Quotidien finance innovation, innovation financière journal
Financial Year with Finyear
 
 
 
 


              

Sécuriser le Cloud, une notion encore floue


Quand elles optent pour des services en mode Cloud Computing, les entreprises s’en remettent aujourd’hui à des tiers pour assurer la sécurité qu’elles assuraient auparavant à l’intérieur de leur propre firewall.




Cependant, les obligations de conformité à la réglementation qui s’appliquent aux données dans le Cloud sont les mêmes que celles qui s’appliquaient avant dans l’entreprise. Dave Carmichael, senior product marketing manager, Sterling Commerce, explique où se trouvent les vulnérabilités des systèmes Cloud et comment les entreprises peuvent profiter du Cloud Computing en toute sécurité.

Notre récente étude (1), qui couvre le Royaume-Uni, l’Allemagne et la France, souligne que, pour 65% des répondants, la sécurité était l’aspect le plus important des services d’intégration BtoB dans le Cloud. Cette préoccupation est tout à fait justifiée. Les services dans le Cloud sont généralement classés en trois catégories : « infrastructure » as a service (IaaS), « platform » as a service (PaaS) et « application » as a service (AaaS), chacune ayant ses propres problématiques de sécurité. Mais chacun de ces composants est géré par un prestataire différent. La complexité de l’intégration accentue la difficulté d’assurer un niveau de sécurité cohérent aux trois composants et complexifie le risque sécurité.

Très tendance en ce moment, le Cloud suscite un grand enthousiasme. Le marché des services en mode Cloud rappelle le boom des dotcom, où de nouveaux acteurs apparaissaient régulièrement sur le marché avant même d’avoir prouvé leur valeur ; ce qui me permet de prédire qu’une phase de consolidation est imminente. Pour les fournisseurs informatiques, la croissance viendra du courtage de services Cloud, c’est-à-dire de la fourniture d’outils et prestations qui facilitent l’adoption du Cloud et améliorent son fonctionnement.

En attendant, la plupart des entreprises cherchent encore à évaluer les bénéfices des services Cloud et à intégrer ensemble Clouds privés et publics - pour reprendre les termes de Gartner, à « raccommoder les Clouds ensemble » (2). 27% des sociétés de notre étude qui prévoient d’adopter ou d’étendre leurs services d’intégration B2B dans le Cloud disent qu’elles en attendent des capacités de reprise après incident à moindre coût et la possibilité de faire évoluer leur infrastructure ; mais qu’en est-il des questions de sécurité des données dans le Cloud et comment y répondre ?

Les failles de sécurité du Cloud

Les données circulent en permanence dans le Cloud et cela lance un vrai défi en matière de sécurité : à savoir assurer un niveau d’intégration cohérent qui garantisse la sécurité des données pendant leur circulation. Les principales vulnérabilités se situent là où les données sont en mouvement.

Au niveau de l’infrastructure, une entreprise peut utiliser le Cloud pour stocker ses données ; elle les extrait puis les traite dans ses systèmes et dans les applications utilisées par ses différentes activités. Il y a ainsi des échanges de données entre le Cloud et l’entreprise. Quand l’entreprise a recours à un tiers pour lui fournir des services applicatifs en mode Cloud comme, par exemple, Salesforce.com, les données CRM échangées peuvent nécessiter une intégration dans les systèmes internes tels que les back offices dédiés aux points de vente, à la finance, à la distribution ou à la fabrication.

Au niveau des utilisateurs individuels, les vulnérabilités existent au stade de l’authentification au Cloud public, comme l’ont prouvé les attaques contre les messageries Gmail. Tant la méthode d’authentification que la machine utilisée pour se connecter à un service en mode Cloud illustrent les faiblesses potentielles du déploiement du Cloud Computing. Les machines sont sujettes aux escroqueries du type phishing ou imitation. L’accès avec authentification aux services en mode Cloud et une réduction des risques pourraient favoriser un déploiement plus large des méthodes d’authentification biométrique.

