De plus en plus d’entreprises se tournent vers le cloud hybride, pour profiter à la fois des avantages des environnements cloud publics et privés. Selon le Gartner, près de la moitié des grandes entreprises aura déployé un cloud hybride d’ici à fin 2017. L’étude Rightscale ‘State of cloud’ réalisée en 2015 a démontré que 55% des entreprises planifiaient actuellement la mise en place d’un cloud hybride.
Face à ces déploiements hybrides de plus en plus courants, il sera important pour les entreprises de sécuriser efficacement les données critiques qui s’y trouveront, en réduisant au maximum leur vulnérabilité, tout en évaluant les données en temps réel et en se conformant aux normes du secteur.
Et pour faire face aux défis de la sécurité du cloud, les entreprises peuvent s’inspirer d’une source inattendue : « L’Art de la Guerre » de l’ancien général chinois Sun Tzu.
Elaborer un plan stratégique
« La plus grande victoire est celle qui ne demande aucune bataille » – Sun Tzu
Avant de faire migrer vos données, prenez le temps nécessaire à l’élaboration d’un plan détaillé pour leur sécurisation pendant la migration et une fois dans le cloud. En procédant ainsi, les entreprises pourront éviter les pires scénarii face aux menaces futures.
Bien se connaître
« Connais-toi toi-même » – Sun Tzu
Il est important de connaître réellement l’environnement cloud dans lequel vous travaillez. De comprendre ce que votre fournisseur de cloud fait pour réduire les risques, comment il rapporte les incidents et quel est son plan pour sécuriser et restituer efficacement les données. Il est également important de connaître la nature des données et des applications que vous faîtes migrer vers le cloud hybride, et de vous assurer que la plateforme choisie est appropriée à tous égards.
Bien connaître son environnement
« Connais ton ennemi » – Sun Tzu
Il est également important de comprendre dans quel type d’environnement vous vous trouvez, quelles menaces spécifiques s’y trouvent et ce qui, en cas de faille, est propre à votre secteur. Etre capable d’expliquer pourquoi les données d’autres entreprises ont été compromises pour ne pas refaire les mêmes erreurs.
Choisir un cloud hybride approprié
« L’invincibilité réside dans la défense » – Sun Tzu
Le point de départ de votre analyse, c’est de vérifier que votre fournisseur de cloud est en totale conformité avec les normes de sécurité les plus récentes, et qu’il possède les certifications les plus répandues dans la profession, parmi lesquelles les exigences réglementaires spécifiques à votre activité. Vous ne pouvez pas vous préparer aux menaces futures si votre fournisseur ne respecte pas les meilleures pratiques. Caveat Emptor : soyez conscients que la conformité n’est souvent qu’un instantané à un moment donné.
Ne pas se reposer seulement sur les normes
« Le général qui remporte une bataille fait beaucoup de calculs dans sa tête avant que la bataille n’ait lieu » – Sun Tzu
Très souvent, les entreprises croient que leur données sont complètement sécurisées parce que leur fournisseur respecte l’une ou l’autre des normes de la profession. La vérité est que la certification de la conformité à ces normes par des tiers n’est qu’une photographie à un instant T, et qu’elle est souvent obsolète avant même que l’encre ne soit sèche sur le certificat. Les certifications sont nécessaires, mais pas suffisantes. La surveillance continue de cette conformité est un impératif.
Adopter la transparence
« Déjouez la force de l’ennemi : forcez-le à se révéler » – Sun Tzu
Votre fournisseur devra être franc et transparent à propos de toute menace apparaissant dans la profession, y compris celles dirigées contre leur propre technologie. Vous voulez savoir que vos données sont protégées, connaître quels sont les nouveaux risques et menaces pour vos services et comment ces menaces sont réduites ? Il est donc est important de comprendre clairement quelles sont vos responsabilités et celles de votre fournisseur.
Utilisez toutes vos ressources
« La possibilité de nous prémunir contre la défaite est entre nos mains » – Sun Tzu
Bien qu’il y ait aujourd’hui de nombreuses menaces dans l’IT, il existe tout autant d’outils et de techniques pour protéger aussi efficacement que possible vos données. Assurez-vous d’utiliser tout ce qui est aujourd’hui à votre disposition pour déjouer les possibles brèches (failles ?) de sécurité et exigez une plateforme cloud solide. Par exemple, votre fournisseur met-il en œuvre un contrôle d’accès à double critère en fonction des rôles ? Y-a-t-il une surveillance continue ? Est-ce que les données entreposées sont cryptées ?
Gardez un temps d’avance
« Pour vaincre un ennemi, devenez cet ennemi » – Sun Tzu
Vos outils de sécurité (et ceux de votre fournisseur) doivent, par nature, être évolutifs, à la recherche des faiblesses et des changements, et vous donner une vision en temps réel de la façon dont vos données sont protégées dans le cloud hybride. Trouvez toujours les failles de sécurité et les points faibles avant que les potentiels assaillants ne le fassent.
Il n’y a pas deux clouds identiques
« Si vous ignorez tout de votre ennemi et de vous-mêmes, vous êtes sûrs d’être en danger » – Sun Tzu
Bien que deux clouds puissent partager les mêmes certifications, ils auront certainement deux profils de risques distincts. Comprenez ces profils de risques et leurs effets sur votre plan de sécurité. Les menaces et les risques sont dynamiques, vos outils de conformité et de sécurité (comme ceux de votre fournisseur) doivent donc l’être également.
Priorisez la gestion des risques
« La capacité à nous prémunir contre la défaite est entre nos mains » – Sun Tzu
Après avoir évalué l’état de votre environnement cloud, vous identifierez certainement un certain nombre de faiblesses. Cela ne signifie pas pour autant que vous devez tout régler tout de suite : identifiez quelles faiblesses présentent le plus grand risque et remédiez-y en premier, en totalité. Déployez ou utilisez vos ressources pour améliorer de façon continue le profil de risque de vos actifs dans le cloud.
________
Sean Jennings est Cofondateur et SVP solutions d’architecture chez Virtustream
puis