Aujourd’hui, la sécurité du cloud est considérée comme fiable, selon une récente étude commandée par Google et menée auprès de 2 000 responsables informatiques du monde entier, près de 85 % des personnes interrogées ont déclaré qu'elles faisaient autant, voire plus, confiance aux mesures de sécurité du cloud qu'à celles associées à leurs infrastructures de données sur site.

Aussi paradoxal que cela puisse paraître, la réalité est que, dans la plupart des cas, les données sont plus sécurisées lorsqu'elles sont conservées hors site. Le cloud computing élimine les dangers associés aux menaces sur site (employés mécontents, effractions, sinistres et urgences majeures, etc.) Parallèlement, les fournisseurs de solutions cloud computing ont tendance à adopter une approche plus proactive pour maintenir des mesures de sécurité entièrement corrigées et à jour. Ces mesures vont souvent bien au-delà des normes appliquées par les organisations individuelles. Le cloud computing connaît actuellement un âge d'or de confiance et de capacité qu’il faut pourtant relativiser :  la sécurité du cloud est loin d’être infaillible. Il existe encore de nombreuses failles dans la sécurité du cloud et la première étape pour les combler est de les identifier.

Les principaux problèmes liés à la sécurité du cloud

Une infrastructure cloud solide présente un grand nombre d'avantages. Sans compter les avantages évidents liés à la disponibilité illimitée (les utilisateurs autorisés peuvent accéder à leurs solutions cloud en tout temps et en tout lieu) et à l'amélioration de la collaboration. En effet, le fait de disposer d'un ensemble unique et centralisé d'outils basés sur le cloud permet aux membres de l'équipe de se connecter et de partager facilement des informations. Outre ces avantages, le cloud est également capable d'améliorer la saisie et l'analyse des données, la création de rapports, la continuité et la résilience des activités, ainsi que l'évolutivité. Dans le contexte économique actuel, ces facteurs constituent des atouts déterminants pour conserver un avantage concurrentiel.

Cependant, la question n'est pas de savoir quelles sont les forces du cloud mais plutôt quelles sont ses faiblesses potentielles. Les problèmes actuels en matière de sécurité du cloud, bien qu'ils ne soient pas aussi évidents que ceux redoutés à ses débuts, demeurent un danger manifeste pour les entreprises et leurs clients.

Incapacité de reproduire les modèles de sécurité et de conformité sur site

En opérant dans le cloud, les entreprises évoluent sur le terrain d'un acteur extérieur et doit se conformer à ses règles. Et si les fournisseurs de services cloud proposent des solutions de sécurité efficaces, ces solutions sont rarement les mêmes que celles pour lesquelles les entreprises ont déjà déployé un investissement considérable en temps et en énergie. Qu'advient-il donc de ces investissements en matière de sécurité lorsqu'elles basculent vers le cloud ? Dans la plupart des cas, ils risquent d'être perdus, tout comme la visibilité des données essentielles.

Il s’agit d’un enjeu qui s'étend également aux préoccupations liées aux modèles de conformité. La conformité des données est un enjeu  majeur, avec une législation qui ne cesse d'évoluer et qui adopte une approche de plus en plus agressive pour garantir des pratiques de données sûres et éthiques. Le non-respect des mesures réglementaires peut avoir de graves conséquences comme des amendes, des peines de prison pour les dirigeants d'entreprise, voire la dissolution forcée de l'entreprise fautive. Malheureusement, les questions liées à la conformité des données dans le cloud peuvent être difficiles à déterminer et ce, même lorsque les données sont entièrement gérées par les fournisseurs de cloud, la responsabilité incombe au moins en partie à l'entreprise. Par ailleurs, puisque la société n'a pratiquement aucun droit de regard sur les modèles de conformité mis en œuvre, elle a également peu de contrôle sur le résultat.

Des difficultés pour modifier les applications cloud et répondre aux contrôles de sécurité

Les failles en matière de sécurité du cloud s'étendent aux applications cloud. Celles-ci peuvent ne pas être conçues pour répondre aux normes de sécurité des organisations qui en dépendent. Bien qu'il soit possible de modifier ou d'étendre certaines applications pour améliorer la sécurité, cette opération est généralement une tâche longue, coûteuse et extrêmement complexe. Dans le cas où les entreprises n'ont pas accès aux ressources, à l'expertise ou aux fonds nécessaires pour modifier les applications cloud afin qu'elles répondent à leurs contrôles de sécurité, elles devront chercher d'autres solutions.

Tous les points précédents se recoupent pour créer cette ultime faille dans la sécurité du cloud. Comme de nombreuses organisations reconnaissent les problèmes susmentionnés, l'adoption complète du cloud peut être ralentie, diminuée, voire complètement arrêtée. Cela peut ainsi se traduire par une politique de sécurité du cloud moins efficace.

Dans la majorité des cas, les données et la réputation des entreprises restent plus protégées dans le cloud qu'elles ne le seraient en restant strictement confinées dans des solutions sur site. Cela dit, ces failles dans la sécurité du cloud ne doivent pas être négligées. Pour garantir une protection optimale des données dans le cloud, les entreprises ont besoin d'une visibilité optimale du cloud, d’outils d’observabilité avancée, c’est à dire l’ajout d’une intelligence de réseau exploitable pour amplifier la performance des outils de surveillance basés sur les métriques, les événements, les journaux et les traces. Il s'agit de la solution la plus efficace pour les entreprises pour faire disparaître ces « nuages sombres » qui les empêchent de voir leurs données.

Par Pascal Beurel, Senior SE chez Gigamon