Intimement liées, les problématiques associées au Cloud et à la sécurité doivent être traitées ensemble afin d’accompagner la digitalisation sécurisée des organisations. Shehzad Merchant, Chief Technology Officer chez Gigamon, s’est penché sur les cinq prévisions principales qui attendent respectivement ces domaines en 2017.
L’ANSSI a publié SecuNumCloud, le premier référentiel pour qualifier les prestataires de services d’informatique en nuage (Cloud). Deux référentiels sont prévus par l’autorité nationale. Le premier « Essentiel », qui vient d’être publié, définit le prestataire Cloud comme « à un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client ». Le second « Avancé » ajoute un degré d’exigence : « Il correspond à un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence importante pour le client, voire pourrait mettre en péril sa pérennité. »
Ces exemples de mesures démontrent une nouvelle fois que l’année prochaine verra un certain nombre de changements importants sur ces marchés.
Top 5 des prédictions pour le Cloud
1 Cap sur le SaaS. Les gens parlent du Cloud depuis plusieurs années. Cependant, pour aller de l’avant, la conversation devrait se structurer davantage et se préciser. A mesure que les organisations commencent à différencier l’Infrastructure as a Service (IaaS) du Software as a Service (SaaS), ce dernier reprendra plus de vitesse en 2017 notamment grâce au nombre croissant de fournisseurs qui offrent une plus grande variété d’applications. Les entreprises chercheront d’abord à « SaaS-ifier » leurs applications localement sur site et, si elles ne peuvent pas le faire, se tourneront ensuite vers l’IaaS ; faute de quoi elles retomberont dans le Cloud privé.
2 La visibilité du réseau au service du changement. Traditionnellement, le passage au Cloud – en particulier l’IaaS – a été entravé par des réticences au niveau de sa sureté, et peut-être aussi par un manque de solutions de sécurité et de surveillance équivalentes à celles disponibles localement sur site. Cela évolue aujourd’hui, en grande partie grâce à une nouvelle génération d’outils de visibilité en ligne qui offrent une plus grande transparence et une meilleure sécurité des données en mouvement. Cela devrait pousser les organisations à accélérer leurs plans afin de profiter de l’élasticité et de l’agilité de l’IaaS.
3 Les « Joyaux de la Couronne » dans le « nuage ». Les entreprises dépasseront la simple utilisation du Cloud à des fins de test / développement ou de stress test. Encore une fois, parce qu’elles veulent profiter de l’élasticité et de la capacité à la demande du Cloud, elles chercheront désormais à exploiter l’IaaS pour héberger les applications Tier-1 de grande importance, considérées comme « les joyaux de la couronne. »
4 Encore plus de vols de données. Déplacer les applications critiques dans le Cloud induit un grand changement qui aura pour conséquence, avec la prise de valeur des données, d’inciter les attaquants à redoubler d’efforts pour accéder à ces informations plus lucratives, critiques ou spécifiques à un client. Les entreprises seront soumises à des attaques plus ciblées et verront le nombre de violations augmenter. Toutefois, en regardant le côté positif, 2017 verra les organisations renforcer la priorité sur la sécurité, migrer leur plateforme de sécurité et leurs outils en parallèle de leurs applications critiques.
5 Amazon et Microsoft Azure resteront en tête de file. Prochainement, nous verrons apparaître un oligopole au sein duquel Amazon et Microsoft Azure consolideront leurs rôles en tant que fournisseurs de solutions IaaS leaders du marché. IBM et Google deviendront quant à eux des acteurs secondaires de l’IaaS. Et pendant qu’Oracle émergera comme un acteur clé sur le marché des Platform-as-a-Service (PaaS), les joueurs restants disparaîtront.
Top 5 des prévisions de sécurité
1 La sécurité de l’IoT (Internet of Things). Les objets connectés qui sortent actuellement sur le marché vont du moniteur de fréquence cardiaque aux pompes à insuline, en passant par les automobiles. Alors que des vies humaines sont directement en jeu et que la sécurité des périphériques a été le plus souvent une réflexion à posteriori, il faudra inverser l’ensemble du modèle, la sécurité étant la priorité absolue.
2 Renforcement de la réglementation. La sécurité des objets connectés ne peut pas être résolu simplement en demandant aux éditeurs de logiciels de créer des codes plus sécurisés Une poussée massive en faveur d’une réglementation accrue de l’industrie autour de la sécurité des objets connectés est nécessaire. Bien que cela ne soit probablement pas encore en place en 2017, l’appel à la réglementation devrait toutefois augmenter de façon significative.
3 Changement de responsabilité en matière de sécurité. Les fournisseurs de services ont historiquement adopté une vision relativement agnostique en matière de sécurité. Mais dans le cadre du renforcement des réglementations, ils seront forcés de jouer un rôle plus actif – en particulier parce qu’ils sont les mieux placés pour faire quelque chose au sujet de la sécurité dans le monde de l’IoT, et qu’ils seront probablement bientôt réglementés.
4 Automatisation des processus de sécurité. Au cours de l’année à venir, le volume des attaques en ligne dépassera la capacité humaine à les aborder. Par conséquent, l’automatisation des processus de sécurité deviendra un nouveau mantra, les organisations ne souhaitant plus dépendre d’une intervention manuelle pour sécuriser leurs systèmes.
5 Le rôle des Etats dans la cyberguerre va changer et se développer. Dans un monde dominé par la puissance militaire traditionnelle, le cyber peut devenir une grande force d’égalisation. Les petits États nationaux, en particulier, joueront un rôle plus actif, en investissant dans la construction de capacités de cyberguerre et de renseignement. Une armée immense n’est plus nécessaire pour détruire un réseau électrique national ou causer d’importants dommages physiques.
