Les stratégies multicloud permettent d’améliorer les opérations informatiques (Ops) et d’offrir de meilleurs services aux clients, à condition de veiller à ne pas négliger les implications en matière de sécurité. Cela se vérifie en particulier avec l’émergence d’un nouveau paradigme permettant d’exécuter une application à partir d’environnements informatiques disparates. Dans la pratique, si des problèmes tels que la complexité croissante, l’absence de visibilité inter-plateformes et la multiplicité des normes des fournisseurs monopolisent l’attention des informaticiens dans un environnement multicloud, les dirigeants citent la sécurité comme le principal défi à relever.
Cette tendance est illustrée par une étude menée par A10 Networks en partenariat avec BPI (Business Performance Innovation) Network. Dans cette enquête, les responsables interrogés indiquent qu’il est essentiel de garantir des mesures fortes de sécurité couvrant les différents types de cloud, les réseaux, les applications et les données pour tirer parti des avantages des environnements multi-cloud. Cette tendance en est encore à ses débuts, car actuellement, seuls 11 % des participants considèrent avoir parfaitement concrétisé la valeur de leur stratégie multi-cloud, tandis que la majorité (51 %) estime seulement avoir partiellement réussi, voire échoué.
Ainsi, dans un billet de blog, VMware rappelle que c’est également aux services informatiques, et non pas seulement aux fournisseurs cloud, de traiter les différents aspects de la sécurité. Pour bloquer les bots sophistiqués, les exfiltrations fréquentes de données personnellement identifiables (PII), les attaques d’applications et autres menaces, il est essentiel d’implémenter une stratégie de sécurité sur toutes les formes de cloud, privés comme publics, aussi stricte que celle utilisée pour les solutions sur site, voire plus.
Complexité multi-cloud déterministe ou accidentelle : tout doit être sécurisé
Il est facile de comprendre pourquoi la prolifération des environnements multicloud a eu tendance à évoluer plus vite que la sécurité multicloud. Si pour de nombreuses organisations le passage à un environnement multicloud s’inscrit le plus souvent dans une stratégie clairement définie et intentionnelle, pour d’autres ce changement est plus pragmatique. Cela peut se produire lorsqu’une entreprise ayant une stratégie cloud reposant sur un seul fournisseur acquiert une autre organisation utilisant une plateforme cloud différente, ou fusionne avec cette dernière. Les unités commerciales et les équipes de développement peuvent se procurer leurs propres ressources cloud, avec ou sans la bénédiction du service IT, sous forme d’informatique « fantôme ». Les nouvelles exigences en matière de services spécifiques, de souveraineté des données (notamment avec le RGPD) ou d’intégration poussent le service informatique à ajouter davantage de fournisseurs à leur environnement. Par conséquent, la plupart des entreprises doivent gérer une configuration multi-cloud bien plus complexe que prévu.
Qu’elle soit intentionnelle ou non, l’évolution vers les environnements multicloud porte généralement sur l’activité métier de l’entreprise et les facteurs informatiques qui la sous-tendent. Comme pour la plupart des technologies destinées aux opérations informatiques, les organisations fournissent en premier lieu les services indispensables aux différentes missions, puis s’intéressent aux meilleures solutions de contrôle, de gouvernance et de gestion de l’environnement qui en résulte. Néanmoins, et comme illustré par les résultats de cette étude, cela s’avère souvent plus difficile que prévu. En effet, près des deux tiers des personnes interrogées (63 %) affirment que des mesures de sécurité couvrant à la fois le cloud, les réseaux, les applications et les données constituaient le principal défi des systèmes multi-cloud, ce qui est une bonne nouvelle, car la sécurité est prioritaire, même si les solutions ne sont pas encore uniformes. Les compétences de gestion et l’expertise (37 %), ainsi que la visibilité et la gestion centralisées (33 %), ont également été citées, les deux étant essentielles pour une sécurité multi-cloud efficace.
Les fonctionnalités et pratiques essentielles en matière de sécurité
Alors que les services informatiques, les équipes de sécurité et les dirigeants s’efforcent de combler les lacunes de sécurité dans leur environnement multicloud, il est essentiel d’avoir une idée claire des technologies les plus pertinentes à exploiter. Dans le rapport de BPI, la majorité des personnes interrogées ont cité la visibilité et l’analyse centralisées de la sécurité et des performances (56 %), les outils automatisés pour accélérer le temps de réponse et réduire les coûts (54 %) et la gestion centralisée depuis un point de contrôle unique (50 %) en tant que principaux leviers d’amélioration de la sécurité, la fiabilité et les performances du multi-cloud. Compte tenu de l’augmentation constante du volume des données métier et des transactions, 38 % des personnes interrogées ont également souligné la nécessité de disposer de solutions de sécurité plus évolutives et performantes. Ce besoin s’accentuera avec le temps, notamment avec la montée en puissance de l’IoT et l’émergence de la connectivité 5G.
Concernant les aspects plus importants de la protection de la sécurité et de la fiabilité des environnements multi-cloud, 62 % des personnes interrogées comprennent l’importance de l’authentification ou de la pré-authentification centralisée pour assurer un contrôle efficace des utilisateurs, des administrateurs et des systèmes autorisés à accéder aux ressources réparties sur plusieurs clouds. L’une des personnes interrogées, Raja Mohan, architecte stratégique senior pour les services cloud et de plateforme chez Franklin Templeton, a expliqué les causes de cette tendance : « Comment proposer des applications ultra-sécurisées sans tenir compte de leur emplacement ? Comment assurer des services sécurisés et sans interruptions ? Tel est l’objectif à atteindre. »
L’une des réponses à cette question apparaît dans l’importance donnée à la centralisation des politiques de sécurité, qui est perçue comme une pratique essentielle pour les systèmes multi-cloud (46 %). Parmi les technologies de défense, de nombreux participants ont recours à des défenses spécifiques à haute valeur ajoutée, telles que des pare-feu applicatifs Web (WAF) (40 %) et une protection contre les attaques DDoS (33 %).
Les équipes opérationnelles et de sécurité : la clé pour une sécurité inter-cloud efficace
Les entreprises ont fait au mieux avec les outils de sécurité à leur disposition, mais elles sont loin d’être satisfaites des résultats. « À ce stade, nous reprenons les solutions de sécurité de nos fournisseurs cloud public en les complétant par nos outils habituels, mais la situation évolue », explique Raja Mohan.
En effet, les organisations informatiques réévaluent constamment leurs solutions et leurs fournisseurs, afin d’identifier les zones nécessitant des changements. Seules 9 % des personnes interrogées sont extrêmement satisfaites des solutions de sécurité en place pour leurs environnements multicloud, tandis que 38 % estiment que des améliorations significatives sont nécessaires. Seules 18 % pensent qu’elles n’ont pas besoin de réévaluer leurs fournisseurs. Ces chiffres doivent tous nous alerter sur les besoins de sécurité de l’espace multicloud.
Par conséquent, il est nécessaire d’adopter une approche de services applicatifs sécurisés Polynimbus pour redonner le pouvoir aux équipes informatiques et de sécurité, de façon à fournir un environnement de services applicatifs sécurisés et cohérents sur l’ensemble des types de cloud. Grâce aux solutions ADC (Application Delivery Controller), les approches et les pratiques Polynimbus seront la solution la plus efficace pour assurer la conformité, les politiques de sécurité, les fonctionnalités et la réponse aux attentes en matière de multicloud, tout en allégeant le fardeau des équipes informatiques et de sécurité débordée. Au final, cette approche favorise la vigilance et la responsabilisation.
___________
Yann Fralo est Country Manger France, A10 Networks