En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 29/03/2017
    Documation 2017, les 29 et 30 mars

    Documation 2017 fera la part belle au « Digital Workplace »,selon l’angle de la sécurité, de la mobilité, du…

    en détail En détail...
Appels d'offres en cours
  • Formation CRM Dolibarr pour 2 personnes
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour une entreprise spécialisée dans le loisir
    <2000 €
    > En savoir plus
  • Site de réservation de véhicules uniquement
    < 1 500 €
    > En savoir plus
BlueMind_Nouvelle version_leaderboard animée

Repenser la protection des données en mode Cloud hybride

20/03/2017 | commentaires 0 commentaire |
GlobalKnowledge_Devops_pave

Trois entreprises sur quatre ont choisi de migrer vers plusieurs Clouds plutôt qu’un seul. Comment organiser, surveiller et tracer les déplacements des contenus et des workloads, tout en garantissant l’intégrité et la protection des données à caractère personnel ? Réponses.

Revoir la gouvernance des données réparties dans plusieurs Clouds, c’est une priorité pour trois DSI sur quatre à présent. Cette gestion multisites concerne non seulement le siège et les succursales de l’entreprise, mais aussi les centres de données des sous-traitants, hébergeurs de services Web ou mobiles et d’éditeurs de logiciels délivrés en tant que services (SaaS). L’un des principaux freins du projet concerne la gestion d’identités, préalable incontournable pour savoir qui accède à quelles données, financières ou RH par exemple. Cette visibilité des flux et des utilisateurs permet de déclencher des alertes, de prendre des actions correctives et d’orienter les bonnes données vers le bon Cloud au bon moment.

Jean-Paul Alibert

Jean-Paul Alibert

« La protection des données dans le Cloud hybride soulève des enjeux techniques, organisationnels et même géopolitiques pour définir l’emplacement où stocker les données », note Jean-Paul Alibert, le président de T-Systems France, filiale de Deutsche Telekom. Pour lui, l’entreprise européenne gagne à combiner des mesures de sécurité périmétriques et événementielles avec un hébergement de proximité : « Protéger la donnée dans un environnement multi-Cloud exige de protéger les postes de travail, les interfaces entre le datacenter et les réseaux, et les infrastructures des centres de données jusqu’aux couches middleware et applicatives. » D’où l’émergence d’offres de sécurité en mode SaaS, associées aux services de surveillance d’un SOC (Security Operation Center) et aux appliances CASB (Cloud Access Security Brokers) qui contrôlent les flux de données du Cloud.

Types de workloads-tâches gérés sur des environnements de Cloud hybride. Etude « L'usage du Cloud Hybride en France » CXP/ PAC 2016

Types de workloads-tâches gérés sur des environnements de Cloud hybride.
Etude « L’usage du Cloud Hybride en France » CXP/ PAC 2016

Un bras droit pour l’exploitation

Sur ce segment de marché CASB, Cisco a acquis Cloudlock l’été dernier pour gagner une  brique de visualisation des flux Cloud capable de nourrir tous ses systèmes de sécurité et ses réseaux pilotés par logiciels. « Avec la multiplication des machines virtuelles, des conteneurs et des micro-services surgit un besoin de micro-sécurité. Tout gérer à l’échelle humaine devient impossible, à cause du niveau de complexité des systèmes. L’infrastructure doit devenir capable de réagir, de s’adapter en permanence, de changer d’échelle de façon élastique pour répondre aux besoins des clients et de protéger les données. C’est ce véritable bras droit du DevOps que nous voulons créer via la protection comportementale, le contrôle à base de règles et les traitements analytiques aux facultés d’apprentissage automatique », explique Floris Grandvarlet, directeur technique EMEAR de Cisco en charge des offres serveurs UCS, datacenters et virtualisation.

Floris Grandvarlet

Floris Grandvarlet

L’analyse des flux d’informations progresserait donc pour faire gagner du temps aux développeurs et aux exploitants, leur fournir des prévisions avec un niveau de confiance,  déceler les codes malveillants ou maladroits jusqu’au cœur des flux chiffrés.

