Centre de ressources

Accueil Centre de ressources Avant de se lancer, les 5 points liés à la sécurité du Cloud

Avant de se lancer, les 5 points liés à la sécurité du Cloud

La garantie pour que les données soient stockées en France

L’affaire de cybersurveillance Prism a révélé le danger pour les entreprises françaises de stocker leurs données dans des datacenters en dehors de la France et de l’Europe, notamment aux Etats-Unis. Par la loi « anti-terroriste » baptisée le Patriot Act, le gouvernement américain peut, en effet, avoir accès à des données sur les serveurs installés dans des datacenters aux USA, et ce, quel que soit la nationalité du fournisseur. De ce fait, il est donc conseillé pour une entreprise de s’orienter vers un acteur reconnu et bien implanté, car l’entreprise qui confie ses données et ses applications à un opérateur tiers doit être certaine que ce service sera hébergé et opéré en France ou en Europe (leurs données informatiques sont hébergées dans les datacenters du fournisseur) et qu’il dépendra, de ce fait, des législations françaises et européennes sur la sécurité des données. Selon le droit français, et a fortiori européen, les données confiées à un tiers restent ainsi la propriété du client et la loi interdit au prestataire de les divulguer.

 

La garantie de disponibilité des services

Les contrats Cloud Computing sont importants pour les clients car ils permettent d’avoir des réponses précises sur les garanties de disponibilité des données,offertes par les fournisseurs concernant notamment les niveaux de service. L’entreprise utilisatrice doit donc être très attentive sur le taux de disponibilité de service (généralement donné à partir de 99,9%). Et pour garantir ce taux élevé, les fournisseurs se doivent de s’engager et de proposer des méthodologies et des solutions comme la redondance des infrastructures, les réponses données par le fournisseur à toutes les défaillances matérielles, la maîtrise de la bande passante, l’intégrité des données avec un cloisonnement ou une séparation des espaces clients sans oublier les services d’exploitation proposés (plan de reprise d’activité, déduplication des données, administration et l’agilité des ressources). En cas de non-respect de ces engagements, l’entreprise utilisatrice bénéficie généralement, de la part du fournisseur, de versements de pénalités préalablement inscrits dans le contrat. 

 

La détection des virus et des attaques en temps réel

Comme toutes les infrastructures IT, le Cloud Computing est vulnérable et peut être soumis à des attaques classiques externes (virus, logiciels espions, intrusions, déni de service, etc). Pour y faire face, l’entreprise utilisatrice doit s’assurer que le fournisseur dispose, bien sûr, de tous les outils de sécurité informatiques nécessaires (des firewalls aux systèmes de détection d’intrusion logicielle en passant par des solutions d’automatisation et de surveillance du réseau) pour garantir la sécurisation des données. Mais, elle doit aussi s’assurer que le fournisseur est également prêt à répondre aux nouvelles menaces notamment celles que l’on qualifie de « persistantes » menées par des groupes organisés. Ces derniers exploitent, en effet, des systèmes très sophistiqués et sont ainsi capables de repérer et de manière répétée toutes les failles des équipements et des applications existants dans le Cloud. L’entreprise cliente doit donc être vigilante en s’assurant que le fournisseur sait détecter en temps réel, via une cellule de veille, toutes les menaces persistantes ciblant les services délivrés.

 

La garantie de la réversibilité et de l’intégrité des données

Avec la réversibilité des données, la question est de savoir si les entreprises peuvent facilement et simplement récupérer leurs données stockées chez leur fournisseur en cas de rupture de contrat. La réversibilité, ce n’est pas seulement un problème de récupération de données mais c’est aussi le passage de ces données d’un fournisseur à l’autre ou de réinternaliser ces données dans son propre système d’information. Il faut passer d’une notion de réversibilité à une approche de transférabilité afin que les données soient aussi lisibles et donc exploitables en cas de changement de fournisseur. Aujourd’hui, de plus en plus de fournisseurs de services Cloud Computing garantissent, en effet, dans les contrats, cette transférabilité en fournissant des formats de fichiers standards et lisibles.

 

Le cloisonnement des données clients

A la demande de certaines entreprises, très exigeantes en termes de sécurisation des données, certains fournisseurs de Cloud Computing n’hésitent pas à proposer des zones de cloisonnement privées. Ce sont le plus souvent des espaces grillagés privatifs qui renferment les serveurs, les baies, les commutateurs et même des systèmes d’alimentations et de refroidissements personnalisés, et qui comprennent également un contrôle d’accès additionnel. Dans cette zone protégée, les entreprises bénéficient non seulement de configurations sur mesure mais aussi de possibilité d’extension de la surface d’hébergement à mesure que les besoins de celles-ci augmentent ou évoluent.