Sécurité des données dans le Cloud : 5 questions à poser à son hébergeur ?

Selon une récente étude menée par Pierre Audoin Consultants, la sécurité reste le premier frein à l’adoption du Cloud en France. Les entreprises font donc preuve d’une certaine défiance envers les prestataires propriétaires de Data Centers. Pour entamer son projet Cloud en toute sérénité, il est important d’établir un dialogue transparent avec son hébergeur sur la sécurisation. Dans cette optique, Joaquim Dos Santos – directeur R&D chez Ikoula – nous donne les 5 questions essentielles à poser à son hébergeur.

Partager
Sécurité des données dans le Cloud : 5 questions à poser à son hébergeur ?

1/ Pouvez-vous m’accompagner sur le choix de mon hébergement et sa gestion ?

Serveurs dédiés, Cloud public, ou encore Cloud hybride, les différentes formes d’hébergement et de Cloud possèdent toutes des spécificités propres et sont - de fait - adaptées à différents usages. Une erreur de jugement dans le choix de l’infrastructure peut donc s’avérer dommageable pour l’entreprise et sa productivité.

Choisir un bon hébergeur, c’est donc - avant tout - choisir un spécialiste de la technologie mais aussi de l’accompagnement. Il faut que le prestataire puisse cerner les besoins et les impératifs de l’entreprise pour proposer une solution adaptée aux besoins. Il pourra d’ailleurs conseiller à son client de se tourner vers le Cloud public, privé ou hybride – en fonction de différents facteurs. Le caractère très critique de certaines données peut également pousser les clients à garder ces dernières en local et non dans le Cloud, tout comme certaines législations contraignantes - notamment dans le secteur du médical. Les besoins de performances et de hautes disponibilités doivent eux aussi être pris en compte pour fournir l’infrastructure la plus adaptée.

Autre point à prendre en considération : la capacité d’intégration avec l’architecture informatique déjà en place et la facilité du transfert de données. Si ce dernier s’avère trop long - et cause des temps d’arrêts - cela pourra être nuisible pour la productivité de l’entreprise. Enfin, un hébergeur consciencieux proposera également la mise en place – si ce n’est pas déjà fait – d’un PRA (plan de reprise d’activité après sinistre). Ce dernier permet de faire une copie à l’identique de l’infrastructure et des données – ainsi si l’hébergement principal est indisponible ou compromis, c’est le PRA qui prend la relève afin d’éviter une mise hors ligne des services. Un prestataire de confiance accompagnera son client dans le choix et la mise en place de ce PRA qui devra être hébergé dans un autre Data Center de l’hébergeur, chez un hébergeur concurrent ou sur une sauvegarde locale.

2/ Où sont situés les Data Centers et quelles mesures sont prises pour les sécuriser ?

Faire appel au Cloud revient à confier une partie de son informatique à une tierce personne, mais cela ne devrait pas forcément être synonyme de perte de contrôle et de visibilité sur l’ensemble de son architecture. Ainsi, il est important non seulement de connaître la géolocalisation de ses données mais aussi de savoir comment elles sont gérées par l’hébergeur. Certains hébergeurs possèdent plusieurs centres de données, dans différentes régions du monde. Chaque client devrait pouvoir connaitre la localisation de sa propre infrastructure, dans un souci de traçabilité mais aussi de législation. En effet, les règles régissant les données sont celles du pays accueillant le Data center. C’est pourquoi, dans l’idéal, le client doit pouvoir choisir l’emplacement de ses données. Cela lui permettra non seulement de choisir les lois en vigueur mais aussi – au besoin – de se rapprocher des utilisateurs finaux pour réduire les durées de latence et ainsi améliorer la rapidité d’accès.

Une fois la localisation vérifiée, il faut également se renseigner sur les mesures de sécurisation prises. Dans ce domaine, les règles appliquées aux serveurs et aux domaines diffèrent en fonction des structures choisies. Sur le Cloud public et hybride, les hébergeurs doivent mettre en place une stricte isolation entre les différents clients. Un utilisateur présent sur le même serveur physique ne pourra donc pas accéder à la machine virtuelle d’un autre client – même via un chemin détourné. Pour la partie Cloud privé, c’est l’accès physique aux serveurs qui doit être minutieusement contrôlé.

