Cloud : quelles évolutions pour les entreprises ?


Face à l’essor du cloud, les entreprises n’ont d’autres choix que de se renouveler et innover pour adapter leurs politiques et leurs dispositifs de sécurité. Quels modèles doivent-elles adopter ? Quelles stratégies peuvent-elles mettre en place ? Analyse de Laurent Célérier, CTO d’Orange Cyberdefense.

Quelles sont les motivations de nos clients à migrer vers le cloud ?

Leurs motivations sont généralement multiples : migrer vers le cloud signifie réduire les investissements dans des data centers et dépenser uniquement en fonction de l’utilisation des ressources de stockage et de calcul. Cette élasticité est un élément majeur pour certains secteurs soumis à des pics d’activité comme le retail. Le cloud offre également des services difficilement accessibles on-premise comme l’intelligence artificielle ou la reconnaissance d’images. Enfin, les enjeux de sécurité des entreprises jouent de manière paradoxale dans leur décision de migrer vers le cloud, qui est vue à la fois comme un gain de sécurité mais aussi une source de nouveaux risques.

Comment les entreprises vivent-elles leur migration vers le cloud ?

La migration massive vers le cloud que nous connaissons aujourd’hui a mis plusieurs années à s’enclencher. En effet, les entreprises nourrissaient des craintes concernant la sécurité, le manque de compétences en interne pour gérer proprement ce nouvel environnement, la perte de contrôle de leurs données mais aussi la bonne maîtrise de leurs coûts. Si, aujourd’hui, ces freins persistent dans une certaine mesure, les avantages rencontrés semblent supérieurs aux risques. IDC considère ainsi que près de la moitié des données stockées le seront dans le cloud public à horizon 2025[1].

En outre, la sécurité ne constitue plus un facteur de blocage à la migration dans le cloud. Lorsqu’une entreprise y bascule ses données, elle opère dans un modèle de responsabilité partagée entre elle et son cloud service provider (CSP). A titre d’exemple, dans un service de type IaaS [Infrastructure as a Service, NDRL], la sécurité de l’infrastructure est de la responsabilité du CSP. Toutes les couches supérieures (OS, applications, données, accès) relèvent de celle du client.

Quels sont les principaux risques d’utiliser un cloud public ?

Nous avons mené de nombreuses missions de conseil et d’audit chez nos clients confrontés à ce nouvel environnement. Les analyses de nos experts identifient plus de 30 risques inhérents ou renforcés par le cloud. Parmi ces risques, trois retiennent particulièrement notre attention. 

Le premier concerne l’identité des utilisateurs. Si ce sujet était déjà important on-premise, il devient un enjeu crucial dans un environnement cloud. Il s’agit non seulement de sécuriser les accès (par exemple en proposant des authentifications multi-facteurs) mais aussi de gérer les identités. Selon une étude d’Intermedia, pour 89% des entreprises, des salariés les ayant quittées bénéficient pourtant toujours des accès informatiques pour s’y connecter[2].

Le second risque sur lequel nous nous concentrons est la bonne configuration des espaces des clients dans le cloud public. Une très large majorité des incidents que nous constatons est due à un défaut de paramétrage ou de mesures de sécurité. Des entreprises exposent ainsi ouvertement leurs données sur internet alors qu’elles pensaient être en sécurité.

Le troisième risque est lié à la protection des données. A défaut de pouvoir s’assurer que les données ne seront jamais accessibles par une personne non autorisée, il faut les rendre inutilisables grâce à du chiffrement. Mettre en place une organisation robuste de chiffrement des données est un projet complexe mais absolument nécessaire pour s’assurer un haut niveau de protection.

Comment accompagner nos clients dans leurs nouveaux besoins de sécurité ?

Nos partenaires ont, comme nous et nos clients, embrassé pleinement le virage du cloud. Pour répondre au mieux aux besoins de nos clients, notre stratégie est ainsi basée sur trois axes. Le premier : développer nos partenariats avec les cloud service providers afin de devenir le tiers de confiance entre eux et nos clients. Deuxième axe prioritaire : poursuivre la transformation de nos offres pour les rendre compatibles avec le cloud. Enfin, troisième et dernier point, nous développons des offres cloud native répondant aux enjeux spécifiques de nos clients, notamment de visibilité.

