Vous envisagez le multi-cloud ? Assurez-vous de pouvoir de relever les défis en matière de sécurité et de gestion

  Posted On   By Bitdefender   Cybersécurité pour les entreprises

De nombreuses entreprises adoptent aujourd’hui une stratégie multi-cloud, via l’utilisation de services de différents fournisseurs de cloud computing, et déploient des offres de software-as-a-Service (SaaS), platform-as-a-Service (PaaS) et infrastructure-as-a-Service (IaaS), afin de répondre à de nombreux besoins métier.

 

Un rapport du cabinet d’études Forrester Research et de la société Virtustream, société de cloud computing, publié en juillet 2018, basé sur une enquête mondiale en ligne menée auprès de plus de 700 décideurs du cloud, révèle que 86% des entreprises ont adopté une stratégie multi-cloud et que 60% transfèrent leurs applications critiques vers le cloud public.

 

Étant donné que les entreprises se concentrent de plus en plus sur la migration des applications vers le cloud, les investissements dans la technologie et les ressources de cloud computing sont également à la hausse. Les chercheurs ont constaté que près de la moitié des entreprises déclarent des dépenses annuelles d’au moins 50 millions de dollars dans les technologies cloud. De plus, la grande majorité des répondants prévoient augmenter ou maintenir leurs investissements au cours des deux prochaines années, y compris les ressources consacrées au personnel interne et aux fournisseurs externes.

 

La plupart des entreprises adoptent aujourd’hui une stratégie multi-cloud pour optimiser leurs performances et atteindre leurs objectifs commerciaux, selon l’étude. Ils exploitent différents cloud publics et privés pour différentes charges de travail applicatives, la performance étant citée comme la principale considération lorsqu’il s’agit de faire correspondre les charges de travail aux environnements cloud.

 

La stratégie multi-cloud peut apporter un certain nombre d’avantages, tels que la réduction des coûts et une plus grande flexibilité. Mais elle peut également entraîner des problèmes de sécurité et de gestion des données.

 

Un article paru en octobre 2018 sur CSO.com fait état de trois défis majeurs en matière de sécurité multi-cloud. Le premier est la complexité accrue. Le fait de devoir coordonner les politiques, les processus et les réponses en matière de sécurité entre plusieurs fournisseurs et services de cloud computing et d’exploiter un réseau étendu de points de connexion ajoute des niveaux de complexité. Dans certains cas, les entreprises devront également se pencher sur la question de la conformité à la réglementation de plusieurs pays.

 

Un autre défi est le manque de visibilité. Les services informatiques ne connaissent en effet pas toujours tous les différents services cloud que les employés utilisent, ces derniers pouvant facilement contourner les politiques informatiques pour utiliser et acheter des offres de services cloud, par leurs propres moyens.

 

Le troisième défi concerne les nouvelles menaces pour la sécurité. Les responsables de la sécurité informatique doivent être conscients que les environnements multi-cloud émergents peuvent conduire à de nouvelles menaces et vulnérabilités.

 

De plus, il a été établi que beaucoup d’entreprises sont confuses lorsqu’il s’agit de savoir qui est responsable de quoi lors de l’utilisation de services cloud. Par exemple, une enquête mondiale menée fin 2017 auprès de 1 200 décideurs du monde des affaires et des technologies de l’information par la société de recherche Vanson Bourne a révélé qu’il existe d’importantes idées fausses sur la responsabilité de la gestion des données.

 

Environ 70 % des entreprises interrogées pensaient à tort que la protection et la confidentialité des données, ainsi que la conformité étaient la responsabilité du fournisseur de services cloud, selon le rapport, commandé par Veritas Technologies.

 

Les entreprises interrogées ont indiqué qu’elles font appel à divers fournisseurs de services cloud, dont les cloud privés et publics. En ce qui concerne plus particulièrement l’IaaS, environ les deux tiers des entreprises ont déclaré qu’elles utilisaient ou prévoyaient d’utiliser deux fournisseurs de cloud ou plus. 42% ont affirmé qu’elles utilisaient ou prévoyaient d’utiliser trois fournisseurs ou plus.

 

L’étude a aussi montré que lorsqu’il s’agit de cloud publics, il existe probablement des idées fausses sur la partie de qui détient la responsabilité ultime de la gestion des données : le client ou le fournisseur ? Par exemple, 83% des entreprises qui utilisent ou prévoient d’utiliser l’IaaS pensent que leur fournisseur de services cloud prendra soin de protéger leurs données dans le cloud. Plus de la moitié d’entre eux pensent qu’il incombe au fournisseur de services cloud de transférer en toute sécurité les données entre l’infrastructure interne et le cloud, et que c’est au fournisseur qu’il incombe de sauvegarder les charges de travail dans le cloud.

 

L’article de CSO.com suggère quelques bonnes pratiques pour mettre en place et gérer un environnement multi-cloud. La première consiste à identifier tous les services cloud dans lesquels résident les données et à s’assurer que l’entreprise dispose d’un programme de gouvernance des données solide, avec une visibilité complète sur les données et autres services et actifs associés.

 

Une autre solution consiste à mettre en œuvre des mesures de sécurité conventionnelles pour sécuriser les environnements multi-cloud. Cela comprend l’utilisation de solutions de chiffrement et de gestion des identités et des accès telles que l’authentification à deux facteurs.

 

Les entreprises doivent également standardiser leurs politiques et leur architecture afin d’assurer une application cohérente, et automatiser autant que possible, afin de limiter les écarts par rapport aux normes de sécurité. Elles devraient adopter des frameworks tels que le NIST (National Institute of Standards and Technology), les Control Objectives for Information Related Technology (COBIT) de l’ISACA, la série ISO 27000 et la Cloud Security Alliance’s Cloud Control Matrix (CCM).

 

De plus, les entreprises devraient déployer des technologies émergentes conçues pour permettre aux équipes de cybersécurité de mieux gérer et appliquer les stratégies de sécurité multi-cloud. Il s’agit notamment de courtiers de sécurité d’accès au cloud et de systèmes d’intelligence artificielle pour détecter avec plus de précision les anomalies qui pourraient indiquer une activité suspecte sur leurs réseaux.