Pour 65% des répondants à l’étude « Cloud & sécurité », passer au Cloud permet de renforcer sa sécurité.
Un chiffre étonnant quand on est une start-up SAAS et qu’une des questions souvent soulevée lors de discussions avec des prospects, c’est - justement - la crainte du manque de sécurité des données stockées dans le Cloud.
Mais de quel cloud parle-t-on ? Peut-on vraiment considérer des données stockées dans un datacenter on-premise comme mieux protégées que dans une structure cloud ?
Idées reçues sur le cloud
Rappelons brièvement sur quel concept repose le cloud : des ressources IT flexibles dans un serveur opéré chez un tiers. Cette solution offre une grande flexibilité en terme d’espace et de puissance ponctuelle qu’une architecture locale pourrait fournir, mais pour beaucoup plus cher de maintenance.
Ce qui freine l’adoption du cloud, c’est justement cette notion de stockage “à distance”. Le cloud public offre des services à plusieurs clients en utilisant la même infrastructure partagée, des serveurs hors-site présents dans les data-centers du fournisseur. Cela ne signifie pourtant pas que Monsieur M. de Sartrouville a accès aux données de l’entreprise X basée à Nanterre ! Malgré de gros efforts du côté des fournisseurs de service, avec par exemple Google qui a musclé son service de sauvegarde en ligne avec un processus de chiffrement de bout en bout, les entreprises restent frileuses à l’idée d'éloigner leurs données.
On-premise, l’illusion de la sécurité
Ne confondons pourtant pas sécurité des données et contrôle des serveurs où ces données sont stockées. D’autres éléments entrent en compte pour sécuriser et isoler les informations :
Accès physique au centre de données : contrôle d’accès, surveillance, alarme…
Protection physique des données : résistance aux catastrophes (eau, feu…), redondance des données, procédure de réponse en cas de vol…
Accès logique au réseau : stratégie de mot de passe, contrôle d’accès, droits d’accès, filtrage...
Surveillance, protection et détection : systèmes de détection d’intrusion, de prévention d’intrusion et de réponse en cas d’intrusion, pare-feu à surveillance de paquet, anti-virus, anti-malware à jour…
Audit et certification indépendants
Procédures de continuité d’activité : site de reprise à chaud ou à froid, plan de reprise ou de continuité d’activité, procédures de mise à jour des logiciels…
Chiffrage de bout en bout de chaîne : chiffrage des communications et des données stockées, mise en place de certificats numériques…
Autrement dit, cette longue liste doit être assurée par l’IT en interne. Et il faut de sacrés ressources pour égaler les capacités des fournisseurs dont c’est le coeur de métier !
Les utilisateurs on-premise expérimentent en effet environ 61,4 attaques contre une moyenne de seulement 27,8 pour des clients de fournisseurs cloud, d’après le Cloud Security Report.**
Car oui, le premier facteur de risque est un facteur humain, bien plus que des failles de constructions. On-premise, on multiplie ces facteurs : pour ne citer qu’un exemple parmi d’autres, on peut penser à la banque canadienne Desjardins dont un ex-salarié a transféré les données personnelles de 2,9 millions de clients le 20 juin dernier…
Ni on-premise, ni full-cloud : “Le sage est celui qui voit leur juste mesure” (Platon)
On peut par contre choisir de se tourner vers le cloud privé ou hybride, avec une partie des données “froides” (c’est à dire peu utilisées) stockées en interne et les données “chaudes” en cloud. Le cloud privé demandera quand même un minimum de maintenance et plus de temps pour augmenter sa puissance de calcul en cas de besoin, mais il offre une architecture dont l’entreprise est propriétaire. Le cloud privé permet aussi, quand c’est un enjeu pour l’entreprise, de choisir le pays d’hébergement de ses données, comme OVH en France pour de nombreux logiciels comme askR.ai .
Mais surtout, il faut se concentrer sur la gouvernance globale des données et l’éducation des collaborateurs en terme d’accès sécurisé : identification et mot de passe, emails frauduleux, périmètres d’accès…
Le cloud est donc plus efficace en terme de process de sécurité. Pour conclure, nous sommes bien d’accord avec Mathieu Poujol Head of Cyber Security chez PAC – CXP Group et à l’origine du chiffre qui a débuté cet article:
“On ne peut plus sécuriser un système d’information moderne sans cloud. Il est à la base du nouveau paradigme de la cybersécurité, basé sur les capacités de déploiement et de calcul du cloud”
Alexandre Schneider, COO d’askR.ai
askR.ai est un data assistant connecté aux données de l’entreprise et doté d’une intelligence artificielle qui répond instantanément à vos questions. En savoir plus >>>