Enfin, un Data Center est également en proie aux risques physiques et matériels : cambriolage, incendie, court-circuit ou encore inondation, un certain nombre de précautions doivent être prises pour sécuriser les locaux. Le client doit donc se renseigner sur les mesures adoptées pour réduire ce risque. L’hébergeur doit, de son côté, pouvoir fournir sur demande différents certifications et audits attestant de son sérieux et de la qualité de sa sécurisation. Les données sont précieuses, il est donc important d’éviter les hébergeurs ne respectant pas les règles les plus strictes.

3/ Que faire en cas d’évolution soudaine de mon besoin ?

La plupart des entreprises optent pour le Cloud en raison de sa souplesse d’utilisation. Afin de tirer parti au mieux de cet avantage, il est pertinent - lors de sa recherche de prestataire - de se renseigner sur la flexibilité des solutions. L’hébergeur peut-il rapidement débloquer des ressources en cas de pic de trafic par exemple ? Faut-il impérativement passer par son prestataire pour créer une nouvelle machine virtuelle afin d’y installer une application supplémentaire ?

Il est important de trouver un prestataire pouvant rapidement répondre à un besoin d’expansion. Pour ce faire, l’hébergeur doit disposer d’offres et de packages souples et adaptables - mais aussi d’équipes disponibles 24h/24 pour pouvoir répondre à tout moment aux besoins de sa clientèle. De la même manière, il est possible qu’une entreprise initie un contrat avec une demande conséquente – mais que cette dernière se réduise dans les mois suivants. Le prestataire doit alors être capable de réévaluer l’offre afin que le client ne soit pas confronté à une facturation excessive – par rapport à l’usage réel de la machine.

4/ Si je décide de vous quitter demain, que se passe-t-il pour mes données ?

Pour diverses raisons, un client peut avoir la volonté soudaine de changer de prestataire – mais dans les faits cela peut s’avérer plus compliqué et résulter en un long processus de récupération et transferts des données. Il faut donc s’assurer que le contrat signé inclus une clause de réversibilité. Cette dernière assure à l’entreprise la possibilité de récupérer l’ensemble de ses données rapidement en cas de fin de contrat. Dans le cas contraire, l’entreprise pourrait être confrontée à une « prise d’otage » de ses données – le temps des négociations de fin de contrat. Une telle situation peut ralentir les projets de changement du client, mais aussi entrainer des temps d’arrêt.

5/ Comment me garantissez-vous l’intégrité de mes données lorsqu’elles sont en mouvement ?

Les premières questions permettent de s’assurer que les données sont en sécurité et disponibles à tout moment. Mais, quid de leur sécurisation pendant les transferts quotidiens qui auront lieu ? Les données sont plus vulnérables lorsqu’elles sont en mouvement. Il faut donc demander à l’hébergeur comment il sécurise les transferts – mais aussi quelles « best practices » peuvent être mises en place par le client lui-même pour optimiser la sécurité.

Le client doit d’abord vérifier qu’un cryptage est bien mis en place sur les divers flux, et que ce dernier soit couplé avec un arsenal firewall. Il faut également s’assurer de la mise en place de liens dédiés entre les points de création de contenus et le Cloud. C’est l’unique manière pour l’hébergeur d’assurer l’intégrité des données, et donc leur non-modification lorsqu’elles sont en transit vers et depuis le Cloud. Le client peut également s’assurer que tout soit monitoré et archivé sous forme de log, un outil tiers de monitoring. Cela permettra de vérifier plusieurs paramètres en cas de suspicion, comme le moment exact de la transmission du flux - si la donnée a été modifiée - et par qui.

Autre aspect important de la sécurisation, la gouvernance des données est primordiale et doit être définie entre les deux parties. Le client doit s’assurer que sa politique de gouvernance pourra être correctement mise en place par l’hébergeur ; mais aussi que ce dernier ait lui-même une politique de gouvernance autorisant seulement une poignée de personnes à détenir l’accès et les clés de chiffrement liés à ses clients. Pour assurer une bonne relation client-hébergeur, mais aussi la confidentialité et l’intégrité des données, il est donc important de se poser ces cinq questions afin de choisir un prestataire de confiance.

Joaquim Dos Santos, directeur R&D d’Ikoula

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS