Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Le cloud hybride en quête de bonnes pratiques de sécurité

Le cloud hybride dominera les choix des entreprises en 2013. Face aux rêves de réduction des coûts des directions générales, les équipes informatiques doivent élaborer rapidement une politique de sécurité ad hoc. Un défi à l’heure où le système d’information interne est à peine protégé.

Selon les experts, 2013 sera l’année du cloud hybride. Cela risque surtout d’être l’année où la sécurisation de ce type de cloud va occuper le devant de la scène. Il n’existe pas de solution unique pour sécuriser un Cloud hybride selon les analystes et les experts. Il faut dire que les questions sont multiples : comment sécuriser les ressources sur site, comment sécuriser les applications qui débordent dans un cloud public, comment sécuriser des données hébergées chez différents fournisseurs de services de cloud, comment protéger les fondations virtualisées des clouds privés et publics employés par l’entreprise, et enfin, comment sécuriser les terminaux mobiles qui se connectent à cette infrastructure cloud.

« Une implémentation de Cloud hybride est unique pour chaque entreprise, cela complique la tâche » reconnaît Dave Asprey, vice-président en charge de la sécurité cloud chez TrendMicro, un éditeur de solutions de sécurité. Ce responsable adhère à l’idée que les entreprises vont évoluer vers des modèles où elles emploieront plusieurs fournisseurs de cloud, chacun étant remplaçable selon l’usage, le prix et la disponibilité.

Urgence à planifier

L’urgence désormais pour les équipes informatiques consiste à planifier et à se préparer pour une mise à jour technologique de sa politique de sécurité et des équipements associés. « Généralement, l’adoption d’une technologie a lieu bien avant que les questions de sécurité ne soient correctement traitées » souligne Gary Loveland, consultant en charge des bonnes pratiques sécurité informatique chez PricewaterhouseCooper.

Dans le cas des clouds hybrides, il estime que les clients sont plus clairs en matière d’exigences de sécurité dès le départ et imposent aux fournisseurs de donner des réponses solides dans des domaines aussi divers que le périmètre de leur architecture multi-tenant, la conformité PCI ou FISMA, et les possibilités d’audit.

Un document qui récapitule les contrôles de sécurité des fournisseurs

L’organisation Cloud Security Alliance en 2011 a dressé un registre CSA Security, Trust & Assurance Registry, gratuit qui décrit les contrôles de sécurité mis en oeuvre par divers fournisseurs de cloud. A l’heure actuelle, ce registre décrit les offres de 20 fournisseurs. On y trouve en particulier les déclarations de HP, de Amazon et de Microsoft (pour Office365 ou Azure).

« Le problème de fond », selon Gary Loveland, « est que les entreprises doivent avoir muri suffisamment dans leur usage des technologies de l’information et de la gestion des services de cloud avant d’utiliser des solutions de sécurité plus évoluées ». Jeff Spivey, vice-président de l’ISACA, une association de professionnels de l’audit de systèmes informatiques, et vice-président de RiskIQ un fournisseur de solutions de sécurité pour mobiles, est d’accord avec ce point de vue.

Source ici