises à disposition dans le Cloud. Les exigences de conformité peuvent intervenir à cette étape pour rendre la migration plus complexe. Le type de déploiement choisi aura également un impact direct sur le partage des responsabilités vis-à-vis des données. Comme l’illustre le schéma ci-après, plus le système est dévolu au fournisseur de Cloud, plus grande est sa responsabilité en matière de sécurité des données.

Avant de décider de migrer ses données les plus sensibles, une entreprise a besoin d’évaluer la façon dont ses règles de sécurité vont s’adapter à l’environnement Cloud. Il peut être utile de créer une checklist pour classer les ressources par types de données stockées ou exploitées.

Je souhaite savoir qui accède à mes systèmes et à mes données hébergées. Quel service devrait m’apporter mon fournisseur de Cloud pour me garantir cette information ?

Quand une organisation choisit un fournisseur de Cloud pour lui fournir une infrastructure, elle doit savoir que d’autres personnes auront accès aux systèmes et aux données. Dans le cas d’un service entièrement géré, il devrait être possible de savoir qui accède à l’infrastructure et quelles sont les mesures de sécurité déployées. Avec une architecture IaaS ou PaaS, les fournisseurs de Cloud se doivent de mettre en place des outils de contrôle d’accès à l’administration des systèmes, tout comme d’ailleurs les entreprises elles-mêmes. Passer au Cloud peut être une l’occasion de mettre en place une gestion raisonnée des accès des utilisateurs privilégiés. Pourquoi ne pas créer un environnement où seuls ceux qui en ont besoin pourront avoir accès aux systèmes, et obtenir cet accès seulement quand ils en ont besoin ? Un environnement où il n’y aurait pas de mots de passe locaux, où ceux-ci n’auraient pas besoin d’être changés constamment ? En effet, meilleure sera votre visibilité sur l’accès, la mise à jour ou la modification des données et plus ces systèmes seront sécurisés. Un fournisseur de Cloud doit être en mesure de présenter clairement quelles sont les mesures prises pour assurer une gestion des accès efficace et sécurisée, non seulement pour ses administrateurs, mais aussi pour ceux de l’entreprise cliente.

Pourquoi utiliser le chiffrement ?

Chiffrer ses données reste une question de choix. Quel niveau de performance pouvez-vous consentir à sacrifier pour protéger les données stockées sur le Cloud ? De nombreuses méthodes de cryptage existent, du chiffrement du disque entier au cryptage réseau basé sur les passerelles et même des modes de chiffrement qui peuvent classer et sécuriser les données échangées. Prenez la peine de considérer chacun d’eux. Et surtout, pensez à ne pas laisser ouverte une session d’administration à distance, même cryptée, de façon à éviter tout "account hijacking". La capacité du fournisseur de Cloud dans ces domaines sera un bon indicateur de la façon dont il gère la sécurité des données hébergées.

Surveiller et enregistrer l’activité sur le Cloud est-il aujourd’hui une nécessité, et si oui, pour quelles raisons ?

La capacité d’enregistrer les opérations d’administration sur les systèmes Cloud est vitale à plusieurs points de vue. Tout d’abord, pour assurer la conformité et fournir une piste d’audit en cas d’incident ou de malveillance, mais aussi pour fournir une visibilité sur l’efficacité du fournisseur de Cloud. Identifier l’activité sur un serveur avant que ne surgisse un problème, veiller à ce que les fournisseurs de services tiennent leurs engagements de SLA, que les missions sont bien menées et avec succès, est un point essentiel, surtout s’il est possible de visualiser ces activités en temps réel et de prendre éventuellement des mesures si nécessaire. Et c’est encore mieux si ces renseignements ne coûtent rien en terme de performance. Bien sûr, il faut choisir si possible une solution sans agent afin de maintenir, voire d’augmenter la réactivité du système. L’enregistrement des sessions est également un avantage en matière de conformité. Avec le développement croissant du recours aux polices de cyber-assurance, l’enregistrement des activités est à même d’apporter les preuves indispensables en cas de contentieux.

Comment choisir ce fournisseur de Cloud en toute sérénité, et surtout en ayant la garantie qu’il assume parfaitement ses responsabilités en matière de protection de mes données ?

Je dirais que la question de la sécurité dans le Cloud se partage entre le fournisseur de services et le client. Comprendre avant tout cette répartition de la responsabilité semble une des clés pour une migration réussie : par exemple, savoir de quels outils de sécurité vous serez directement responsable, si ces technologies sont des services consommés en "cloud", c’est-à-dire gérés par votre fournisseur, ou si vous apportez vos propres solutions pour sécuriser vos accès.

Last but not least, tous les fournisseurs de services de Cloud Computing se ressemblent. Bien sûr, certains ont commencé en se concentrant principalement sur l’évolutivité, la facilité d’utilisation, l’accessibilité et ont pensé la question de la sécurité dans un deuxième temps. D’autres ont commencé en fondant leur développement sur les problématiques de sécurité, recherchant les certifications et les accréditations diverses pour le prouver.

L’important est d’évaluer la qualité de l’offre et de sélectionner un fournisseur de service de Cloud capable de vous démontrer que ses services répondent aux exigences de sécurité définies par les normes et les standards industriels.

Contact :
– François Lacas, Directeur marketing & communication de WALLIX
– 118 rue de Tocqueville - 75017 Paris
– Tél : +33 (0)1 70 36 37 51
– Site Web : www.wallix.com