Mais cette tendance peut-elle se poursuivre indéfiniment ? Gartner prévoit que les dépenses totales des utilisateurs au niveau mondial dans les services cloud publics atteindront un montant record de 592 milliards de dollars cette année, soit une augmentation de 21 % par rapport à 2022. Ce rythme rapide de croissance et de migration soulève certaines préoccupations au sein des entreprises, tandis que les migrations massives et accélérées ne respectent pas toujours les meilleures pratiques en matière de protection moderne des données. Dans un rapport de la CSA (Cloud Security Alliance), 96 % des entreprises indiquent que leurs données sensibles hébergées dans le cloud sont insuffisamment sécurisées : la route est donc encore longue dans ce domaine.

Connaître ses données
La première étape dans la résolution d’un problème quel qu’il soit consiste à en connaître la nature. Pour pouvoir protéger quoi que ce soit, il est d’abord nécessaire de savoir qui stocke quoi et où. Par exemple, est-ce que les utilisateurs de l’entreprise se servent des mêmes comptes ? Pour s’en assurer, les équipes informatiques doivent souvent jouer les détectives et partir à la découverte dans l’entreprise. Il est fréquemment nécessaire de passer les finances au crible et de collecter les factures correspondant aux différentes dépenses dans le cloud.
Le volume cumulé de données conservées par la majorité des entreprises – qu’elles aient migré depuis des installations sur site ou été stockées dès le départ dans le cloud – est considérable. Si l’« entrepôt virtuel » que constitue le cloud présente une capacité illimitée de stockage, y héberger tout ne résout que la moitié du problème. Afin de savoir quelles données sont critiques et sensibles, elles doivent être classer. Des moteurs de classification automatique peuvent aider à les trier et à les organiser. Ce n’est qu’une fois que l’on a déterminé exactement quelles données sont stockées dans le cloud – et où – que l’on peut commencer à chercher comment les sécuriser.
La migration des données dans le cloud étant relativement accessible pour les entreprises, leurs équipes n’ont peut-être pas inscrit dans leurs priorités les processus de sécurité et réseau nécessaires, a fortiori si cette migration s’est déroulée trop vite. De même, du fait que le cloud est un environnement entièrement différent à sécuriser, des aspects sont souvent négligés : en effet, quantité de nouveaux types de services n’existaient pas nécessairement sur site et nombre d’entre eux doivent être protégés et restaurés en cas d’attaque ou de panne. Il s’agit par exemple du stockage de code dans cloud, d’applications faisant appel à d’autres services cloud ou encore d’API mises à disposition dans le cloud.

Définir les responsabilités
L’un des principaux problèmes des entreprises est dû au fait qu’elles ’n’ont que rarement conscience de leurs responsabilités exactes s’agissant de la sécurité et de la protection des données dans le cloud. Il existe une grande méconnaissance du modèle de responsabilité partagée sur lequel repose la sécurité du cloud. Cela les amène à penser que le prestataire cloud est responsable de certaines mesures de sécurité qui sont en réalité de leur propre ressort. Même si cela peut varier selon chaque prestataire, celui-ci a généralement la responsabilité de la sécurité de l’infrastructure et des installations physiques qui l’hébergent. En revanche, la sécurisation des applications, des données et de l’accès à l’environnement incombe au client.
En pratique, cela signifie que les entreprises doivent veiller à sauvegarder la totalité des données critiques et sensibles stockées dans le cloud dans l’éventualité d’une cyberattaque ou d’une panne. La meilleure pratique est la règle de sauvegarde « 3-2-1-1-0 », qui consiste à conserver 3 copies de sauvegarde à des emplacements différents (par exemple une copie sur site en plus de la version dans le cloud) mais aussi des copies des données sur des supports distincts, dont au moins une copie hors site, hors ligne et immuable (l’idéal étant de réunir ces trois conditions à la fois).
L’autre responsabilité fondamentale de l’entreprise en matière de sécurité porte sur le contrôle des accès et des privilèges. Si chaque utilisateur dispose d’un accès total au cloud, toute intrusion va se révéler dévastatrice. Le risque est identique si un seul compte est utilisé pour différentes fonctions telles que la protection et la fourniture des accès. Le mieux est de veiller à l’emploi de comptes multiples au sein de l’entreprise, en s’appuyant sur des solutions adaptées de gestion des accès et identités pour les différents comptes et abonnements. Ils faciliteront la désactivation du domaine touché en cas de faille de sécurité. Pour ce qui est des utilisateurs, le principe de moindre privilège dans l’environnement cloud doit être appliqué afin que ceux-ci n’aient accès qu’aux ressources et environnements dont ils ont besoin.

La maîtrise des coûts
En toute probabilité, l’application des deux principes précédents va représenter un chantier de taille pour la plupart des entreprises. Fort heureusement, le gros du travail à effectuer au départ ne sera pas à nouveau nécessaire à la même échelle à l’avenir. Cependant, pour que l’environnement cloud demeure sain et économique sur le long terme, il importe de mettre en place des processus d’hygiène des données dans le cloud.
Les entreprises doivent s’assurer que le processus de cycle de vie des données est approprié, faute de quoi le travail initial s’avèrera inefficace et coûteux à terme, car elle payera pour stocker et protéger les mauvaises données d’une façon erronée. Lesdites données doivent résider sur la bonne plateforme de stockage dans le cloud, appelée à changer au cours de leur cycle de vie. À titre d’exemple, celles-ci pourraient passer successivement d’un stockage en mode bloc à un stockage objet puis à un archivage. Les coûts liés à ces modes de stockage sont variables, par conséquent il faut veiller à choisir le plus efficace pour stocker – ou sauvegarder – vos données.
Cela contribuera à alléger la facture des coûts du cloud et du stockage qui, au-delà des seules données, englobent les API, les frais de sortie (transfert), etc. Je recommande toujours aux entreprises d’établir et de suivre un « modèle économique du cloud » afin de prévenir une accumulation des coûts et de faire en sorte que les dépenses répondent aux attentes. À mesure que le volume de données stockées par les entreprises – et le monde entier – va continuer de croître durant les cinq prochaines années, le cloud s’affirmera comme une composante essentielle à leur gestion. Les entreprises doivent voir au-delà du stockage et de la protection des données pour rechercher comment les exploiter et les valoriser au profit d’elles-mêmes et de leurs clients ce qui implique un remaniement de leur part pour devenir plus agile et se préparer davantage à toute éventualité. Si les entreprises adoptent dès à présent une approche « data-centric » , tant dans le cloud que sur site, elles seront bien mieux préparer à affronter ce que leur réserve l’avenir.