Cloud et sécurité

Le Cloud apporte des garanties importantes en matière de sécurité : pérennité des données, plan de redémarrage (PRA), redondance des stockages, etc. Il va même bien au delà des standards internes à la plupart des entreprises, puisque les fournisseurs de Cloud sont en mesure de garantir un niveau de qualité et de service maximum qui demanderaient de lourds investissements, impossibles, pour la grande majorité des entreprises.

La sécurité est la priorité numéro 1, pour vous, pour votre fournisseur

La sécurité doit être la priorité absolue de tous les fournisseurs de cloud et il est important de bien comprendre quand intervient la responsabilité de chacun pour s’assurer d’une sécurité optimale.

Le modèle de sécurité partagée est à bien comprendre ici. En effet, les fournisseurs de Cloud prennent à leur charge la responsabilité de la sécurité physique : ils sont responsables du gardiennage, des clôtures, contrôles d’accès physiques, alarmes anti-intrusion et caméras de vidéosurveillance dans leurs datacenters, qu’ils doivent concevoir et exploiter en suivant des directives strictes ; les fournisseurs de Cloud sont aussi responsables de la sécurité des très nombreux serveurs, équipements réseaux, stockage… Les contenus des machines virtuelles sont eux sous la responsabilité des clients qui doivent, par exemple, s’assurer de chiffrer leurs données mais surtout de gérer convenablement les clés associées.

En effet, les fournisseurs de services de Cloud computing peuvent être très sécurisés, cependant, si un client lance une application non sécurisée ou vulnérable dans le Cloud, il risque de compromettre son projet. Inversement, si un client exécute une application très sécurisée dans un environnement  Cloud peu sécurisé, il encourt le même risque. L’objectif de cette responsabilité partagée est de faire bénéficier aux clients de la flexibilité et du contrôle nécessaire, afin de leur permettre de déployer des applications qui répondent convenablement à leurs besoins.

Enfin, le client expérimenté exigera que son fournisseur Cloud apporte la preuve de son obtention des certifications et accréditations, témoignant de la sécurité de son offre. Ces certifications et accréditations sont décernées par des auditeurs tiers qui contrôlent que la sécurité mise en place correspond bien aux normes imposées par les organismes internationaux, et par des entités de réglementation comme les gouvernements, la santé ou la finance.

Ainsi, la certification la plus classique en Europe est  nommée ISO-27001:2013. Développée par l’Organisation Internationale de Normalisation, la norme ISO-27001:2013 est reconnue par les entreprises du monde entier. Les fournisseurs d’infrastructure Cloud devraient également se soumettre aux vérifications du SOC-1, SOC-2 et SOC-3 qui permettent de garantir la conformité de leurs politiques internes. La certification de la sécurité de l’infrastructure technologique d’un fournisseur de Cloud par les auditeurs permet aux RSSI (Responsables de la Sécurité des Systèmes d’Information) de mieux évaluer les offres de Cloud computing. Les clients doivent aussi se renseigner quant aux certifications et accréditations applicables à leur secteur d’activité. A titre d’exemple, les entreprises qui manipulent des numéros de cartes bancaires doivent se conformer aux norme de sécurité PCI DSS de niveau 1.

Un exemple de Cloud sécurisé avec SMATIS et AWS

Basée en France, l’entreprise Smatis est au service de plus de 160 000 clients, fournissant des assurances et une couverture maladie, et est chargée de l’utilisation et du stockage sécurisé des informations client confidentielles. Smatis souhaitait explorer la technologie Cloud en vue de réduire ses coûts et d’améliorer son efficacité sur le plan informatique. Afin de garantir que les exigences de conformité du secteur puissent être satisfaites de façon durable, des tests intensifs ont été réalisés. Smatis utilise le Cloud AWS pour les besoins de test et de développement, de pré-production de démonstration de faisabilité et de production, tout en restant parfaitement conforme à Solvency II, la norme en vigueur dans le secteur.

Afin de garantir l’utilisation et le stockage sécurisé des informations client confidentielles, SMATIS utilise notamment les services AWS suivants : Amazon S3, Amazon RDS, Amazon VPC, Amazon EC2, Amazon SNS, Amazon Route 53…

Nous vous invitons à découvrir en vidéo le témoignage de SMATIS.

Que faut-il retenir ?

Le conseil qu’il faut retenir ici est qu’il est important de bien choisir son fournisseur de Cloud en fonction des certifications proposées, de son modèle de sécurité mais aussi de son expérience et sa fiabilité dans le domaine.