La sécurité et le cloud ont une relation extrêmement ambivalente. De nombreux spécialistes de la sécurité sont encore sceptiques à l’égard du nuage et le considèrent avant tout comme un risque. Cependant, le nuage peut aussi être une opportunité et même servir la sécurité. Avec la migration d’une application métier vers le cloud, les risques changent. Le fait que cette évolution soit négative dépend de divers facteurs et ne peut être répondu de manière généralisée.
Dans cet article, j’aimerais aborder trois sujets qui ont une influence majeure sur la réussite et la sécurité de la migration d’une application professionnelle vers le cloud :
- la gouvernance de l’information
- la gestion des risques
- gestion des identités et des accès
Sommaire
La gouvernance de l’information
La gouvernance de l’information concerne la gestion de l’information dans l’entreprise. L’objectif est de permettre l’utilisation efficace, la protection appropriée et le stockage correct des informations, tout en respectant les réglementations internes et externes.
Si vous souhaitez migrer une application commerciale vers le cloud, vous devez d’abord comprendre quelles informations sont migrées vers le cloud avec l’application. Quelles sont les informations traitées dans la demande et quelles sont celles qui sont nécessaires pour que la demande fonctionne ? Cela semble logique au premier abord. Le défi consiste généralement à déterminer les exigences exactes qui s’appliquent aux informations en question. Dans la pratique, il n’est plus aussi facile de répondre aux questions sur la criticité des informations et les exigences légales auxquelles elles sont soumises.
Au moins depuis les discussions autour de l’EU-DSGVO, la plupart des entreprises et des fournisseurs de services en nuage ont été sensibilisés, au moins en ce qui concerne la protection des données. Toutefois, ce n’est là qu’un des aspects juridiques qui peuvent être pertinents pour une migration vers le cloud. Il convient de préciser, par exemple, si les informations appartiennent à l’entreprise ou si elles lui ont été confiées uniquement par les clients, comme les plans de construction dans le cas de la fabrication à façon ou le code source du logiciel dans le cas du développement de logiciels individuels. Si les informations n’appartiennent pas à l’entreprise, il faut préciser si des conditions imposées par le propriétaire interdisent ou limitent le passage au nuage. Peut-être l’externalisation des informations nécessite-t-elle le consentement explicite du propriétaire ou limite-t-elle le lieu de stockage géographique.
Afin de comprendre et de gérer les exigences en matière d’information, il convient de les diviser en classes dans le contexte de la gouvernance de l’information. Pour chaque classe d’information, les aspects pertinents sont enregistrés. Ainsi, lors de la migration d’une demande, seules les classes d’information pertinentes doivent être identifiées. La classe d’information fournit ensuite le cadre pertinent pour la migration vers le cloud.
La gestion des risques
Afin d’évaluer les risques associés à la migration vers le cloud, il est d’abord nécessaire de comprendre les menaces liées au cloud qui concernent l’entreprise. La situation de menace dépend fortement du secteur d’activité dans lequel l’entreprise est active. Dans quels pays est-elle représentée, dans quelle industrie est-elle active et quels sont ses clients et ses concurrents ? Une institution financière active au niveau international présente un niveau de menace différent de celui d’une entreprise sanitaire active au niveau local ou d’une start-up de haute technologie dans le domaine de la technologie médicale. Ce qui peut migrer dans le nuage sans problème pour les uns est un risque inacceptable pour les autres ou nécessite des mesures compensatoires complètement différentes.
Par exemple, il faut se demander si l’on doit craindre un agresseur d’État, si les informations commerciales sont lucratives pour le crime organisé à motivation financière, ou si l’on peut être la cible d’espionnage industriel lorsqu’un concurrent veut voler la propriété intellectuelle.
Outre la perspective du risque, la perspective de l’opportunité ne doit pas être négligée. La question se pose de savoir si l’entreprise elle-même peut réellement exploiter l’application commerciale mieux et de manière plus sûre qu’un fournisseur de services en nuage. Cette vision de l’évaluation des risques est souvent négligée dans le nuage. On ne considère que les risques liés à l’utilisation d’une solution en nuage et on ne tient pas compte des risques qui découlent du fonctionnement interne. Pour les PME en particulier, il est presque impossible aujourd’hui d’exploiter de nombreuses applications en toute sécurité. La configuration sécurisée, la surveillance du système et la gestion des correctifs exigent souvent un savoir-faire très spécifique et des processus d’exploitation robustes qu’une petite organisation informatique ne peut souvent pas se permettre.
Une évaluation complète des risques est essentielle pour une migration vers le nuage. Il doit être adapté à l’entreprise et à la demande concernée et inclure également les risques de non-migration.
La gestion des identités et des accès
Le dernier sujet qui est souvent sous-estimé, mais qui est de la plus haute importance pour le succès dans le nuage, est la gestion des identités et des accès (IAM). Toute forme de solution de cloud computing entraîne des utilisateurs et des autorisations qui doivent être maintenus. Les solutions existantes sur site ne sont pas toujours facilement extensibles au nuage. Par exemple, les solutions de cloud computing ne peuvent pas simplement être intégrées dans l’Active Directory sans exposer ce dernier à l’Internet. Ici, une architecture technique et les processus correspondants sont nécessaires pour gérer en toute sécurité les utilisateurs et les autorisations dans le nuage.
S’il existe déjà un AMI complet dans l’entreprise, ce n’est généralement pas un problème. En fin de compte, la solution du nuage est simplement un autre système cible qui doit être approvisionné. Toutefois, si une architecture IAM fait défaut ou est très bien adaptée aux systèmes internes, comme l’intégration d’Active Directory, l’intégration d’une solution en nuage peut être un grand défi. Dans ce cas, il est conseillé de considérer le statut de l’IAM dans le cadre de la stratégie de cloud computing et de vérifier si vous disposez des processus et des moyens techniques nécessaires pour gérer les utilisateurs et les autorisations dans la solution de cloud computing. Nous déconseillons vivement de maintenir manuellement les utilisateurs et les autorisations dans la solution de cloud computing.
Mais l’authentification dans le nuage apporte également de nouveaux défis. Par exemple, lorsqu’une application commerciale interne est migrée vers le cloud, elle devient généralement soudainement accessible depuis l’internet. Une simple authentification par nom d’utilisateur et mot de passe, qui peut encore être appropriée sur place, n’est alors plus suffisante. Une authentification forte devient nécessaire. Sagement, au moyen d’une solution d’authentification centrale et d’une fédération, afin qu’elle puisse être utilisée pour différentes solutions de cloud computing et qu’elle ne doive pas être intégrée à nouveau à chaque fois.
Conclusion
Ces trois sujets ne sont pas en fait des sujets spécifiques au nuage, l’idéal étant qu’une entreprise ait déjà mis en place des processus et des solutions à cet égard. Si tel est le cas, ils aident systématiquement à maîtriser les défis d’une migration vers le cloud. Souvent, cependant, le niveau de maturité n’est pas suffisamment élevé dans tous les domaines pour que ces sujets puissent être considérés comme automatiquement donnés dans une migration vers le nuage. Par conséquent, tout projet de cloud computing devrait traiter intensivement ces trois sujets et se poser les questions suivantes :
- Est-ce que je connais vraiment les informations que je veux dans le nuage ?
- Est-ce que je sais quelles menaces sont pertinentes pour moi dans le Cloud ?
- Puis-je gérer mes utilisateurs et leur accès dans le nuage en toute sécurité ?
