Accueil Repenser la protection des données en mode Cloud hybride

Repenser la protection des données en mode Cloud hybride

Trois entreprises sur quatre ont choisi de migrer vers plusieurs Clouds plutôt qu’un seul. Comment organiser, surveiller et tracer les déplacements des contenus et des workloads, tout en garantissant l’intégrité et la protection des données à caractère personnel ? Réponses.

Revoir la gouvernance des données réparties dans plusieurs Clouds, c’est une priorité pour trois DSI sur quatre à présent. Cette gestion multisites concerne non seulement le siège et les succursales de l’entreprise, mais aussi les centres de données des sous-traitants, hébergeurs de services Web ou mobiles et d’éditeurs de logiciels délivrés en tant que services (SaaS). L’un des principaux freins du projet concerne la gestion d’identités, préalable incontournable pour savoir qui accède à quelles données, financières ou RH par exemple. Cette visibilité des flux et des utilisateurs permet de déclencher des alertes, de prendre des actions correctives et d’orienter les bonnes données vers le bon Cloud au bon moment.

Jean-Paul Alibert
Jean-Paul Alibert

« La protection des données dans le Cloud hybride soulève des enjeux techniques, organisationnels et même géopolitiques pour définir l’emplacement où stocker les données », note Jean-Paul Alibert, le président de T-Systems France, filiale de Deutsche Telekom. Pour lui, l’entreprise européenne gagne à combiner des mesures de sécurité périmétriques et événementielles avec un hébergement de proximité : « Protéger la donnée dans un environnement multi-Cloud exige de protéger les postes de travail, les interfaces entre le datacenter et les réseaux, et les infrastructures des centres de données jusqu’aux couches middleware et applicatives. » D’où l’émergence d’offres de sécurité en mode SaaS, associées aux services de surveillance d’un SOC (Security Operation Center) et aux appliances CASB (Cloud Access Security Brokers) qui contrôlent les flux de données du Cloud.

Types de workloads-tâches gérés sur des environnements de Cloud hybride. Etude « L'usage du Cloud Hybride en France » CXP/ PAC 2016
Types de workloads-tâches gérés sur des environnements de Cloud hybride.
Etude « L’usage du Cloud Hybride en France » CXP/ PAC 2016

Un bras droit pour l’exploitation

Sur ce segment de marché CASB, Cisco a acquis Cloudlock l’été dernier pour gagner une  brique de visualisation des flux Cloud capable de nourrir tous ses systèmes de sécurité et ses réseaux pilotés par logiciels. « Avec la multiplication des machines virtuelles, des conteneurs et des micro-services surgit un besoin de micro-sécurité. Tout gérer à l’échelle humaine devient impossible, à cause du niveau de complexité des systèmes. L’infrastructure doit devenir capable de réagir, de s’adapter en permanence, de changer d’échelle de façon élastique pour répondre aux besoins des clients et de protéger les données. C’est ce véritable bras droit du DevOps que nous voulons créer via la protection comportementale, le contrôle à base de règles et les traitements analytiques aux facultés d’apprentissage automatique », explique Floris Grandvarlet, directeur technique EMEAR de Cisco en charge des offres serveurs UCS, datacenters et virtualisation.

Floris Grandvarlet
Floris Grandvarlet

L’analyse des flux d’informations progresserait donc pour faire gagner du temps aux développeurs et aux exploitants, leur fournir des prévisions avec un niveau de confiance,  déceler les codes malveillants ou maladroits jusqu’au cœur des flux chiffrés.

Le Cloud hybride doit être dynamique, capable de consolider les diverses plateformes en place dans l’entreprise complète Jean-Paul Alibert : « Nous préconisons une approche d’intégration à partir des meilleurs composants disponibles, un haut niveau de protection de l’infrastructure contre les attaques DDoS et contre les intrusions, puis des protections complémentaires, en option. Tous les trois ans, nous rebattons les cartes de nos plateformes, serveurs, stockage, virtualisation et orchestrateur compris. Ce mix technologique nous amène à opérer plusieurs environnements, plusieurs versions de nos Clouds pour nos clients. »

Des flux variés et volumineux

Actuellement, le volume des données professionnelles augmente de 29 % en moyenne par an en Europe, avec des variations importantes selon le secteur d’activités. Par exemple, les données audiovisuelles du secteur des médias gonflent plus vite que les échanges industriels. En fait, l’emplacement des données dans le Cloud varie selon plusieurs critères, la nature des données et des activités, la proximité des clients et le type de charges applicatives. « Les données et les workloads se tournent vers l’IaaS et le SaaS, tous deux en forte croissance. A l’inverse, tout environnement non Cloud est en recul à présent », confirme François Manuel Billault, ingénieur avant-vente stockage d’HGST (Western Digital). D’après lui, les géants de l’Internet n’inspirent pas totalement confiance aux entreprises européennes, à cause de leurs soucis de cyberattaques. Du coup, de nombreuses organisations se tournent vers des prestataires et hébergeurs régionaux.

JM_Billault« Les données et les workloads se tournent vers l’IaaS et le SaaS, tous deux en forte croissance. »

François Manuel Billault

Néanmoins, le besoin d’accéder aux données à tout moment, partout et depuis tout terminal tord cette ligne de conduite : « L’infrastructure S3 d’Amazon Web Services est devenue un standard de fait pour l’archivage des données. La migration rapide de grands volumes vers le Cloud AWS est facilitée maintenant par tous les constructeurs. Dans l’idéal, une passerelle ou une appliance déplace les données professionnelles vers le Cloud public, avec une réplication vers un second Cloud, tandis que les données confidentielles demeurent dans l’entreprise », dépeint-il. Les grandes entreprises suivent aussi cette approche, une fois leurs propres datacenters consolidés. Elles s’abonnent en particulier à des services de backup à la demande ou de reprise d’activités depuis le Cloud.

Un arbitrage souvent financier

La numérisation des métiers obsède plusieurs responsables dans l’entreprise, au point qu’ils négligent parfois de prévenir la DSI lorsqu’ils optent pour un service SaaS ou un partage de fichiers dans le Cloud public. Il devient impérieux d’encadrer cette externalisation inavouée ou shadow IT. Mais, sur le terrain, des arbitrages s’imposent toujours, que l’informatique en nuage soit dans l’ombre ou en pleine lumière : « Lorsqu’une banque veut faciliter l’ouverture de comptes via le web, elle préfère investir dans la mise en place d’une continuité de services. Malgré les risques croissants de cyber-attaques, la DSI souffre encore pour trouver les budgets nécessaires à la sécurité et à la protection des données de bout en bout », confie Renaud Templier, directeur risques et sécurité de Devoteam.

Pour établir une confiance dans l’approche Cloud hybride, la surveillance des trafics de données devrait s’exercer de façon continue. « Il faut apporter une réelle visibilité des flux d’informations qui quittent le système d’informations interne pour rejoindre le Cloud, conserver un système agile et bien protégé contre les logiciels malveillants et contre la fuite de données », poursuit-il.

Et si cette traçabilité des données devenait une simple question de conformité réglementaire ? C’est ce qui est en train d’arriver, à l’échelle européenne, avec le règlement général sur la protection des données (lire l’encadré « Anticiper le règlement RGPD »).

Astrid-Marie PirsonEn cas de problème sur des données externalisées, l’entreprise devrait pouvoir engager la responsabilité de son hébergeur. Mais, en pratique, « les signataires du contrat d’outsourcing attachent plus d’importance à la qualité de services qu’aux montants prévus en cas de sinistre », constate Astrid-Marie Pirson, directrice de la souscription chez Hiscox Assurances France.

Tout programme devient « as a service »

Le déplacement des données résulte parfois de changements d’usages (pour la mobilité ou l’IoT) ou de modèle économique. La licence perpétuelle pour acquérir un logiciel de sauvegarde n’est plus la norme ; à présent, tout programme devient « as a service » et se règle à la consommation, mois après mois. C’est le cas du coffre-fort électronique de Veritas Technologies : « Enterprise Vault est fréquemment retenu pour l’archivage de messages électroniques. Il est proposé maintenant en mode Cloud pour la rétention d’informations en vue de leur classification. Les flux en temps réel, de type Box ou Skype, peuvent être archivés par le logiciel », confirme Frédéric Viet, Channel Director West de Veritas Technologies.

FredericViet« Gérer du physique, du virtuel et du Cloud, sauvegarder d’un Cloud à un autre, d’un environnement physique et virtuel vers un Cloud et inversement. »

Frédéric Viet,  Veritas Technologies

Cet éditeur a pris un virage Cloud complet, tant dans son modèle technologique que dans son modèle financier. Il témoigne de l’évolution actuelle des moyens de protection des données : « Il faut pouvoir gérer du physique, du virtuel et du Cloud ; sauvegarder d’un Cloud à un autre, d’un environnement physique ou virtuel vers un Cloud et inversement. Notre logiciel Backup 8 facilite ces protections entre plusieurs environnements. Partenaire d’Amazon, nous assurons une portabilité des données du site de l’entreprise vers le Cloud AWS. Les bénéfices ? Un plan de reprise d’activités à partir du Cloud public, l’accès aux fichiers en mode Cloud hybride et l’intégration d’une vue Cloud public au stockage interne, un stockage SDS (Software-Defined Storage).»

Un NAS illimité…

Le Cloud hybride fournit, entre autres, un NAS infini sans sur-taxation des capacités, ce serveur de stockage en réseau devenant indépendant des baies en place dans l’entreprise (NetApp, EMC ou autre). Toutefois, réussir sa migration Cloud hybride exige un travail préalable sur les contenus : « Il faut se demander de quels niveaux de services (performances et disponibilité) on a réellement besoin et comment récupérer ses données en cas de problème. »

Les entreprises semblent prêtes à sauvegarder leurs données sur un Cloud public, dès lors que celles-ci sont chiffrées.
Les entreprises semblent prêtes à sauvegarder leurs données sur un Cloud public, dès lors que celles-ci sont chiffrées.