Paperjam.lu

 (Photo : PwC Luxembourg)

Êtes-vous prêts pour le cloud?

Selon la dernière enquête menée par Cloud Security Alliance (parue dans «Cloud Adoption Practices & Priorities Survey Report»), les principales préoccupations évoquées par les entreprises à propos de l’utilisation du cloud sont la sécurité des données, la perte de contrôle sur les services informatiques, la conformité réglementaire et plus pratiquement le manque d’expérience voire de retour d’expériences. Il est donc vivement recommandé d’être accompagné, afin d’être certain de se poser les bonnes questions et de connaître les risques que le cloud fait pleuvoir sur votre entreprise… 

Quatre catégories de risques se détachent

«La première concerne celui sur la gouvernance et la contractualisation avec le fournisseur de solutions cloud», indique Vincent Villers, associé et cybersecurity leader chez PwC Luxembourg. Et plusieurs interrogations doivent venir très rapidement à l’esprit des entreprises: que se passe-t-il si le fournisseur fait faillite? Comment récupérer les données et comment changer de fournisseur si celui choisi utilisait des technologies propriétaires et non portables, ni même interopérables? Et que faire avec la conformité si l’on ne peut pas évaluer objectivement le prestataire de l’intérieur ou obtenir ses certifications?

Une autre catégorie concerne les risques techniques. «Une des caractéristiques du cloud est de pouvoir fournir un même service à plusieurs clients grâce à une infrastructure commune, bénéficiant des mêmes ressources», poursuit Vivien Bilquez, manager Information security chez PwC Luxembourg. Un client peut-il s’introduire dans l’environnement d’un autre? Les fournisseurs de solutions cloud possèdent de nombreux clients, augmentant considérablement leur vulnérabilité. Comment s’assurer qu’une attaque informatique sur l’infrastructure cloud, de type «déni de service distribué» par exemple, n’aura pas d’impact sur l’entreprise? Par ailleurs, comment s’assurer des moyens d’authentification, d’autorisation et de traçabilité mis en place?

«La troisième catégorie regroupe les risques légaux, beaucoup moins connus mais tout aussi dangereux», reconnaît Vivien Bilquez. «Prenons précisément l’exemple d’un utilisateur d’un service cloud faisant l’objet d’une assignation en justice»: les données d’un autre utilisateur pourront également être saisies en impactant leur confidentialité et leur disponibilité. «S’assurer des risques juridiques encourus pour des données stockées à de multiples endroits sans en avoir connaissance s’avère également très prudent», poursuit Vincent Villers dans son analyse.

Enfin, la dernière catégorie de risques représente ceux encourus au quotidien et qui ne sont pas spécifiques au cloud. Comme par exemple les problèmes réseaux, les attaques de type «social engineering» ou bien encore les pertes ou les compromissions de fichiers de journalisation.

Le «Shadow IT»: un nouveau risque fantôme

Les principaux risques liés au cloud ont été identifiés par l’Enisa (European Union Agency for Network and Information Security) et les contrôles peuvent être évalués grâce à un outil appelé Cloud Control Matrix. Ainsi, dans le cadre d’une migration de données vers le cloud, le traitement de ces risques peuvent être anticipés, en vérifiant notamment avec minutie les contrats de service avec les fournisseurs de solutions cloud. Mais que faire si le cloud est déjà utilisé en entreprise sans le savoir et que son usage n’est pas contrôlé? Et Vincent Villers d’ajouter: «Effectivement, c’est ce que l’on nomme 'Shadow IT'. C’est une problématique à ne surtout pas sous-estimer»…
Qu’il s’agisse des risques liés à l’usage du cloud, des menaces relatives au Shadow IT ou de conformité avec la législation et les réglementations voire de définition d’une stratégie cloud, la bonne question à se poser demeure la suivante: votre intégration en nuage est-elle assez préparée?

Retrouvez la suite de l’article sur le site internet de PwC Luxembourg.