Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Sécurité des données dans le Cloud : 5 questions à poser à son hébergeur ?

Twitter Facebook Linkedin Google + Email
×

Tribune Selon une récente étude menée par Pierre Audoin Consultants, la sécurité reste le premier frein à l’adoption du Cloud en France. Les entreprises font donc preuve d’une certaine défiance envers les prestataires propriétaires de Data Centers. Pour entamer son projet Cloud en toute sérénité, il est important d’établir un dialogue transparent avec son hébergeur sur la sécurisation. Dans cette optique, Joaquim Dos Santos – directeur R&D chez Ikoula – nous donne les 5 questions essentielles à poser à son hébergeur.

Sécurité des données dans le Cloud : 5 questions à poser à son hébergeur ?
Sécurité des données dans le Cloud : 5 questions à poser à son hébergeur ? © D.R.

1/ Pouvez-vous m’accompagner sur le choix de mon hébergement et sa gestion ?

Serveurs dédiés, Cloud public, ou encore Cloud hybride, les différentes formes d’hébergement et de Cloud possèdent toutes des spécificités propres et sont - de fait - adaptées à différents usages. Une erreur de jugement dans le choix de l’infrastructure peut donc s’avérer dommageable pour l’entreprise et sa productivité.

 

Choisir un bon hébergeur, c’est donc - avant tout -  choisir un spécialiste de la technologie mais aussi de l’accompagnement. Il faut que le prestataire puisse cerner les besoins et les impératifs de l’entreprise pour proposer une solution adaptée aux besoins. Il pourra d’ailleurs conseiller à son client de se tourner vers le Cloud public, privé ou hybride – en fonction de différents facteurs. Le caractère très critique de certaines données peut également pousser les clients à garder ces dernières en local et non dans le Cloud, tout comme certaines législations contraignantes - notamment dans le secteur du médical. Les besoins de performances et de hautes disponibilités doivent eux aussi être pris en compte pour fournir l’infrastructure la plus adaptée. 

 

Autre point à prendre en considération : la capacité d’intégration avec l’architecture informatique déjà en place et la facilité du transfert de données. Si ce dernier s’avère trop long - et cause des temps d’arrêts - cela pourra être nuisible pour la productivité de l’entreprise. Enfin, un hébergeur consciencieux proposera également la mise en place – si ce n’est pas déjà fait – d’un PRA (plan de reprise d’activité après sinistre). Ce dernier permet de faire une copie à l’identique de l’infrastructure et des données – ainsi si l’hébergement principal est indisponible ou compromis, c’est le PRA qui prend la relève afin d’éviter une mise hors ligne des services. Un prestataire de confiance accompagnera son client dans le choix et la mise en place de ce PRA qui devra être hébergé dans un autre Data Center de l’hébergeur, chez un hébergeur concurrent ou sur une sauvegarde locale.  

 

2/ Où sont situés les Data Centers et quelles mesures sont prises pour les sécuriser ?

Faire appel au Cloud revient à confier une partie de son informatique à une tierce personne, mais cela ne devrait pas forcément être synonyme de perte de contrôle et de visibilité sur l’ensemble de son architecture.  Ainsi, il est important non seulement de connaître la géolocalisation de ses données mais aussi de savoir comment elles sont gérées par l’hébergeur. Certains hébergeurs possèdent plusieurs centres de données, dans différentes régions du monde. Chaque client devrait pouvoir connaitre la localisation de sa propre infrastructure, dans un souci de traçabilité mais aussi de législation. En effet, les règles régissant les données sont celles du pays accueillant le Data center. C’est pourquoi, dans l’idéal, le client doit pouvoir choisir l’emplacement de ses données. Cela lui permettra non seulement de choisir les lois en vigueur mais aussi – au besoin – de se rapprocher des utilisateurs finaux pour réduire les durées de latence et ainsi améliorer la rapidité d’accès.

 

Une fois la localisation vérifiée, il faut également se renseigner sur les mesures de sécurisation prises.  Dans ce domaine, les règles appliquées aux serveurs et aux domaines diffèrent en fonction des structures choisies. Sur le Cloud public et hybride, les hébergeurs doivent mettre en place une stricte isolation entre les différents clients. Un utilisateur présent sur le même serveur physique ne pourra donc pas accéder à la machine virtuelle d’un autre client – même via un chemin détourné. Pour la partie Cloud privé, c’est l’accès physique aux serveurs qui doit être minutieusement contrôlé.

 

Enfin, un Data Center est également en proie aux risques physiques et matériels : cambriolage, incendie, court-circuit ou encore inondation, un certain nombre de précautions doivent être prises pour sécuriser les locaux. Le client doit donc se renseigner sur les mesures adoptées pour réduire ce risque. L’hébergeur doit, de son côté, pouvoir fournir sur demande différents certifications et audits attestant de son sérieux et de la qualité de sa sécurisation. Les données sont précieuses, il est donc important d’éviter les hébergeurs ne respectant pas les règles les plus strictes. 

 

3/ Que faire en cas d’évolution soudaine de mon besoin ?

La plupart des entreprises optent pour le Cloud en raison de sa souplesse d’utilisation. Afin de tirer parti au mieux de cet avantage, il est pertinent - lors de sa recherche de prestataire - de se renseigner sur la flexibilité des solutions. L’hébergeur peut-il rapidement débloquer des ressources en cas de pic de trafic par exemple ?  Faut-il impérativement passer par son prestataire pour créer une nouvelle machine virtuelle afin d’y installer une application supplémentaire ?

