Dans son propre Système d’information, la DSI pilote toutes les données et transactions internes. Elle doit en connaitre les procédures de protection des données et de sécurité à mettre en œuvre pour se protéger ainsi que ses collaborateurs.
Cette tâche devient de plus en plus ardue au regard de la complexité grandissante des SI. Cela pousse les dirigeants à regarder vers le Cloud.
Si les solutions en mode SaaS (Service as a Software), PaaS (Plateform…) ou IaaS (Infrastructure…) promettent de simplifier la gestion du SI, qu’en est-il alors de la sécurité des processus, des applications, des services et des données qui se trouvent déportées dans un endroit inconnu ? Comment être certain de la confiance que l’on porte aux responsables de ces solutions ?
La DSI est-elle certaine de sa sécurité ?
Avant de parler de sécurité dans le Cloud et de vouloir l’analyser, examinons celle qui existe dans nos SI.
La phrase que j’entends le plus souvent c’est « oui, mais au moins, dans mon SI je maîtrise ce que j’ai ». Il suffit de faire le moindre audit de sécurité pour se rendre compte, qu’à l’évidence, l’on ne maîtrise pas son SI comme on le croit.
Les raisons sont multiples.
- Beaucoup d’intervenants dans les différentes couches du SI, les DBA, les développeurs, les exploitants, le support…
- Une politique de sécurité rarement respectée parce que mise en place tardivement, parce que la sécurité ralenti les échanges, parce que la sécurité complexifie les projets…
- Un coût trop important de mise en œuvre, il faudrait revoir chaque service pour le sécuriser
Par conséquent, les intervenants à la mise en œuvre des procédures de sécurité font le strict minimum pour ne pas subir ces contraintes.
Le Cloud sécurise le SI
Il est évident que si nos applications deviennent des services dans le Cloud, cela en fait d’autant moins à sécuriser dans nos SI. Et comme, en général l’accès aux services du Cloud est sécurisé, la plus part du temps en HTTPS, il n’y a, à ce niveau, aucune perte de sécurité. Voire même, elle s’en trouve renforcée, car là où avant les échanges passaient en clair, ils sont désormais chiffrés. L’intégrité des échanges est respectée.
De plus les services sont protégés par une authentification « identifiant/mot de passe » par défaut qui peut être remplacée par une procédure utilisant la fédération d’identité par le protocole SAML2. Ainsi, pour l’utilisateur, l’accès à un service du Cloud se fait comme s’il était dans le SI. L’authentification et la non répudiation sont respectées.
La plus part du temps, différents niveaux de droits sont mis en œuvre dans les services du Cloud pour limiter l’accès à certaines fonctionnalités uniquement aux utilisateurs ayant droit. L’habilitation est elle aussi respectée.
Confiance dans le Cloud
En utilisant les services du Cloud, le nombre d’applications à surveiller dans le SI devient moins important et les accès aux services qui les remplacent sont sécurisés. Mais cela n’est pas suffisant, car les données qui nous appartiennent et qui sont stockées dans le Cloud, ne sont plus sous notre surveillance.
C’est la principale raison pour laquelle nous sommes encore réticents à utiliser les services du Cloud.
Cela n’est pas pour autant une fatalité et il existe des méthodes pour s’assurer de la confidentialité de nos données qui transitent et qui sont stockées dans le Cloud. Par exemple, rien ne nous empêche de chiffrer les données avant de les envoyer vers le Cloud. L’intégrité des données est respectée.
En ce qui concerne la disponibilité elle est, par expérience, nettement supérieure à celle des applications du SI étant donné la taille de l’infrastructure du service dans Cloud.
Conclusion
Qu’est ce qui nous retient de migrer nos applications dans le Cloud ? Ce n’est pas une question de coût, car le ROI est rapidement atteint.
Les principales raisons sont l’absence de service satisfaisant notre besoin métier en termes de fonctionnalités et les relations humaines avec les employés historiquement en charge du SI depuis de nombreuses années.
Thierry ALBAIN, SI
Jeu de briques
Snake
Pacman
Bubble