Dans le Cloud, il n’existe plus d’instance unique en charge de la sécurité interne. Les entreprises n’ont plus un seul site, généralement leur data centre, où sont hébergés les applications, le stockage et autres services informatiques ; l’enjeu consiste alors à créer des connexions sécurisées et à trouver les systèmes d’intégration adéquats. Là où les outils et les protocoles d’intégration de l’entreprise étaient auparavant installés derrière le firewall, le Cloud crée une configuration entièrement nouvelle et très complexe et lance de nouveaux défis. Certains fournisseurs proposent des systèmes propriétaires. Les plates-formes d’Amazon et de Google, par exemple, sont connues mais pas reconnues pour leur interopérabilité – interopérabilité qui existe au niveau des données grâce aux standards type XML et aux autres systèmes web, mais pas au niveau des plates-formes.

Comment s’engager avec des prestataires Cloud en toute sécurité ?

Dans notre étude, 32% des entreprises affirment ne pas disposer de suffisamment de personnes formées et disponibles au sein de leurs équipes informatiques pour maintenir et exploiter leur infrastructure d’intégration B2B, ce qui limite l’efficacité de leurs moyens actuels d’intégration BtoB. Et 57% de celles qui prévoient d’adopter ou d’étendre leurs services d’intégration BtoB dans le Cloud espèrent améliorer tant l’utilisation que l’efficacité de leurs équipes informatiques.

Toutefois, le fait de déplacer hors de l’entreprise la responsabilité de gérer la sécurité de l’infrastructure, des plates-formes et des applications doit être soigneusement préparé. On comprendra qu’il soit difficile pour les entreprises de faire confiance à de nouveaux prestataires qui proposent des services en mode Cloud mais dont la capacité à sécuriser les données n’est pas encore garantie. Dans ce cas, les accords de niveau de service (Service Level Agreement ou SLA) sont insuffisants. S’il devait y avoir une brèche dans la sécurité ou tout autre incident qui amènerait les clients à perdre confiance dans l’entreprise, les conséquences pourraient aller bien au-delà de ce qu’un SLA pourrait corriger. Les entreprises semblent prendre conscience de cela. A la question « Est-il important pour vous que les sujets suivants soient incorporés dans les services Cloud d’intégration BtoB que vous achetez ? », 17% seulement des répondants ont cité les SLA orientés métier et 7% ont placé la gouvernance en tête de leurs priorités ; comme souligné plus haut, la sécurité est la principale préoccupation pour une large majorité des entreprises (65%).

Les entreprises doivent effectuer leur propre audit préalable pour pouvoir faire confiance à leur fournisseur. Le meilleur moyen pour elles d’atténuer les problèmes de sécurité est de procéder à une évaluation des risques, puis de décider en fonction des avantages apportés par le Cloud par rapport à l’informatique interne. A elles de voir aussi quelle est la sensibilité des données qu’elles pensent confier au prestataire de services Cloud et quel niveau de risque elles peuvent accepter. Si l’utilisation d’un service Cloud risque d’envoyer un membre du comité de direction en prison ou d’entacher la crédibilité de l’entreprise, mieux vaut ne pas y souscrire !

Du point de vue de la collaboration BtoB, les entreprises ont besoin d’utiliser des services en mode Cloud où les risques sont réduits et de les souscrire auprès d’un fournisseur capable de présenter des garanties. Les garanties apportées par les prestataires du Cloud en matière de sécurité devront être démontrées dans leurs pratiques et dans les contrats. Dans la mesure du possible, il faut insister pour qu’elles soient exprimées sous forme d’obligations juridiques et contractuelles.

Enfin, réfléchissez posément à quels processus et quelles données peuvent être transférés dans le Cloud. N’oubliez pas que ce marché est encore jeune et qu’il y a beaucoup d’aspects à prendre en compte. Par exemple, que se passerait-il si votre prestataire était mis en liquidation ou racheté ? Une approche raisonnable consiste à évaluer les pièges éventuels en toute connaissance de cause et à définir le niveau de risque acceptable. Le principal défi restera in fine d’intégrer tous les composants, la vraie sécurité dépendant de la qualité de cette intégration.

Par Dave Carmichael, Senior Product Manager, Sterling Commerce

(1) Sterling Commerce Vanson Bourne Enterprise Omniboss, octobre 2009, voir :
sterlingcommerce.co.uk/about/News/PressReleases/2010-18-01-CloudComputing.htm
(2) voir le rapport : Knitting clouds together : how integration as a service enables B2B integration outsourcing, Benoît J. Lheureux et Paolo Malinverno, Gartner, 4 janvier 2010

Mercredi 30 Juin 2010
Notez




Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *



Recevez la newsletter quotidienne


évènements


Lettres métiers


Livres Blancs




Blockchain Daily News