Pour autant, une nouvelle génération d’outils de surveillance renforce la sécurité du cloud et la confiance dans l’IaaS. Cela est d’autant plus important que la sécurité occupe de plus en plus un rôle stratégique en aidant les RSSI[7] à réduire les délais de commercialisation des produits et à assurer la confidentialité des données des clients et des collaborateurs.

Ainsi, une question se pose : quels sont les points à vérifier pour bien choisir son fournisseur IaaS ?

Protéger son infrastructure

L’infrastructure doit être protégée contre les intrusions — intervenants non habilités par exemple — et être auditable. Il doit aussi être possible de proposer une Hybridation, autrement dit, la possibilité de raccorder son cloud privé à son infrastructure IaaS. Un accès à celle-ci permet de garantir un niveau sécurité/performance élevé.

Garantir la sécurité de ses données

L’authentification administrateur doit se faire à travers un VPN[8] avec une double identification. En cas de défaillance matérielle, la disponibilité et les performances doivent être assurées en continu — grâce aux fonctionnalités de l’hyperviseur VMWare par exemple.

Pour garantir la sécurité et la disponibilité des données, il existe de nombreux dispositifs : des protections contre les attaques DDoS[9] au niveau du backbone opérateur, un pare-feu managé, une charge répartie sur plusieurs serveurs frontaux, une RAM toujours disponible en cas de surcharge, une sauvegarde complète quotidienne des VM sur une infrastructure dédiée, etc.

L’étanchéité des données entre clients hébergés doit être assurée et garantie par l’hébergeur. Toujours dans ce cadre, l’effacement des données doit être certifié en fin de contrat par un outil spécialisé, avec une mise à disposition de rapports d’exécution.

Se doter d’un support technique de confiance

Le support intégré doit être effectué par le fournisseur cloud, et non par des sous-traitants, afin de garantir le meilleur niveau de sécurité et de réactivité possible.

Prendre en compte la réglementation

Pour assurer la souveraineté des données, voici quelques pistes : serveurs localisés en France, contrat rédigé en droit français et en fonction de la criticité de vos données non soumis à la législation américaine. Les certifications ISO 27001, 9001 et PCI-DSS sont devenus incontournables.

Ne pas oublier les services optionnels

Le fournisseur peut proposer en option de nombreux services : un antivirus, un outil pour détecter la vulnérabilité, diagnostiquer des failles ou réaliser des tests de montée en charge par exemple. De plus, il peut mettre en place une supervision applicative : une surveillance de la disponibilité et de la qualité des applications ainsi que des tests de non-régression. Il peut aussi proposer une sauvegarde quotidienne granulaire et un plan de Reprise d’Activité (PRA) sur site distant avec accès réseau indépendant.

L’adoption croissante des solutions IaaS et la maturité des entreprises ne doivent pas occulter le défi majeur du cloud : la sécurité. Le choix d’un partenaire de confiance — plus que d’un fournisseur — est primordial pour accompagner sa transformation numérique, notamment avec la complexité croissante des services de sécurité et la mise en place des fonctions optionnelles parfois indispensables. Des équipes et des serveurs localisés en France sont les garants à la fois d’une conformité réglementaire et d’une qualité de support.

Concrètement, l’hébergeur de données en mode IaaS propose de nombreuses fonctionnalités pour garantir la sécurité des infrastructures et des données. Toutefois, de nombreux aspects restent sous la responsabilité du client comme l’ouverture des ports pare-feu, les applications sécurisées ou l’infogérance applicative.

[1]Infrastructure as a Service

[2]Software as a Service

[3]http://www.gartner.com/newsroom/id/3143718

[4]http://www.idc.com/getdoc.jsp?containerId=prUS42321417

[5]https://www.networkworld.com/article/3151002/iaas/10-must-watch-iaas-cloud-trends-for-2017.html

[6] Rapport annuel d’Intel Security sur la sécurité du cloud

[7] Responsable de la sécurité des systèmes d’information

[8] Virtual Private Network – Réseau Privé Virtuel en français

[9]Distributed Denial of Service Attack - Attaque par déni de service en français