La plupart des services cloud offrent des outils pour protéger l’infrastructure et les logiciels d’une entreprise. Mais c’est aux utilisateurs eux-mêmes de décider des outils dont ils ont besoin et qu’ils veulent mettre en place. Cette règle de bon sens a été rappelée par Roland Cloutier, chef de la sécurité chez Automatic Data Processing Inc, un fournisseur américain de solutions d’externalisation professionnelles.
Beaucoup d’entreprises migrent une partie de leur IT dans le cloud. Les motivations sont diverses : besoin de flexibilité ou de puissance de calcul, nécessité de s’appuyer sur des outils innovants, volonté d’assurer sa sécurité…
Cette dernière motivation ne doit pas être prise à la légère. Selon un rapport publié par RedLock, une entreprise américaine spécialisée dans la sécurité du cloud, 51 % des entreprises qui utilisent le service de stockage Cloud Amazon Web Services (AWS) S3 ont subi au moins une fuite de données en 2017. De son côté, Proofpoint indique que 24 % des tentatives « suspectes » de connexion ont réussi sur les « centaines de milliers » de comptes SaaS examinés.
Une migration dans le cloud ne signifie pas une délégation de ses responsabilités en matière de protection de données. C’est ce qu’a rappelé Roland Cloutier, lors de son discours mardi 11 décembre à New York, au WSJ Pro Cybersecurity Executive Forum.
Cette problématique de sécurité informatique ne doit pas être délaissée, car le marché mondial du cloud a progressé de 21,4 % cette année pour atteindre un total de 186,4 milliards de dollars, selon Gartner
Le Software as a Service (SaaS), le segment le plus important du marché mondial du cloud, devrait croître de 22,2 % pour atteindre 73,6 milliards de dollars d’ici la fin de l’année, selon le cabinet d’analystes.
Niveau de résilience
Pour se préparer à cette évolution, les entreprises doivent examiner de près leur mode de fonctionnement et « quels sont leurs processus clés », a déclaré M. Cloutier. Ils doivent ensuite établir un ensemble standard de contrôles autour de l’authentification, de l’autorisation et du chiffrement, entre autres mesures.
En choisissant un fournisseur de services dans le cloud, M. Cloutier recommande aux entreprises de vérifier les certifications qui permettent d’évaluer le niveau de disponibilité, la documentation et les garanties de service.
En particulière, les entreprises devraient essayer d’évaluer le niveau de résilience d’un fournisseur de services dans le cloud, c’est-à-dire sa capacité à réagir rapidement en cas de panne d’activité, de reprise après sinistre ou d’autres urgences.
Pour leur part, les fournisseurs de cloud doivent déclarer aux utilisateurs : « voici ce que nous faisons et ce que nous ne faisons pas ».
Des compétences externes
Un sondage mené plus tôt cette année par CompTIA, une association de professionnels IT dans l’industrie, a indiqué que les entreprises craignent que l’adoption croissante du cloud et du mobile n’expose leurs SI à de nouvelles cybermenaces, dans un contexte de pénurie croissante de compétences en sécurité TI.
En conséquence, beaucoup d’entre eux réclament davantage de formation interne et d’expertise externe, a précisé CompTIA.
« Je crois beaucoup à l’aide extérieure », a dit M. Cloutier qui a précisé qu’ADP compte environ 400 experts en sécurité. Pourtant, il lui a quand même fallu faire appel à des experts extérieurs en matière de sécurité possédant « des compétences vraiment spécifiques » pour sauvegarder ses propres opérations, a-t-il dit.