Jusqu’à récemment, la sécurité était considérée comme une barrière au changement et, de ce fait, laissée de côté dans le cadre de l’élaboration des stratégies de gestion et de transition vers le cloud. Depuis 2018, la situation a évolué et les équipes de sécurité n’ont cessé de se faire entendre instaurant progressivement une normalisation du cloud autant chez les fournisseurs que chez les clients.

Mais les DSI font aujourd’hui face à un challenge considérable : la complexité des infrastructures. Assurer la sécurité du réseau et donc de l’entreprise, dans un environnement multi-fournisseurs, avec des équipes toujours plus mobiles, est un vrai défi. Il devient donc de plus en plus difficile de transposer les standards de sécurité traditionnels dans le cloud. Pour maintenir le cap, il est impératif de respecter trois paramètres cruciaux : la visibilité, la conformité et la gestion du changement.

1La visibilité avant tout

Avant d’enclencher une migration vers le cloud, les entreprises doivent avoir une vision claire de leur infrastructure. Mais être capable de fournir une visibilité de la totalité du réseau est une tâche complexe. En effet, il faut d’abord se pencher sur l’état des lieux avant d’entamer toute procédure de migration, pour pouvoir ensuite porter un regard critique sur le réseau tel qu’il est.

Cet état des lieux passe par l’unification et la rationalisation des politiques à travers l’infrastructure. Il faut penser « modélisation » plus que « cartographie » : la contextualisation est essentielle. En effet, dans des entreprises de grande envergure, la cartographie peut vite devenir chaotique, et perdre de son intérêt, c’est pourquoi il est indispensable de contextualiser toutes ces données.

Cette prise de hauteur permet de visualiser l’ensemble du réseau dans sa globalité, jusqu’au niveau des containers, et de pouvoir ensuite disposer des analyses nécessaires en un coup d’œil.

2Intégrer les différentes politiques de mise en conformité

Bien souvent, l’analyse « de bout en bout » peut aller à l’encontre de certains principes de sécurité, et de politiques d’entreprise internes. Pour maintenir la sécurité de cette dernière, il est pourtant indispensable d’exercer un haut niveau de vigilance à tous les niveaux.

Il s’agit donc d’identifier et de répertorier les différentes politiques de sécurité et d’accès, ainsi que les règles en place, et de s’assurer de leur conformité (notamment aux normes ISO, PCI DSS…) afin de les appliquer dans le nouvel environnement. L’objectif est de normaliser l’infrastructure hybride afin d’éviter tout défaut de lecture. Pour ce faire, il est nécessaire pour les entreprises de s’outiller pour être en mesure d’utiliser les différents clouds en toute sécurité.

3Accompagner les entreprises pour une gestion du changement fluide

Faire de la migration vers le cloud un succès, et éviter de mettre l’entreprise en danger, nécessite un vrai travail de collaboration entre les sphères dirigeantes et les équipes IT. Dans la majeure partie des entreprises, les salariés ne sont pas tous formés ou alertés sur les mesures de sécurité en place, il est donc nécessaire de les accompagner, et ce d’autant plus dans la période de transition des workflows dans le cloud.

La migration doit être programmée et se faire par étape, afin de donner à chaque équipe le temps d’assimiler la finalité de cette transition et d’adopter les nouveaux process.

Le budget est également une donnée à reconsidérer puisque ce dernier n'est plus déterminé seulement par l’achat de matériel. Les coûts d’un environnement cloud sont parfois imprévisibles et une nouvelle évaluation des sommes engagées est nécessaire.

Enfin, derniers paramètres à prendre en considération pour mener à bien la migration vers le cloud, l’automatisation, et la notion de sécurité Zéro Touch. Cette approche permet de déclencher des actions, sans avoir à intervenir car il s’agit de vérification. Même si le recours à l’automatisation n’est pas encore pleinement adopté, souvent par manque de confiance, les processus automatisés permettent de réduire le risque d’erreur humaine, de fluidifier les processus et de réduire les coûts.

Le plus important dans un projet de migration vers le cloud reste l’implication de l’ensemble des équipes pour garantir la réussite dudit projet. Bien que le début de cette transition soit très technique et ne concerne de manière active que les équipes IT, il est nécessaire d’intégrer l’ensemble des équipes progressivement pour assurer une continuité dans les workflows. De la visibilité du réseau à la mise en conformité en passant par la conduite du changement, rien ne doit être laissé au hasard pour que la sécurité soit pérenne.

Par Marie de Germond, Directrice Grands Comptes, France et Belux chez Skybox Security