La bonne stratégie en matière de cloud

Le cloud est considéré comme un moteur important de la numérisation. Les entreprises en ont besoin pour lancer plus rapidement de nouveaux produits et services sur le marché, pour évoluer de manière flexible et pour réduire les coûts informatiques. Mais il y a aussi un revers de la médaille : En déplaçant des charges de travail vers le cloud, on perd un peu le contrôle. Cela peut être dangereux. Car les données et la technologie constituent aujourd'hui la base du succès commercial. Les contrôler est décisif pour sa propre souveraineté numérique. Dans le cloud public, cela devient difficile, car on utilise des infrastructures informatiques gérées par des tiers. Les entreprises ne savent pas quels composants sont utilisés, ni où ils ont été développés et rendus résilients. En outre, il existe un conflit juridique en matière de protection des données, notamment chez les grands hypercalers américains : en cas d'enquête pénale, le US Cloud Act annule le RGPD - même s'il existe un accord complémentaire et que le centre de données se trouve dans l'UE.

Déterminer les besoins en matière de souveraineté

Mais les entreprises ne doivent pas pour autant renoncer totalement au cloud public. Car la souveraineté numérique n'est pas une décision "soit l'un soit l'autre". La meilleure solution consiste plutôt en une approche hybride qui combine différentes variantes de cloud. Autant d'agilité que possible et autant de contrôle que nécessaire, telle est la devise. Il s'agit de trouver pour chaque type de données et chaque application l'environnement qui offre le niveau de souveraineté approprié. Pour cela, il faut d'abord analyser les besoins et évaluer les risques. Quels sont les types de données et d'actifs numériques présents dans l'entreprise ? Quelle est leur sensibilité et leur valeur ? Quels seraient les dommages en cas de perte ou de défaillance ? Qui accède à quelles données et comment sont-elles transmises ? Il en résulte alors le besoin de protection ainsi que le modèle de cloud computing approprié et les mesures de sécurité correspondantes.

Choisir le cloud adéquat

La grande majorité des données d'une entreprise ne sont généralement pas critiques et peuvent être déplacées sans hésitation vers le cloud public illimité. Pour les données restantes, il convient d'examiner si l'on peut les protéger de manière adéquate avec les fonctions de sécurité natives du fournisseur de cloud et des contrôles externes supplémentaires. On parle alors d'un cloud contrôlé. Si cela ne suffit pas, l'étape suivante serait le Trusted Cloud : on entend par là des services Cloud qui sont certifiés selon des normes de sécurité nationales ou européennes, par exemple SecNumCloud (France), C5 (Allemagne) ou EUCS (UE). Un tel Trusted Cloud convient surtout aux scénarios dans lesquels les entreprises doivent satisfaire à certaines exigences réglementaires.

Enfin, les Disconnected Private Cloud Services offrent le niveau de contrôle le plus élevé. Ils sont entièrement sous leur propre contrôle, mais sont les moins agiles. En outre, les entreprises doivent renoncer à des fonctionnalités telles que les services PaaS et les fonctions sans serveur.

Établir la confiance zéro

C'est précisément dans les environnements non contrôlables ou partiellement contrôlables qu'il est en outre recommandé de mettre en œuvre un modèle de confiance zéro. Rien ni personne ne doit bénéficier d'un privilège de confiance. Au lieu de cela, tous les accès et toutes les demandes de réseau doivent être authentifiés, qu'ils soient internes ou externes. Pour cela, il est décisif de mettre en place une gestion des identités et des accès (IAM) selon le principe du moindre privilège d'accès : chaque utilisateur et chaque actif ne doit recevoir que les droits absolument nécessaires. En outre, les données et la transmission des données devraient être cryptées. Les formations de sensibilisation des collaborateurs sont également importantes. Car la meilleure technologie de sécurité ne sert à rien si les gens se laissent berner par les cybercriminels.

Conclusion

Avec une stratégie de cloud hybride basée sur les risques et Zero Trust, les entreprises peuvent profiter des avantages du cloud tout en restant numériquement souveraines. La meilleure façon de mettre en œuvre ces deux aspects est de collaborer avec un prestataire de services spécialisé. Il aide à déterminer les risques, à sélectionner les services Cloud appropriés et à prendre les mesures de sécurité adéquates. Enfin, la souveraineté numérique devient elle-même un facteur concurrentiel important. En effet, les clients accordent aujourd'hui une grande importance à la protection des données et à la cybersécurité.

Cet article spécialisé est paru dans l'édition imprimée de SicherheitsForum 4-2022. Vous souhaitez lire les articles de cette édition ? Alors fermez tout de suite ici un abonnement.