Le Cloud hybride doit être dynamique, capable de consolider les diverses plateformes en place dans l’entreprise complète Jean-Paul Alibert : « Nous préconisons une approche d’intégration à partir des meilleurs composants disponibles, un haut niveau de protection de l’infrastructure contre les attaques DDoS et contre les intrusions, puis des protections complémentaires, en option. Tous les trois ans, nous rebattons les cartes de nos plateformes, serveurs, stockage, virtualisation et orchestrateur compris. Ce mix technologique nous amène à opérer plusieurs environnements, plusieurs versions de nos Clouds pour nos clients. »

Des flux variés et volumineux

Actuellement, le volume des données professionnelles augmente de 29 % en moyenne par an en Europe, avec des variations importantes selon le secteur d’activités. Par exemple, les données audiovisuelles du secteur des médias gonflent plus vite que les échanges industriels. En fait, l’emplacement des données dans le Cloud varie selon plusieurs critères, la nature des données et des activités, la proximité des clients et le type de charges applicatives. « Les données et les workloads se tournent vers l’IaaS et le SaaS, tous deux en forte croissance. A l’inverse, tout environnement non Cloud est en recul à présent », confirme François Manuel Billault, ingénieur avant-vente stockage d’HGST (Western Digital). D’après lui, les géants de l’Internet n’inspirent pas totalement confiance aux entreprises européennes, à cause de leurs soucis de cyberattaques. Du coup, de nombreuses organisations se tournent vers des prestataires et hébergeurs régionaux.

JM_Billault« Les données et les workloads se tournent vers l’IaaS et le SaaS, tous deux en forte croissance. »

François Manuel Billault

Néanmoins, le besoin d’accéder aux données à tout moment, partout et depuis tout terminal tord cette ligne de conduite : « L’infrastructure S3 d’Amazon Web Services est devenue un standard de fait pour l’archivage des données. La migration rapide de grands volumes vers le Cloud AWS est facilitée maintenant par tous les constructeurs. Dans l’idéal, une passerelle ou une appliance déplace les données professionnelles vers le Cloud public, avec une réplication vers un second Cloud, tandis que les données confidentielles demeurent dans l’entreprise », dépeint-il. Les grandes entreprises suivent aussi cette approche, une fois leurs propres datacenters consolidés. Elles s’abonnent en particulier à des services de backup à la demande ou de reprise d’activités depuis le Cloud.

Un arbitrage souvent financier

La numérisation des métiers obsède plusieurs responsables dans l’entreprise, au point qu’ils négligent parfois de prévenir la DSI lorsqu’ils optent pour un service SaaS ou un partage de fichiers dans le Cloud public. Il devient impérieux d’encadrer cette externalisation inavouée ou shadow IT. Mais, sur le terrain, des arbitrages s’imposent toujours, que l’informatique en nuage soit dans l’ombre ou en pleine lumière : « Lorsqu’une banque veut faciliter l’ouverture de comptes via le web, elle préfère investir dans la mise en place d’une continuité de services. Malgré les risques croissants de cyber-attaques, la DSI souffre encore pour trouver les budgets nécessaires à la sécurité et à la protection des données de bout en bout », confie Renaud Templier, directeur risques et sécurité de Devoteam.

Pour établir une confiance dans l’approche Cloud hybride, la surveillance des trafics de données devrait s’exercer de façon continue. « Il faut apporter une réelle visibilité des flux d’informations qui quittent le système d’informations interne pour rejoindre le Cloud, conserver un système agile et bien protégé contre les logiciels malveillants et contre la fuite de données », poursuit-il.

Et si cette traçabilité des données devenait une simple question de conformité réglementaire ? C’est ce qui est en train d’arriver, à l’échelle européenne, avec le règlement général sur la protection des données (lire l’encadré « Anticiper le règlement RGPD »).

Astrid-Marie PirsonEn cas de problème sur des données externalisées, l’entreprise devrait pouvoir engager la responsabilité de son hébergeur. Mais, en pratique, « les signataires du contrat d’outsourcing attachent plus d’importance à la qualité de services qu’aux montants prévus en cas de sinistre », constate Astrid-Marie Pirson, directrice de la souscription chez Hiscox Assurances France.

