Sécurité en nombre

Le cloud offre de nombreux avantages : élasticité, coûts, gestion simplifiée, mise en œuvre rapide. Mais pour certains professionnels des technologies de l’information (IT), le fait qu’il échappe à leur contrôle peut être difficile à supporter. La sécurité demeure une préoccupation principale, et il est difficile de les convaincre que le cloud est sûr.

Alan Pelz-Sharpe, analyste chez 451 Research à Boston (USA), a pourtant essayé. En prenant la parole lors d’une récente conférence sur les technologies de l’information, il a rappelé au public qu’il était facile d’engager un pirate informatique pour US$50 pour s’introduire par effraction dans un centre de données, alors que les fournisseurs de cloud investissent des centaines de millions de dollars dans la sécurité.

« EN TANT QUE FOURNISSEUR DE CLOUD, IL EST PLUS FACILE DE JUSTIFIER LES DÉPENSES EN MATIÈRE DE SÉCURITÉ, CAR L’INVESTISSEMENT PROFITERA NON PAS À UN SEUL, MAIS À PLUSIEURS CLIENTS. »

STEPHANE MAAREK
VICE-PRÉSIDENT AMÉRIQUE DU NORD, OUTSCALE

Pourtant, le doute subsiste.

Si la qualité peut varier, tous les fournisseurs de cloud doivent privilégier la sécurité s’ils désirent attirer des clients et les fidéliser. « En tant qu’entreprise individuelle, consacrer autant d’argent au savoir-faire, au matériel et aux logiciels en matière de sécurité et en justifier le coût est onéreux », explique Stephane Maarek, vice-président pour l’Amérique du Nord du fournisseur d’infrastructures cloud Outscale basé à Saint-Cloud, France. « En tant que fournisseur de cloud, il est beaucoup plus facile de justifier les dépenses, car l’investissement profitera non pas à un seul, mais à plusieurs clients. »

Todd McKinnon, PDG d’Okta, fournisseur d’identité cloud basé à San Francisco (USA), convient que si la sécurité doit inquiéter toutes les entreprises indépendamment de leur modèle commercial, les fournisseurs de cloud ont un rôle bien plus important. « La sécurité est une priorité absolue, peu importe si un produit ou une application est développé sur place ou sur le cloud », déclare-t-il. « Mais je pense que les fournisseurs de services cloud consacrent souvent davantage de ressources à la sécurité de leur service que ce qu’une organisation IT individuelle pourrait réaliser seule. »

« Avec un produit utilisé par des milliers de clients, les fournisseurs de services cloud doivent absolument disposer d’une équipe de sécurité compétente et motivée, présente en permanence », ajoute T. McKinnon. S’il admet que de nombreuses sociétés privées possèdent un personnel de sécurité dédié, beaucoup d’autres n’en ont pas ; ils ajoutent simplement la sécurité à la liste de tâches du département IT.

LA PRÉCAUTION EST DE MISE

Tous les fournisseurs de cloud ne sont pas égaux en matière de sécurité. A. Pelz-Sharpe recommande aux entreprises à la recherche d’un fournisseur de faire preuve de précaution. À l’instar des centres de données en interne, explique-t-il, le cloud nécessite un juste équilibre entre sécurité et usage. Trouver la bonne formule suppose des discussions franches avec le fournisseur, et la volonté de croire qu’il honorera ses engagements mentionnés dans la convention de services. « Je ne pense pas que parmi les fournisseurs de cloud légitimes, beaucoup veuillent faire du mauvais travail ou voler votre propriété intellectuelle, mais certains fournisseurs sont étourdis avec un financement à long terme et des plans d’activités douteux », affirme A. Pelz-Sharpe. « Certains proposent également des conditions de service équivoques, et peu voire pas de plans sérieux en cas d’acquisition ou de faillite. »

Cela signifie qu’il faut bien étudier la question et vérifier les références des fournisseurs, discuter avec des collègues qui ont déjà fait appel à ces services, et contrôler certains éléments de base comme les certifications de sécurité.
 

NORMES ET RÉGLEMENTATIONS

Au-delà des préoccupations en matière de sécurité, les secteurs hautement réglementés comme les soins de santé et les services financiers soulèvent souvent des questions quant à la capacité des fournisseurs de cloud à répondre aux exigences de confidentialité et de contrôle, et autres obligations réglementaires.
 
« L’aspect économique et l’innovation de la technologie dématérialisée continuent à faire avancer les choses, permettant aux responsables informatiques de secteurs plus lourdement réglementés de remettre en question le statu quo et d’investir dans de nouveaux services comme facteur de différenciation, quand l’occasion se présente », explique le PDG d’Okta. En réalité, de nombreux fournisseurs de cloud s’engagent dans leurs conventions de services à satisfaire aux réglementations médicales, antiterroristes et autres.

À mesure que le secteur se développe, affirme A. Pelz-Sharpe, les normes de sécurité, d’intégration, de migration et de conventions de services renforceront la confiance des entreprises clientes. « Les normes doivent aussi migrer vers le cloud, ce qui suffira à apaiser de nombreuses préoccupations », explique-t-il.

Pour l’instant, il est conseillé aux entreprises de bien se documenter. Les services cloud peuvent aider à maîtriser les coûts et l’utilisation, fournir une certaine flexibilité et souplesse, et encourager l’esprit d’entreprise. Pour profiter de ces avantages, les entreprises pourraient néanmoins devoir exiger des fournisseurs de cloud des garanties de sécurité plus solides. C’est aux fournisseurs de satisfaire à ces exigences, ou à eux de perdre du terrain face à la concurrence. ◆