Quel partage de responsabilité est possible entre le client, son cloud provider et son fournisseur de cybersécurité ?

Le partage de responsabilité dépend du service acheté par l’entreprise. Lorsqu’il se concentre sur l’infrastructure (IaaS), son CSP assurera uniquement la sécurité de cette dernière. Avec une formule de type PaaS, pour Platform as a Service, le CSP prend également à sa charge la sécurisation de la plateforme. Enfin en SaaS, pour Software as a Service, la responsabilité du CSP s’accroît encore davantage et prend en charge l’application. Pour autant, le client demeure toujours responsable de la sécurisation d’une partie des données. Il a donc parfois besoin d’être épaulé par un fournisseur de cybersécurité.

Après avoir analysé les risques liés au cloud, pouvons-nous évoquer les bénéfices de sécurité pour les clients ?

Deux avantages clairs se dégagent. Premièrement, les infrastructures des CSP demeurent d’un très bon niveau de sécurité, souvent meilleur que celui des data centers dont les installations de sécurité demeurent obsolètes ou inexistantes. En cas d’attaque, le système de réplication des données mis en place par les CSP augmente les capacités de résilience des entreprises. Ce dernier avantage a certes un inconvénient : la difficile maîtrise de la localisation des données.

Comment rassurer nos clients sur l’accès et l’utilisation de leurs données ?

Notre objectif est de contribuer à ce que les clients aient une meilleure visibilité sur l’utilisation de leurs données, notamment via des systèmes de surveillance qui permettent de savoir qui a utilisé quelles données et quand. En complément de ce service, nous proposons le chiffrement de toutes leurs datas afin qu’elles soient inutilisables en cas de fuite.

Une souveraineté française, voire européenne, est-elle possible sur le cloud ?

La localisation des données comme leur usage est devenue une grande préoccupation pour les pouvoirs publics. Une commission d’enquête sur la souveraineté numérique a d’ailleurs été créée par le Sénat.  

Aujourd’hui, force est de constater que l’offre européenne peine à concurrencer celle des Etats-Unis. Nous soutenons l’émergence d’un projet européen solide, proposant une qualité de service d’aussi bon niveau que les géants américains. En attendant, nous contribuons à ce que nos clients maîtrisent leurs données en opérant pour eux les services de sécurité.

Le futur du cloud est souvent envisagé dans un contexte d’automatisation importante. Quel changement cela représente-t-il ?

Les cloud service providers proposent déjà des services nativement très automatisés. Pour autant, la technologie n’enlève rien à l’humain, et l’enrichit même en demandant une expertise encore plus pointue, que les CSP ne fournissent pas car ils n’ont pas les ressources en interne pour le faire. Chez nos clients, cette expertise se fait souvent rare pour les mêmes raisons : les profils formés manquent sur le marché. C’est là que nos experts entrent en jeu.

Vers quel modèle d’architecture de services nous dirigeons-nous à terme ? Allons-nous vers du 100% cloud ?

Dans un futur proche et pour les entreprises d’une certaine taille, non, car il n’y a pas toujours d’intérêt économique ou technique à ce que les applications anciennes soient basculées dans le cloud. Par ailleurs, certains secteurs ont moins d’intérêts à y stocker leurs données, notamment les entreprises ou administrations avec une activité assez constante ou de très forts enjeux de confidentialité.

A moyen terme, l’edge computing[3] connaîtra un essor certain. La concentration de toutes les données finira par poser problème, tant en termes de concentration des risques que de saturation des flux Internet. Nous devrons donc traiter plus localement les données et n’envoyer que les plus importantes dans les data cloud centers.

Notes

[1]https://www.silicon.fr/data-age-2025-donnees-cloud-stockage-226317.html

[2]Do ex-employees still have access to your corporate data?, Intermedia

[3]Traitement des données à la périphérie du réseau permettant de gérer des volumes importants de datas sans utiliser la bande passante d’Internet.

A propos du blogueur

Laurent Célérier est le CTO d’Orange Cyberdefense. Il a rejoint l’entreprise en 2018 après un parcours opérationnel puis de direction générale au sein du ministère des Armées et de l’ANSSI.

Laurent Célerier, CTO d'Orange Cyberdefense