Tout programme devient « as a service »

Le déplacement des données résulte parfois de changements d’usages (pour la mobilité ou l’IoT) ou de modèle économique. La licence perpétuelle pour acquérir un logiciel de sauvegarde n’est plus la norme ; à présent, tout programme devient « as a service » et se règle à la consommation, mois après mois. C’est le cas du coffre-fort électronique de Veritas Technologies : « Enterprise Vault est fréquemment retenu pour l’archivage de messages électroniques. Il est proposé maintenant en mode Cloud pour la rétention d’informations en vue de leur classification. Les flux en temps réel, de type Box ou Skype, peuvent être archivés par le logiciel », confirme Frédéric Viet, Channel Director West de Veritas Technologies.

FredericViet« Gérer du physique, du virtuel et du Cloud, sauvegarder d’un Cloud à un autre, d’un environnement physique et virtuel vers un Cloud et inversement. »

Frédéric Viet,  Veritas Technologies

Cet éditeur a pris un virage Cloud complet, tant dans son modèle technologique que dans son modèle financier. Il témoigne de l’évolution actuelle des moyens de protection des données : « Il faut pouvoir gérer du physique, du virtuel et du Cloud ; sauvegarder d’un Cloud à un autre, d’un environnement physique ou virtuel vers un Cloud et inversement. Notre logiciel Backup 8 facilite ces protections entre plusieurs environnements. Partenaire d’Amazon, nous assurons une portabilité des données du site de l’entreprise vers le Cloud AWS. Les bénéfices ? Un plan de reprise d’activités à partir du Cloud public, l’accès aux fichiers en mode Cloud hybride et l’intégration d’une vue Cloud public au stockage interne, un stockage SDS (Software-Defined Storage).»

Un NAS illimité…

Le Cloud hybride fournit, entre autres, un NAS infini sans sur-taxation des capacités, ce serveur de stockage en réseau devenant indépendant des baies en place dans l’entreprise (NetApp, EMC ou autre). Toutefois, réussir sa migration Cloud hybride exige un travail préalable sur les contenus : « Il faut se demander de quels niveaux de services (performances et disponibilité) on a réellement besoin et comment récupérer ses données en cas de problème. »

Les entreprises semblent prêtes à sauvegarder leurs données sur un Cloud public, dès lors que celles-ci sont chiffrées.

Les entreprises semblent prêtes à sauvegarder leurs données sur un Cloud public, dès lors que celles-ci sont chiffrées.

L’analyse des données à risques

Les établissements publics comme privés ont chacun leurs propres contraintes et règles de sécurité à faire appliquer. Par conséquent, il convient de commencer par un état des lieux. « On ne peut pas s’affranchir de l’analyse des risques, dans toute transition vers le Cloud. C’est aussi essentiel que la formation des utilisateurs à alerter sur la confidentialité des mots de passe, la gestion des droits et des habilitations », confirme Vincent Gervais, consultant en sécurité du SI chez Devoteam.

Comment faire évoluer les plans de sauvegarde dans ce contexte multi-Cloud ? « Nos clients semblent prêts à sauvegarder leurs données sur un Cloud public, dès lors que celles-ci sont chiffrées, sans crainte particulière à présent. C’est là qu’ils trouvent les capacités les moins coûteuses. Depuis quelques semaines, les entreprises de taille moyenne à grande, avec de forts enjeux de sécurité, tiennent aussi à se mettre en conformité avec le RGPD. En termes d’exigences techniques, cela requiert des contrôles permanents et une visibilité plus forte sur les flux de données. »

L’obligation de rendre publiques les fuites de données à caractère personnel devrait provoquer une augmentation de la demande en outils de détection et de prévention. « Dès le printemps 2018, les entreprises devront adapter leurs procédures de transparence, s’équiper d’outils de détection avancés en temps réel avec des facultés de reporting, prévient Bernard Montel, directeur technique cybersécurité de RSA en Europe continentale. Pour anticiper l’évolution de la réglementation, nos clients s’équipent pour savoir ce qui se passe sur leurs données et être en capacité de démontrer qu’ils ne subissent pas de fuites, leurs incidents étant traités comme il convient. L’entreprise doit s’organiser, bien identifier son périmètre à risque et le surveiller à tout instant. Cette culture de la protection est omniprésente en Allemagne plus qu’en France », compare-t-il.

