Si vous faites partie d’une Direction Informatique, peut-être êtes-vous de ceux qui doivent faire le grand écart entre l’indispensable politique de maîtrise des coûts et les exigences de votre Direction Générale concernant la rapidité et la souplesse avec lesquelles vous saurez déployer de nouveaux services et applications.
Voilà l’arbitrage qui alimente aujourd’hui la forte croissance du Cloud Computing, une approche qui permet justement de concilier ces deux objectifs. Certes, dans un monde parfait, le Cloud Computing serait le Saint Graal de toute entreprise. Mais sans une sécurité conçue spécifiquement pour le Cloud Computing, cette quête n’est pas sans risque.
Les cybercriminels s’intéressent en effet de près à ce nouvel environnement. Le Cloud Computing public, et le concept d’Infrastructure as a Service ou IaaS (type de services dans lequel une entreprise n’externalise que les équipements utilisés pour fournir ses services), sont particulièrement vulnérables. Alors que les plateformes de Cloud Computing de type SaaS ou PaaS offrent un certain degré de sécurité dans leurs conditions d’utilisation, le modèle IaaS fait en revanche de l’entreprise le principal acteur de sa sécurité. Il suffit de jeter un œil aux conditions d’utilisation des fournisseurs IaaS pour se rendre compte que c’est bien souvent l’entreprise qui est responsable de la sécurisation de son infrastructure.
Pour initier la sécurité de leurs applications fournies en mode IaaS, les entreprises doivent en premier lieu comprendre les différentes facettes d’une application fournie en mode Cloud Computing, avec pour principal objectif de sécuriser les environnements applicatifs et de contrôler les données. Quelle que soit la solution, elle doit s’adapter à l’architecture existante et introduire une sécurité capable de protéger toutes les couches de l’infrastructure.
Mais au-delà de cette première étape, les entreprises souhaitant capitaliser sur les avantages des applications en mode Cloud sans mettre en péril la sécurité de leurs données, doivent étudier les points suivants :
- Le périmètre de sécurité de l’entreprise est celui de sa machine virtuelle in the Cloud et il faut donc également sécuriser le serveur hôte virtualisé. Cette sécurité doit s’adosser à un pare-feu, à des fonctions de détection/prévention d’intrusion, à un monitoring de l’intégrité des fichiers, et à un outil d’inspection des logs.
- L’entreprise doit s’assurer que sa solution lui permet de migrer d’une sécurité orientée infrastructure physique à une sécurité propre aux environnements clouds privés ou publics résultant d’une virtualisation. Elle doit opter pour une solution holistique prenant en charge la virtualisation en natif et utilisant des technologies existantes comme les API VMSafe de VMware. Elle doit en outre éviter les solutions trop contraignantes (environnement physique uniquement, un seul hyperviseur, des appliances virtuelles pour un seul hyperviseur, etc.)
- L’entreprise doit adopter une solution lui garantissant le contrôle de la sécurité de ses données et applications, que ces dernières soient au sein de l’entreprise ou en mode Cloud Computing public. Il est important qu’une seule et même console lui permette d’administrer les environnements, qu’ils soient physiques, virtualisés ou en mode Cloud.
- Il faut garder à l’esprit que même les meilleures solutions peuvent devenir obsolètes : si l’entreprise souhaite mettre un terme à la relation avec son fournisseur d’infrastructure Cloud car il ne correspond plus à ses attentes, elle doit pouvoir s’assurer que ses données ne seront pas détruites ou qu’elles n’auront pas fait l’objet d’une copie illicite ?
- En évitant de s’engager auprès d’un fournisseur Cloud exclusif et en s’assurant de pouvoir migrer et porter son environnement vers un autre fournisseur, l’entreprise optimise son pouvoir de négociation et évite ainsi tout risque lié à la faillite d’un fournisseur unique.
Le modèle Infrastructure-as-a-Service témoigne d’avantages majeurs en matière de maîtrise des coûts et de déploiement rapide des applications. Ainsi si les entreprises planifient en amont la sécurité de leurs environnements dans le détail, la solution de sécurité pour laquelle elles opteront leur permettra justement de bénéficier pleinement de ces avantages liés au Cloud Computing.