La sécurité ne doit plus être un frein pour le cloud

Aucune entreprise ne peut survivre sans passer au numérique. Et sans le cloud, il n'y a pas de transition numérique. Pourtant, de nombreuses entreprises craignent le recours au cloud pour des raisons de sécurité. Ne prenez pas peur ! Il existe des moyens pour concilier ces aspects apparemment contradictoires.

Travailler de n’importe où et ne rater aucune opportunité professionnelle : aujourd’hui, cela semble normal. Le numérique occupe une place de plus en plus importante. Le marketing numérique permet notamment aux entreprises de renforcer leur visibilité tout en pesant toujours plus sur leur réputation.

by Christophe Gerber
Head of Business Line Defense & Security

Les services reposant sur les technologies numériques sont peut-être particulièrement conviviaux pour les clients mais pour les entreprises, ils constituent un défi en termes de gestion des données. Ces services sont souvent inconcevables sans avoir trouvé une solution basée sur le cloud. D’autre part, les données des clients constituent un des actifs les plus sensibles d’une entreprise. Si elles devaient tomber entre de mauvaises mains, elles pourraient être divulguées ou utilisées à des fins de chantage. Le préjudice pour la réputation de l’entreprise serait alors incommensurable.

 

L’utilisation de «clouds publics» offre aux entreprises des avantages considérables: les services peuvent être mis en œuvre simplement, rapidement et avantageusement, ce qui renforce la compétitivité de l’entreprise. L’adoption réduit également les coûts opérationnels, transfère la responsabilité du fonctionnement optimal vers le prestataire en charge du cloud et améliore la collaboration et la productivité.

 

Malgré de tels avantages, de nombreuses entreprises hésitent à franchir le pas: elles ne sont pas convaincues de la sécurité des données et ne savent pas où elles sont sauvegardées, qui les contrôle et qui sera responsable de la tâche devenue cruciale de la conformité vis-à-vis des directives en vigueur. En cas de transfert des services et des processus dans le cloud, il peut arriver que le prestataire perde le contrôle de ses visiteurs (ou bénéficiaires des services).

 

L’Internet est mondial et, bien que la Suisse soit neutre, la guerre économique est bien présente. Etant donné notre situation nationale privilégiée, nous ne sommes pas épargnés et nos données suscitent l’intérêt de tiers. (états et entreprises)
Les nouvelles technologies sont à double tranchant: l’existence des armes cybernétiques n’est plus un mythe!

 

Bien que ces aspects puissent sembler inconciliables, il est possible de les combiner parfaitement. Gartner voit un formidable potentiel de marché pour les Cloud Access Security Brokers (CASB).

 

En termes simples, les CASB constituent des points de contrôle entre les utilisateurs et le cloud qui, entre autres, surveillent les éléments suivants:

  • Visibilité: identité des utilisateurs par application, type et emplacement des données enregistrées.
  • Protection contre la perte de données: traitement de toutes les données en fonction de leurs spécifications.
  • Protection contre les menaces: recherche des logiciels malveillants et des comportements suspects dans le cloud.
  • Conformité: respect des directives de conformité et normes industrielles.

Selon Gartner, les questions de sécurité des entreprises sont la raison qui a jusqu’à présent poussé plus de 50 % d’entre elles à renoncer à se tourner vers le cloud. Avec la numérisation croissante, ce renoncement est synonyme de perte de réputation, de bénéfices et de parts de marché. Il ne s’agit plus de savoir si une entreprise propose effectivement des services numérisés, mais de déterminer comment elle assure au mieux sa propre protection et celle de ses données lorsqu’elle propose de tels services. A de nombreuses reprises, une intégration la plus précoce possible de responsables de la sécurité a fait ses preuves. Il en est de même pour le contrôle des fournisseurs tiers: est-il réellement nécessaire ici de se soumettre à leur volonté? Quid de la qualité des systèmes et des logiciels? Est-il judicieux de laisser la clé de la maison (plus précisément de nos données) à un fournisseur étranger, donc répondant à une autorité tierce?  

De nombreux prestataires de solutions de sécurité ont développé leurs propres solutions: si ID Quantique, entreprise basée à Genève spécialisée en physique quantique appliquée aux problématiques de la sécurité informatique, propose des méthodes diversifiées pour l’encryptage hautement sécurisé des données, l’entreprise zurichoise Securosys offre une multitude d’options sur la manière dont cet encryptage peut être géré. Une entreprise comme Kudelski a réussi son tournant numérique depuis plusieurs années en proposant toute une palette de solutions d’accompagnement de sécurité.

ELCA adopte une démarche complémentaire en misant sur la diversité ou, en d’autres termes, sur une approche hybride. Son point fort? La mise en œuvre de plusieurs infrastructures de protection des données, des processus et des services sur plusieurs niveaux de sécurité: une infrastructure spécifique à l’entreprise pour des services et des données ultra-sécurisés, une « infrastructure suisse » (serveurs et liaisons installés en Suisse) permettant d’assurer la protection et la gestion des données conformément à la législation suisse et une solution entièrement intégrée au cloud pour les données non sensibles. L’objectif ici est d’obtenir une protection optimale, par exemple grâce à des fonctionnalités techniques telles que les appliances virtuelles, cloud access security brokers (CLOUDTRUST) et authentification multi facteur (ELCARD).

 

ELCA a développé CLOUDTRUST - une solution CASB personnalisée qui

  • propose un produit CASB couvrant toutes les fonctionnalités requises pour la visibilité, la prévention de la perte de données, la protection contre les menaces et le contrôle des accès.
  • offre une configuration avancée depuis une interface conviviale.
  • est hébergée en Suisse ou installée sur le site de l’entreprise.

En matière de sécurité, le retour sur investissement n’est ni immédiat, ni quantifiable, mais la simple réalisation d’un audit de sécurité de temps en temps qui ausculte un écosystème informatique en constante évolution et le recours exclusif à une norme minimaliste sont autant de négligences à éviter. D’autant que la partie adverse fait elle aussi appel à des personnes talentueuses. Il est impératif d’adopter des outils de surveillance et une stratégie précise de gestion des identités et des accès permettant d’effectuer un suivi permanent des accès aux données. Des entreprises comme ELCA, fortes d’une longue expérience dans ces domaines et ne dépendant pas de prestataires majeurs, peuvent fournir aux entreprises une assistance déterminante et neutre.

 

La voie vers le cloud n’est pas toute tracée et dépourvue de dangers. Il existe très peu d’entreprises possédant suffisamment d’expertise pour prendre seules les décisions avisées requises. Il existe par contre des conseillers aguerris aux technologies et aux secteurs d’intervention des entreprises. S’ils travaillent ensemble, il ne fait aucun doute qu’ils parviendront à établir une feuille de route et à la mettre en œuvre pour renforcer la réputation de l’entreprise, accroître ses bénéfices et consolider, voire étendre ses parts de marché.