AAEVincent Gervais« Dans toutes transitions vers le Cloud, impossible de s’affranchir de l’analyse des risques. »

Vincent Gervais

Protection et suivi des données vont de pair

Suivre le cycle de vie des données forme une bonne approche de mise en conformité au règlement RGPD. Après l’état des lieux, c’est un pas en avant précieux pour mieux connaître ses informations et leurs parcours. Cette étape prépare les déplacements de données au cœur des baies de stockage, ou automatiquement entre plusieurs datacenters. Faut-il généraliser cette pratique et sur quels critères ? « La gestion du cycle de vie de la donnée (ILM) est une activité transverse, qui ne concerne pas seulement le Cloud, observe Julien Mousqueton, responsable chez Computacenter des offres datacenter. L’ILM distingue les données froides, tièdes et chaudes afin de provoquer leur déplacement en fonction de leur usage et du coût du stockage. Certaines baies de stockage sont performantes sur l’auto-tiering. Selon les besoins, un équipement dédié baptisé “Data Mover” s’avère plus efficace pour le stockage de fichiers par taux d’accès que l’auto-tiering des baies qui intervient au niveau des blocs de données ». Faut-il conjointement classer, chiffrer, tracer et sauvegarder ses données ? « Pour ce qui concerne le chiffrement de données, il convient surtout de trouver le bon équilibre entre ce qui peut rejoindre le Cloud et ce qui doit demeurer dans l’entreprise, comme les clés privées », nuance Julien Mousqueton. Prendre la problématique dans son ensemble permet de vérifier où sont les meilleures compétences et les bonnes mesures de protection, dans l’entreprise ou chez un prestataire spécialisé. « Je rencontre des tentatives d’amélioration de la sécurité par l’externalisation, confirme Bernard Montel, la cryptologie répond à un besoin bien particulier de chiffrer les données pures. Les agences gouvernementales et les entreprises expriment un besoin de surveillance plus que de scellement des données. C’est lorsque la donnée est manipulée, partagée, puis transférée qu’elle devient vulnérable. »

Vers une surveillance continue

Le soutien d’un SOC (Security Operation Center) contribue à surveiller, au-delà du périmètre interne, les malveillances et maladresses susceptibles de détourner les données numériques. Au niveau du Cloud hybride, l’analyse porte sur un nombre croissant de flux d’informations, composés notamment de journaux systèmes et réseaux. « Les logs d’accès, les conteneurs du prestataire, les journaux d’équipements réseaux et les API des grands Clouds doivent être exploités pour garantir une visibilité de même niveau sur les infrastructures internes et Cloud, de sorte à déjouer les attaques », explique Bernard Montel. Il recense d’ailleurs trois sources d’informations à réunir pour une bonne détection des menaces : la capture des flux réseaux, la surveillance des terminaux et l’analyse des journaux générés par les équipements de sécurité.

Le logiciel Skyfence d'Imperva vient d'être acquis par Forcepoint

Le logiciel Skyfence d’Imperva vient d’être acquis par Forcepoint

Les solutions de stockage tranformées par le SDS

La sécurité par conception transforme également les solutions de stockage. Avec l’approche SDS (Software-Defined Storage) ce sont plusieurs Péta-octets qui sont protégés par la solution du français Scality, fournisseur d’opérateurs, de prestataires Cloud, d’agences gouvernementales et de laboratoires de recherche. Son logiciel Ring 6.4 s’appuie sur des plateformes matérielles standards et assure la protection des données en environnement Cloud hybride.

