Depuis plusieurs années, l’adoption du Cloud au sein des entreprises ne cesse de progresser.
Ses premiers clients, les divisions métiers, y ont rapidement vu un véritable accélérateur de
croissance, mais souvent au détriment de la sécurité. A l’heure de la transformation digitale,
toute entreprise souhaite redéfinir sa stratégie métier et son approche client. Aujourd’hui, le
Cloud est devenu l’un des principaux vecteurs de mutation pour leur permettre d’être
compétitive face à l’ubérisation des services.
Le cabinet d’études IHS Technology révélait récemment qu’avec une croissance moyenne
annuelle de 25 %, le marché mondial des services de Cloud Computing devrait valoir 278
milliards de dollars en 2020. Mais quels sont aujourd’hui encore les principaux enjeux
associés à un développement à plus grande échelle ?
Malgré sa popularité grandissante, le Cloud semble encore pour la majorité des entreprises
complexe à mettre en oeuvre. Le fait de déplacer certaines charges de travail, applications
et/ou données apparaît encore comme inquiétant. Au‐delà de la migration en elle‐même, la
notion de sécurité marque les esprits. Aujourd’hui, l’un des principaux enjeux du Cloud réside
notamment dans l’utilisation des réseaux publics (Cloud public) dont l’exposition aux failles
de sécurité fait peur.
A y regarder de plus près, cet enjeu de sécurité reflète aujourd’hui, d’après l’INSEE1, l’un des
freins à l’adoption du Cloud et de ses services en France. Si une entreprise héberge des
données dans le Cloud public, ces dernières sont désormais accessibles à tous. Tel est le
postulat au coeur des inquiétudes des entreprises et des problématiques majeures des
gouvernements/institutions, matérialisées successivement par le ‘Safe Harbor’ et plus
récemment le ‘Privacy Shield’. En matière de protection de la vie privée, ce nouvel accord
euro‐américain se veut plus protecteur des droits en ligne des Européens. Il tend, entre autres,
à maîtriser l’accès d’autrui aux données des entreprises hébergées par un fournisseur de
Cloud public. La question se pose alors de savoir si la sécurité du Cloud privé ne pourrait pas
prendre le dessus dans le cadre d’un schéma d’infrastructure cloudifiée mixte.
A l’image de l’hybridation du Cloud, celle de la sécurité ne pourrait‐elle pas se révéler être
un bon compromis ?
L’adoption du Cloud hybride tend à se développer, le Gartner précise qu’entre 10 et 15 % des
entreprises ont déjà adopté une stratégie hybride2 et que cette tendance continuera à
prendre de l’ampleur dans les 2 à 5 ans à venir. Pour la majorité des responsables
informatiques (59 %)3 maintenir un accès permanent à la sécurité et au contrôle des
autorisations d’accès dans un environnement hybride est un défi capital.
Car en matière de sécurité, le maître mot pour une entreprise est d’être capable de
promouvoir et de faire appliquer en toute homogénéité sa propre politique de sécurité
indépendamment du schéma technologique retenu. Choisir une approche de Cloud hybride
induit de calquer sa sécurité sur ce même modèle et de la penser comme une extension du
data center de son entreprise. Dans cette logique, les mesures de sécurité existantes doivent
désormais s’inscrire comme l’une des briques essentielles à la sécurisation d’un Cloud hybride.
L’approche d’une sécurité hybride implique pour l’entreprise d’assurer une classification de
ses données pour identifier celles qui pourront ou non être déplacées vers le Cloud. L’usage
de cette technologie requiert que chaque collaborateur soit en mesure de savoir quels types
d’informations peuvent être déplacés du domaine privé vers le domaine public afin d’éviter
toute erreur et/ou fuite de données. L’entreprise doit aussi veiller à un contrôle des accès
fiable, c’est‐à‐dire à mettre en place des méthodes d’authentification des collaborateurs
spécifiques et d’assurer le chiffrement de ses données afin d’assurer la protection à la fois de
ses informations mais aussi celles de ses endpoints. Alternative possible, l’entreprise peut
aussi utiliser l’infrastructure publique de son fournisseur Cloud, mais conserver le contrôle et
la propriété du serveur au sein de cette dernière. Dans ce cas de figure, elle s’appuiera sur le
service de chiffrement de ce dernier pour chiffrer l’intégralité du contenu de son serveur au
sein de cet environnement de Cloud public.
L’hybridation de la sécurité imposée par le Cloud n’altère en rien, et vient plutôt renforcer, la
stratégie de sécurité définie et appliquée par l’entreprise pour la décliner jusqu’aux endpoints
et à l’utilisateur final, quel que soit l’endroit d’où il est connecté et le matériel qu’il utilise, et
ce indépendamment du modèle de Cloud utilisé.
Il appartient donc aux entreprises de réfléchir à la mise en place d’une stratégie de sécurité
hybride leur permettant d’optimiser l’utilisation du Cloud tout en conservant la possibilité de
sécuriser et de chiffrer certaines de leurs données, en fonction de leur criticité. Et il est urgent
que la controverse existante quant aux challenges de sécurité du Cloud puisse disparaître
progressivement pour favoriser l’adoption de cette technologie, promise à un bel avenir.
1 http://www.insee.fr/fr/ffc/ipweb/ip1545/ip1545.pdf
2 Hype Cycle for Emerging Technologies, 2015
3 http://www.computerweekly.com/news/450281133/Enterprises‐that‐shun‐cloud‐comprise‐a‐business-threat‐says‐451‐Research