La quasi-totalité des entreprises françaises interrogées reconnaît avoir largement dépassé leur budget cloud en 2022.Si l’on considère que les entreprises investissent en moyenne entre 1 et 2,5 millions de dollars dans des clouds publics, les montants finalement dépensés peuvent s’avérer conséquents. Cette tendance n’est pas près de s’atténuer puisque 25% d’investissements supplémentaires sont attendus sur les cinq prochaines années. La facture finale devrait donc continuer de grimper.
Les déploiements cloud devenant de plus en plus complexes, les dépassements de budget semblent inévitables. Pourtant, ce n’est pas le cas. Une grande partie de ces dépenses excessives est due à des suppositions relatives aux attributions de responsabilité partagée - notamment sur l’entité qui va « détenir » les responsabilités critiques en matière de sauvegarde, de récupération, de stockage et d’accès aux données.
Aujourd’hui, de nombreuses entreprises ne réalisent pas qu’elles sont responsables de la résilience de leurs données, y compris dans le cloud, et que cette responsabilité englobe de nombreux aspects, notamment la sauvegarde et la récupération. Peu d’entreprises sont en mesure d’identifier correctement les responsabilités liées au cloud qui incombent au fournisseur de services cloud, et celles qui relèvent de leurs attributions. Selon Gartner, au cours des trois années à venir, au moins 95 % des défaillances de sécurité dans le cloud seront imputables au client, et non au fournisseur.
Étant donné que les principaux CSP ont adopté un modèle de responsabilité partagée, il est impératif que les entreprises comprennent exactement ce que cela signifie, et ce qu’une erreur ou une mécompréhension peut coûter.
Qu’est-ce qu’un modèle de responsabilité partagée ?
Avant tout de chose, le modèle de responsabilité partagée ne signifie pas que celle-ci est répartie de façon équilibrée. Chaque CSP propose un modèle différent. Si ces acteurs sont généralement responsables de l’infrastructure cloud en tant que telle, le client est, quant à lui, responsable de sa résilience. Dans les contrats par défaut, le CSP est responsable de la protection de l’infrastructure uniquement, et cette notion est souvent occultée par les entreprises.Par ailleurs, les modèles de responsabilité peuvent aussi varier selon le type de services cloud fourni. Par exemple, dans le cadre d’un modèle SaaS, le CSP assumera plus de responsabilités en termes d’applications, de contrôles de réseau et de systèmes d’exploitation que dans le cadre d'un déploiement IaaS. Dans un modèle PaaS, davantage de responsabilités sont « partagées ». L’utilisation croissante du multicloud complique davantage la situation. Et comme les CSP ajoutent constamment de nouveaux services, le fait de combler les lacunes en matière de résilience des données dans plusieurs cloud, peut devenir un défi particulièrement complexe à relever.
D’où proviennent alors les dépenses excessives ? Compte tenu du manque de compréhension du modèle de responsabilité partagée, il n’est pas surprenant que les coûts supplémentaires supportés par les entreprises utilisant des CSP publics concernent des domaines relevant de la compétence de l’utilisateur. La sauvegarde et la récupération ainsi que le déploiement sont généralement les pôles qui coûtent le plus cher aux entreprises françaises. La cybermenace permanente pèse également sur leur budget. Et pour cause, on ne badine pas avec la criticité des données.
Un coût élevé pour une utilisation peu sécurisée
Le coût moyen d’une violation de données en 2022 avoisinerait les 4,35 millions de dollars, alors que les attaques par ransomwares coûtent en moyenne 4,54 millions de dollars aux entreprises. Fait inquiétant, le coût moyen d’une violation de données pour les entreprises disposant d’un cloud public dépasserait les 5 millions de dollars. Et elles furent nombreuses à avoir été victimes d’une attaque par ransomware cette année.Ainsi, elles ont dû faire face à une exposition de leurs données sensibles, à des temps d’arrêt d’activités ou encore à des pertes financières (liées à la récupération des données ou au paiement des rançons). Malheureusement, ces conséquences sont aggravées par le choix que font de nombreuses entreprises de s’appuyer uniquement sur les services standards et complémentaires des fournisseurs de services cloud pour la sécurité, la sauvegarde et la récupération des données. En effet, ces entreprises - qui n’utilisent que des outils natifs - seraient souvent beaucoup plus gravement touchées par les ransomwares, les pertes de données, et les revers financiers.
Pour éviter les dépassements de budget, les entreprises doivent comprendre le contour de leurs responsabilités dans le cadre du modèle partagé et mettre en place des stratégies rigoureuses pour les assumer. Toutefois, elles ne doivent pas partir du principe que l’ensemble des fonctionnalités des outils proposés par les fournisseurs de services cloud répondront exactement à tous leurs besoins.
Par Jean-Pierre Boushira, VP South EMEA, Benelux & Nordics chez Veritas Technologies