Lancée fin février, l’offre de services Halo procure une plateforme de supervision dans le Cloud, opérée par l’éditeur lui-même. « En confiant une partie de leurs données à un prestataire et en conservant le reste en local, nos clients veulent s’assurer que leurs applications et leurs utilisateurs auront toujours accès aux données, explique Daniel Binsfeld, vice-président DevOps et Global Support de Scality. Grâce à Halo et à d’autres services, nous supervisons le Ring et garantissons une disponibilité à 100 % des données. Notre logiciel est adapté au stockage primaire comme à la sauvegarde de données. C’est le cas chez GE, par exemple, où le Ring devient un pool générique de stockage. Toutes les applications vont le consommer, les clichés d’IRM étant considérées comme très sensibles et les PC de l’administration aussi, chacun y trouvant un backup avec des politiques et des règles de placement distinctes »

 

daniel-binsfield-1« En confiant une partie de leurs données à un prestataire et en conservant le reste en local, nos clients veulent s’assurer que leurs applications et leurs utilisateurs auront toujours accès aux données. »

Daniel Binsfield, Scality

 

 


Anticiper le règlement RGPD

GRPDLe 25 mai 2018, les 99 articles du règlement général sur la protection des données (RGPD) entreront en application dans tous les états membres de l’UE. Pour se mettre en conformité, les établissements publics et privés doivent mettre à jour un registre des traitements de données à caractère personnel, effacement compris, conformément au nouveau « droit à l’oubli ». Pour sa part, l’entreprise doit réviser ses procédures et nommer un délégué à la protection des données. Sa mission ? Sensibiliser le responsable des traitements et veiller au respect du règlement. Le RGPD inclut une obligation de notifier, sous 72h, l’autorité de contrôle en cas de violation de données à caractère personnel. A défaut, le régulateur national pourra sanctionner l’entreprise à hauteur de 4 % de son chiffre d’affaires global ou jusqu’à 20 millions d’euros d’amende. L’article 32 impose la mise en place de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Il faudra moins de déclarations préalables, mais « l’entreprise doit maintenant prouver que ses données à caractère personnel sont bien protégées, non seulement contre les intrusions, mais aussi en termes de disponibilité », interprète Jean-Paul Alibert, président de T-Systems France. Par conséquent, les plateformes de stockage de données RH et CRM devront intégrer des mesures de redondance garantissant une haute disponibilité et facilitant la reprise en cas d’incidents. Cela écarte d’emblée les hébergements d’entrée de gamme, à bas coût.

 


INTERVIEWJulienMousqueton

Julien Mousqueton,
responsable des offres datacenter
chez Computacenter

« Le Cloud hybride exige une traçabilité des données »

  •  Solutions Numériques : Quel est le constat des organisations françaises face au Cloud ?

- Julien Mousqueton : Je rencontre beaucoup de décideurs qui se tournent vers le Cloud pour rationaliser leurs coûts. Ils sont dès lors confrontés dans cet environnement à la difficulté de maintenir un contrôle et une conformité de leurs données. Pour protéger des données réparties dans plusieurs datacenters physiques, en interne et à l’extérieur de l’entreprise, nous préconisons une approche en quatre phases. Tout part d’un audit. Cet état des lieux permet d’identifier l’utilisation du Cloud hybride géré par la DSI et le shadow IT. La seconde étape consiste à  rationaliser les partages de fichiers dans le Cloud public et tous les services SaaS vers une solution respectant les règles de l’entreprise et la règlementation.

  •  SN : Comment reprendre le contrôle de données dispersées partout ?

- JM : Le Cloud hybride repris en main par la DSI doit surtout permettre une traçabilité des données. La troisième étape concerne la gouvernance du Cloud. Selon les besoins, elle passe par des processus et des moyens de protection distincts, par des solutions de chiffrement dans le Cloud pour que les données soient utilisables depuis l’entreprise uniquement.