 

Il est important de trouver un prestataire pouvant rapidement répondre à un besoin d’expansion. Pour ce faire, l’hébergeur doit disposer d’offres et de packages souples et adaptables - mais aussi d’équipes disponibles 24h/24 pour pouvoir répondre à tout moment aux besoins de sa clientèle. De la même manière, il est possible qu’une entreprise initie un contrat avec une demande conséquente – mais que cette dernière se réduise dans les mois suivants. Le prestataire doit alors être capable de réévaluer l’offre afin que le client ne soit pas confronté à une facturation excessive – par rapport à l’usage réel de la machine.

 

4/ Si je décide de vous quitter demain, que se passe-t-il pour mes données ?

Pour diverses raisons, un client peut avoir la volonté soudaine de changer de prestataire – mais dans les faits cela peut s’avérer plus compliqué et résulter en un long processus de récupération et transferts des données. Il faut donc s’assurer que le contrat signé inclus une clause de réversibilité. Cette dernière assure à l’entreprise la possibilité de récupérer l’ensemble de ses données rapidement en cas de fin de contrat. Dans le cas contraire, l’entreprise pourrait être confrontée à une « prise d’otage » de ses données – le temps des négociations de fin de contrat. Une telle situation peut ralentir les projets de changement du client, mais aussi entrainer des temps d’arrêt.

 

5/ Comment me garantissez-vous l’intégrité de mes données lorsqu’elles sont en mouvement ?

Les premières questions permettent de s’assurer que les données sont en sécurité et disponibles à tout moment. Mais, quid de leur sécurisation pendant les transferts quotidiens qui auront lieu ? Les données sont plus vulnérables lorsqu’elles sont en mouvement. Il faut donc demander à l’hébergeur comment il sécurise les transferts – mais aussi quelles « best practices » peuvent être mises en place par le client lui-même pour optimiser la sécurité.

 

Le client doit d’abord vérifier qu’un cryptage est bien mis en place sur les divers flux, et que ce dernier soit couplé avec un arsenal firewall. Il faut également s’assurer de la mise en place de liens dédiés entre les points de création de contenus et le Cloud. C’est l’unique manière pour l’hébergeur d’assurer l’intégrité des données, et donc leur non-modification lorsqu’elles sont en transit vers et depuis le Cloud. Le client peut également s’assurer que tout soit monitoré et archivé sous forme de log, un outil tiers de monitoring. Cela permettra de vérifier plusieurs paramètres en cas de suspicion, comme le moment exact de la transmission du flux - si la donnée a été modifiée - et par qui.

 

Autre aspect important de la sécurisation, la gouvernance des données est primordiale et doit être définie entre les deux parties. Le client doit s’assurer que sa politique de gouvernance pourra être correctement mise en place par l’hébergeur ; mais aussi que ce dernier ait lui-même une politique de gouvernance autorisant seulement une poignée de personnes à détenir l’accès et les clés de chiffrement liés à ses clients. Pour assurer une bonne relation client-hébergeur, mais aussi la confidentialité et l’intégrité des données, il est donc important de se poser ces cinq questions afin de choisir un prestataire de confiance.

 

Joaquim Dos Santos, directeur R&D d’Ikoula

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

Montiel
21/10/2016 17h37 - Montiel

Cet article soulève des questions importantes pour les entreprises, je voudrais en aborder deux autres. Lorsque l’on parle de solutions de cloud computing, trop souvent la première chose prise en compte est le coût. Il est important de rappeler qu’une solution cloud va aider les entreprises à réduire leur coût global. Elle ne nécessite pas nécessairement d'investissements supplémentaires dans les infrastructures – on peut aujourd’hui gérer des infrastructures existantes et hétérogènes avec une solution logicielle universelle de gestion des données. Elle réduit également les dépenses en capital. Le cloud hybride, comme indiqué dans l’article, est une bonne combinaison pour garantir à la fois de la flexibilité et de la stabilité. Mais les entreprises doivent cependant se demander si leur solution cloud est suffisamment flexible pour qu’elles puissent se développer et grandir. Ce qui nécessite de réfléchir au préalable à une vraie stratégie cloud, intégrant clouds hybrides, public et privé. De fait, l’autre question qui mérite d’être approfondie est celle de la sécurité. Les entreprises doivent non seulement choisir un hébergeur capable de séparer clairement et de façon fiable les données de ses clients, mais qui aura également des politiques cohérentes concernant la sécurité des données de ses clients dans le cloud – c’est-à-dire une fois que celles-ci quittent ses serveurs. Les entreprises hésitent souvent à mettre leurs données sensibles dans le cloud. Le cloud privé constitue une première réponse. Mais même les données moins sensibles nécessitent un haut niveau de sécurité, quel que soit l’endroit où elles sont hébergées, ne serait-ce que pour préserver leur intégrité : un hébergeur doit fournir un SLA (Service Level Agreement = accord de niveau de service) formel écrit à la fois sur le niveau de service à apporter et qui respecte le niveau de sensibilité des données. (–Marc Montiel, VP SEMEA, NetApp)

Répondre au commentaire | Signaler un abus

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale