En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
Appels d'offres en cours
  • Evolution d'un site catalogue Wordpress vers un site e-commerce pour une entreprise de fournitures et équipements industriels
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de produits agricoles
    < 5 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter et de produits de puériculture
    < 3 000 €
    > En savoir plus

Faut-il mettre ses données sensibles dans le Cloud public ?

01/04/2015 | commentaires 0 commentaire | Expert

Dans ce climat d’insécurité autour des données, quels sentiments peuvent avoir les DSI devant un schéma directeur préconisant avec force le passage au Cloud public ? Djamel Chaïd, consultant senior au sein de Devoteam Consulting, et intervenant auprès de grands comptes sur des projets de transformation Télécom, livre son analyse.

Quel est le lien entre Sony, Ebay et Domino’s Pizza ? Ces trois géants économiques ont subi en 2014 une attaque informatique majeure. Sony a vu tout son système informatique mis à terre et ses données dérobées, Ebay a demandé à ses utilisateurs de changer de mot de passe et Domino’s Pizza a été contraint de choisir entre payer une rançon ou voir les données de ses clients publiées sur Internet ! Dans ce climat d’insécurité autour des données, quels sentiments peuvent avoir les DSI devant un schéma directeur préconisant avec force le passage au Cloud public ?

Près d’une entreprise sur deux reste réticente au Cloud, la principale barrière freinant son adoption étant la sécurité. Ces entreprises se déclarent préoccupées par les problématiques liées à la propriété, au respect de la vie privée et au stockage de données confidentielles dans le Cloud.

La majorité des entreprises réticentes considèrent qu’elles manquent de compétences requises à la sécurisation de leurs services hébergés dans un Cloud. Cela montre qu’avec un accompagnement dans la sécurisation de leurs services de Cloud, les DSI pourront surmonter cette principale barrière.

Mettre de côté les idées reçues

Selon Amazon, aucun des avantages du Cloud Public ne peut se retrouver dans un Cloud privé. Existe-t-il donc vraiment des raisons objectives pour se priver des avantages industriels du Cloud Public ? Pour répondre à cette question, il faut mettre de côté les idées reçues qui profitent à une grande partie des fournisseurs traditionnels qui ont très vite compris que le Cloud Public représentait un danger pour leurs activités liées aux centres de calcul privés.

Aujourd’hui, le Cloud public n’est pas forcément plus risqué qu’un Cloud privé qui se trouve hors de portée depuis Internet. Pour preuve, deux exemples récents de piratage d’un Cloud privé, OVH en juillet 2013 et le groupe Target en janvier 2014. Dans une grande majorité des cas de piratage, la faille est interne à l’entreprise, comme une erreur humaine ou une corruption…

L’analyse des mesures de sécurité mises en place par des fournisseurs de Cloud public (Google, Amazon…), permet de s’apercevoir rapidement que la majorité des DSI n’ont pas les moyens de sécuriser leur datacenters privés au même niveau de protection.

Concernant la garantie de disponibilité, les derniers chiffres sur les indisponibilités de service du Cloud en 2014 montrent une offre de Cloud public mieux équipée contre les différentes formes d’incidents. Les améliorations des temps de disponibilité sont le résultat à la fois de l'expérience acquise ces dernières années ainsi que du déploiement de moyens importants de redondance. Les fournisseurs de Cloud sont conscients que cet indicateur est très important dans la démarche de changement des futurs clients Cloud. Un datacenter privé est souvent répliqué mais les processus de continuité de service sont souvent mal maîtrisés et les impacts d’une perte totale de service du datacenter nominal peuvent être désastreux avant que la bascule ne soit totalement opérationnelle.

Les 4P

L’amélioration de la sécurité passe par ailleurs par la mise en place d’actions ciblées sur les quatre axes de l’intégration d’un nouveau service, les 4P : Personnel, Processus, Partenaires, Produits.

Tout d’abord, il est nécessaire de former et sensibiliser les utilisateurs afin d’améliorer leur capacité à identifier les menaces potentielles. Ensuite il convient d’adapter les processus aux nouveaux services Cloud. Encadrer les demandes d’accès, limiter les privilèges. La collaboration étroite avec les partenaires Cloud est très importante. Il est primordial d'étudier l’ensemble des outils et produits de sécurisation à disposition. Il convient aussi de mettre en place les automatismes pour mieux détecter les attaques et les contrer, de mesurer la performance de la sécurité en fonction des exigences réglementaires, financières et d’apporter les correctifs qui s’imposent.

Aujourd’hui, bien que l’offre Cloud public paraisse mature, il subsiste un manque de cadre juridique spécifique. Ceci impose une vigilance accrue de la part des DSI lors des phases de négociations. Il est parfois souhaitable de passer par un partenaire Cloud expérimenté. Dans ce sens et avec une approche plus globale, la commission européenne a diligenté l’ETSI pour coordonner différents acteurs du Cloud sur des travaux de normalisation dans des secteurs critiques tels que la sécurité, l'interopérabilité, la portabilité de données et la réversibilité. Des travaux dont les résultats auront sans nul doute un impact positif sur la manière d’appréhender ces problématiques.

La sécurité du Cloud doit être l’affaire de tous. Les fournisseurs doivent proposer des solutions à la sécurité éprouvée, et les DSI doivent réfléchir aux bonnes pratiques au niveau des processus, aux outils de sécurisation et aux aspects contractuels.

Auteur : Juliette Paoli

Faut-il mettre ses données sensibles dans le Cloud public ?
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • La sécurité des données

    Spécial Assises de la sécurité 2017 - DSI et RSSI témoignent Gouvernance des données numériques…

  • Huawei Connect 2017

    Huawei Connect 2017 Démonstration de force d’un géant encore méconnu ! Huawei Connect 2017, Shanghai.…

Témoignages
Juridique
  • RGPD : la CNIL regrette "le calendrier retenu pour l’adaptation du droit français"

    La CNIL a rendu le 30 novembre 2017 son avis sur le projet de loi…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - Le data thinking pour réussir vos projets de data science en 7 étapes

    Stéphane Déprès, coach Agile & Consultant expert chez inspearit, propose aux lecteurs de Solutions Numériques…

    > En savoir plus...
Etudes/Enquêtes
  • Applications choisies par les salariés = productivité en hausse

    Laisser les employés utiliser plus largement les applications de leur choix accroît leur productivité, selon…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc « Digital Needs Trust " : pour construire ensemble un écosystème digital européen…

    > Voir le livre
  • Guide du Cloud Public

    > Voir le livre