De l’avis des professionnels et analystes, le Cloud a décollé en 2015. Même si la France accuse encore un retard sur ses voisins, les entreprises françaises ont aujourd’hui bien compris l’intérêt du Cloud computing et ses bénéfices en matière de flexibilité, d’évolutivité ou encore de coûts. Selon le Cabinet Markess, le marché du Cloud computing français atteignait en milieu d’année 5 milliards de dollars (en hausse de 19,5% par rapport à 2014). Le cabinet PAC précisant que le Saas est toujours le service le plus utilisé par les entreprises (80% des entreprises considérant comme stratégique l’utilisation d’au moins une application en Saas pour leur business), devant l’IaaS (24% y ont recours) et le PaaS (11%). Mais pour aller plus encore plus loin, la dernière barrière a lever reste la sécurité. Selon le cabinet PAC, les entreprises qui hésitent à passer au Cloud, hésitent à 48% pour des questions de sécurité. 

Les entreprises doivent porter une attention particulière à la sécurité de leurs données hébergées

 A l’heure où les cyberattaques se multiplient, que l’Europe elle-même incite de plus en plus les entreprises à conserver les données personnelles de leurs clients sur le sol européen (cf. invalidation du Safe Harbor) et cherche à mettre en place de nouvelles réglementations, les entreprises ne doivent pas hésiter à poser des questions sur la sécurisation de l’hébergement de leurs données et ressources informatiques. 

Par ailleurs, la sécurité n’est tout simplement pas toujours la priorité initiale des offreurs de solutions d’hébergement Cloud. L’explication est simple : les nouveaux offreurs de services Cloud ont besoin de rentabiliser leurs investissements avant d’investir dans des solutions de sécurité coûteuses. D’un point de vue économique, cela s’entend mais pour le client cela se traduit souvent par une faible garantie de sécurité (alors que la sécurité sert parfois d’argument commercial fort). Généralement, les prestataires ajoutent progressivement des couches de sécurité à mesure qu’ils génèrent des profits, ce qui leur permet de monter le niveau de sécurité de leurs offres mais les clients, eux, sont face à un vrai manque de transparence quant à la sécurité apportée à leurs données/ressources.

Enfin, rappelons également que les responsabilités liées à la sécurité ne sont pas réservées aux prestataires  externes, et que l’une des sources importantes de risques pour l’entreprise en matière de Cloud computing est le Shadow IT. C’est à dire toutes les applications et les outils de communication mis en place par les métiers dans l’entreprise sans l’approbation de la DSI. Cela se traduit par des utilisateurs qui hébergent des données dans le Cloud, sans en informer la DSI, avec pour la plupart du temps, une méprise des bonnes pratiques en matière de sécurité. 

Les entreprises doivent donc prêter attention à un certain nombre de points clés pour disposer d’un hébergement hautement sécurisé pour leurs données et ressources :

•   Transparence : 

Un hébergeur transparent et qui ne cache rien, voilà la base d’une relation de confiance. En tant que client, l’entreprise est en droit de connaître le lieu où ses données sont hébergées et de visiter le Datacenter où ses données seront hébergées si elle le souhaite, lorsque cela c’est possible géographiquement. Elles sont d’ailleurs de plus en plus nombreuses à le demander car cela les rassure sur le professionnalisme de l’hébergeur. 

Pour aller plus loin dans la transparence, l’hébergeur doit aussi être capable de présenter les procédures internes mises en place en matière de sécurité, de rassurer sur la maintenance des équipements, les résultats d’audits réalisés, etc. 

La transparence est la base d’une relation de confiance entre l’entreprise et son hébergeur et/ou ses prestataires. A l’heure actuelle, démontrer un haut niveau de sécurité pour ses solutions est un argument commercial important ; ainsi si l’hébergeur n’est pas capable de valoriser la sécurité de son offre, c’est un mauvais signe envoyé à ses clients.  

•   Audit 

Le contrat initial entre l’entreprise et son hébergeur doit prévoir la possibilité d’effectuer des audits qui ne doivent pas impacter les autres clients, mais qui permettent d’assurer que l’environnement est correctement protégé. Le contrat doit donc spécifier les modalités et les possibilités de l’audit. Celui-ci est généralement réalisé par un prestataire externe, mais l’hébergeur peut aussi proposer des outils d’audit automatique.

•   Sécurité

L’hébergeur dispose d’une offre de sécurité et propose des solutions comme des firewalls, du Web Application Firewall, de l’anti-DDoS. Cela envoi un signal fort : il y a des experts de la sécurité au sein de l’entreprise qui seront à même de renforcer la sécurité de l’environnement. Certaines de ces solutions peuvent être incluses dans l’offre de base (comme le firewall ou l’anti-DDoS) mais d’autres peuvent être optionnelles (comme le Web Application Firewall). 

•   Certification

Pour valoriser le niveau de sécurité de leurs services, les hébergeurs peuvent faire le choix de la certification. Ils disposent par exemple des certifications reconnues HADS (Hébergement de données de santé) ou encore ISO27001. Quand l’hébergeur/prestataire de services Cloud entreprend ce genre de procédures, cela signifie qu’il s’engage à mettre en œuvre des processus pour gérer la sécurité de ses systèmes d’information au quotidien et qu’il a identifié les risques liés à son environnement. Pour l’entreprise cliente, ces certifications sont un vrai gage de qualité et de sécurité.   

•   Coût 

Dernier point particulièrement important pour l’entreprise : le coût inhérent à la sécurité. La sécurité a forcément un coût et les experts en sécurité sont plutôt chers. Il faut donc faire attention aux offres alléchantes qui prétendent tout sécuriser. On ne peut pas avoir le beurre et l’argent du beurre. Les équipements en sécurité demandent des investissements importants qui demandent eux-mêmes à être rentabilisés. Les hébergeurs qui font de la sécurité une priorité dès le début mettent les moyens et le font savoir. Lorsque les offres sont très poussées mais que l’entreprise ne voit finalement de preuves tangibles (audits, certifications, etc.), elle doit se questionner. Il est donc nécessaire d’avoir une bonne lecture de l’offre à laquelle l’entreprise va souscrire. 

Une relation de confiance indispensable

Le Cloud impose à l’entreprise de confier ses données à un tiers. Quelque soit la nature des données, confier ses actifs à un tiers n’est pas anodin et cela suppose pour la DSI de pouvoir faire confiance à ses prestataires et donc de prendre le temps de sélectionner les bons partenaires, de connaître les hommes derrière les solutions et les services. 

C’est ainsi que le Cloud de proximité est fortement sollicité par les entreprises françaises. Pouvoir visiter les infrastructures dans lesquelles sont hébergées leurs données, connaître les solutions de sécurité mises en place, rencontrer les hommes qui en auront la charge, ce sont autant de gages qui rassurent les entreprises. 

Afin de garantir un Cloud sécurisé et rassurer encore un peu plus les entreprises qui en ont besoin, les hébergeurs peuvent aussi s’intéresser aux nouvelles technologies de sécurité dans le Cloud. Dernièrement, sont apparues de nouvelles solutions comme la « tokenisation », le chiffrement des données ou encore la nouvelle tendance des Cloud Access Security Broker.

________
Georges Lotigier est Président de Scalair ; Il est aussi président de l’éditeur Vade Rétro