L’erreur humaine reste possible. Si un fichier contenant des informations confidentielles est partagé par inadvertance, son contenu doit rester invisible hors de l’entreprise. On en vient à la classification des données ou aux passerelles de contrôle d’accès au Cloud pour gérer les usages. La quatrième et dernière phase couvre la protection contre les attaques, via une analyse comportementale, pour détecter un malware ou une malveillance. L’offre de détection et de réponse s’étoffe chez Computacenter avec, depuis un an, une équipe de sécurité dédiée et un NOC opérationnel en 24/7 rendant possible l’externalisation de ce besoin, au même titre que celle de la supervision d’infrastructures réseaux.

  •  SN : En pratique, comment encadrer tous les déplacements et copies de données ?

 – JM : Suite à l’audit des équipements en place, la solution préconisée est souvent mixte et retient des offres de partenaires tels Skyhigh Networks, Symantec/Elastica ou Veritas. On réunit ainsi des fonctions d’audit, de compression, de déduplication de données, voire une analyse comportementale menée dans le Cloud. La plateforme CASB (Cloud Access Security Brokers) assure le contrôle des flux de données dans le Cloud et fait l’objet de tests en ce moment chez nos clients. 

 


VMware prône une sécurité
analogue à celle d’un aéroport

Magdeleine_Bourgoin« Le Cloud hybride révise la façon de penser et de gérer la sécurité. Une protection périmétrique ne suffit plus. Il faut apporter une nouvelle souplesse, créer des zones de contrôles spécifiques, comme on en trouve dans un aéroport avec une tour de contrôle ou de supervision, des couloirs aériens, des profils d’utilisateurs associés aux données à protéger, comme les pilotes et les voyageurs », compare Madgeleine Bourgoin, directrice technique de VMware France. En pratique, l’éditeur américain rapproche la sécurité des données de leur utilisation par des machines virtuelles et de l’emplacement d’exécution des charges applicatives. « Une application peut se déplacer de l’entreprise vers le Cloud Amazon ; elle doit alors conserver le même niveau de sécurité, voire le renforcer », justifie-t-elle. VMware concentre la sécurité au niveau de son hyperviseur qui accède aux machines virtuelles, autorise ou non le dialogue entre certaines VM, en suivant les règles et les habilitations de l’entreprise. « La solution NSX de virtualisation des fonctions réseaux et de sécurité ajoute un contrôleur réseau aux routeurs et commutateurs en place, pour déployer rapidement de nouvelles fonctionnalités. L’intelligence est déportée au niveau de l’hyperviseur. Pour réduire les risques lors du déplacement de VM d’un Cloud interne vers un Cloud externe, ou inversement, l’automatisation devient importante. Elle prend place autour de briques hyperconvergées, de la suite d’automatisation VRealize et de l’outil Insight pour visualiser les politiques de sécurité dans le réseau.»

Auteur : Olivier Bouzereau

Dossier publié dans Solutions Numériques N°15

Notez cet article

Ransomware : état des lieux et protection- Webinaire 30 mars

Les ransomwares sont devenus l'une des menaces les plus répandues. Comprendre leur fonctionnement. Neuf étapes pratiques pour protéger votre entreprise. Webinaire de 10:30 à 11:30.

Info et inscription

Sondage

Vos projets Démat et GED en 2017

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Dématérialisation des bulletins de paie : les nouvelles modalités pratiques de sa mise en œuvre

    Depuis le 1er janvier 2017, les règles applicables à la dématérialisation du bulletin de paie…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vers une entreprise agile : la sauvegarde des mammouths ou la nécessaire transformation des DSI

    Une longue tribune sur l'agilité de Clément Guillin, Beijaflore, Principal, Head of IT Strategy, Transformation…

    > En savoir plus...
Etudes/Enquêtes
  • Collaboratif, RSE et intranet désormais au cœur de la transformation des entreprises

    L’intranet et les plateformes collaboratives deviennent des leviers de productivité et d’efficacité collective comme individuelle.…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
GlobalKnowledge_Devops_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Déploiement de petites salles serveurs et de micro-datacenters

    > Voir le livre
  • En route vers l'archivage électronique : et vous, vous faites quoi pour vos documents numériques…

    > Voir le livre
Schneider_BackUPSApc_skycraper