Editeur | Proximus

Comment protéger vos données et applications dans le cloud ?


Le cloud computing change la façon dont les entreprises utilisent, sauvegardent et partagent les données, applications et charges de travail. Bart Callens, Product Manager Security chez Proximus, nous parle des défis que cela implique et des mesures à prendre.

De nombreux décisionnaires IT considèrent la gestion de la sécurité comme l’un des principaux défis posés par le cloud. Pour plus d’un CIO sur trois, la confidentialité des données est une grande préoccupation, suivie par un manque de compétences et d’expérience en matière de sécurité (34 %) et des problèmes relatifs aux ressources sur le cloud (25 %) (1).

Bart Callens, Product Manager Security chez Proximus : “Depuis longtemps, pour de nombreux CIO, la cybersécurité constitue un frein au travail dans le cloud ou à la migration d’applications vers le cloud. Aujourd’hui, si la cybersécurité n’est plus un obstacle, il convient toujours de prendre les mesures nécessaires.”

 

L’importance d’une utilisation sûre du cloud

Le bureau d’étude et de conseil Gartner prévoit que d’ici 2025, 99 % des failles de sécurité dans le cloud seront liées à des actions non sécurisées ou à une mauvaise configuration par l’utilisateur final. (2) Bart Callens souligne que la question n’est plus aujourd’hui de savoir si le cloud est sûr, mais bien si nous l’utilisons d’une manière sûre. “Le cloud n’est pas peu sûr en soi, mais il requiert néanmoins qu’on l’utilise de la bonne manière. Il s’agit donc d’implanter la sécurité du cloud dans toute l’entreprise et d’y impliquer tout le monde.”

''Il s’agit d’implanter la sécurité du cloud dans toute l’entreprise et d’y impliquer tout le monde''. Bart Callens, Product Manager chez Proximus

Pour Bart Callens, la sécurité doit être abordée dès les premières discussions autour d’une potentielle migration vers le cloud. “La façon dont cette sécurisation sera déployée dépendra en grande partie de votre architecture et votre stratégie cloud, mais aussi des données et applications que vous y utilisez et traitez.” Tout commence par une analyse des risques. “Cela permet d’avoir une vue d’ensemble des flux de données et applications en présence, ainsi que de leur niveau de risque. Cet exercice fournit la base d’une liste d’actions reprenant tous les contrôles et processus à mettre en œuvre.”

Connaissez votre environnement cloud
Chaque environnement cloud possède ses spécificités au sein d’une stratégie cloud hybride. "Les entreprises doivent vraiment examiner la sécurité du cloud couche par couche, de la couche réseau à la couche application en passant par la couche système d'exploitation", précise Bart Callens. “Lorsqu’on migre des données vers le cloud, on demeure, quoi qu’il en soit, responsable de ces données.

Dans le cas d’un modèle software-as-a-service (SaaS), le fournisseur du cloud est responsable de la sécurité de la couche application, tandis que pour les modèles platform-as-a-service ou infrastructure-as-a-service, la responsabilité repose sur l’utilisateur. La sécurité est aussi différente sur le cloud public d’Amazon, Google ou Microsoft. Mieux comprendre les spécificités propres à chaque fournisseur et modèle vous permettra de prévenir ou de rattraper au plus vite toute fuite de données”, insiste Callens.

Il recommande de faire appel à un fournisseur capable de couvrir tout le spectre du cloud. “Il est conseillé de considérer la totalité de l’infrastructure IT, du cloud privé au public, en passant par l’on-premise et l’edge computing, comme un ensemble unique. Des analyses de risques régulières sont la clé de voûte d’une organisation optimale de votre sécurité cloud. Ces analyses vous indiqueront en outre où et comment traiter au mieux les données sensibles ou personnelles.”

''Des analyses de risques régulières sont la clé de voûte d’une organisation optimale de votre sécurité cloud''. Bart Callens, Product Manager chez Proximus

 

Proactif et curatif

Quelle que soit la rigueur avec laquelle les procédures de sécurité sont appliquées, une fuite de données n’est jamais totalement à exclure. En 2021, 79 % des entreprises ont indiqué avoir subi une fuite de données au cours de l’année précédente (3). “Il est indispensable d’organiser préalablement les procédures indiquées. Celles-ci vont du reste plus loin que les exigences légales. Un plan de violation des données englobe toutes les marches à suivre pour limiter au minimum absolu l’impact d’une cyberattaque. Là encore, il s’agit d’intégrer ce plan à chaque étape de la migration vers le cloud.”

Pour conclure, Bart Callens rappelle que des technologies toujours plus innovantes sont disponibles au sein du cloud. “Les conteneurs et l’informatique sans serveur, ou ‘serverless computing’, raccourcissent les cycles de développement. Cependant, là encore, il ne faut pas négliger l’aspect de la sécurité et l’intégrer dans l’ensemble du parcours DevOps.”

1.Foundry, Cloud computing study 2022
2.Gartner Hype Cycle Cloud Security 2021
3.IDC Cloud Security Survey 2021

Une question ? Contactez nous !

* Champs obligatoires
Recevez chaque mois un concentré du Blog