Mike Campfield, VP, GM International and Global Security Programs chez ExtraHop.
Ces obstacles traduisaient pourtant des préoccupations légitimes liées à la sécurité du cloud, car si celle-ci reste de mise chez les fournisseurs cloud, leurs clients sont eux-mêmes souvent confrontés à des problèmes de sécurité. Et ces incidents proviennent généralement d’instances cloud non sécurisées. D’après une enquête de McAfee réalisée en 2019, les entreprises rapportent en moyenne 37 erreurs de configuration cloud par mois. Or, toujours selon McAfee, 99 % d’entre elles ne sont pas détectées. Les chiffres réels sont donc plus proches des 3 500 erreurs par mois. Que la sécurité représente un enjeu de taille pour l’adoption du cloud paraît compréhensible.
Il semble pourtant que ces hésitations se soient rapidement dissipées en février dernier. Au début de la pandémie de Covid-19, une fois les bureaux désertés et des équipes entières confinées chez elles, le cloud s'est vite rendu indispensable. Les entreprises ont dû répondre aux besoins de milliers d’utilisateurs en télétravail et en l’absence d’accès physique à leurs data centers, la tâche s'est avérée encore plus ardue.
Satya Nadella, PDG de Microsoft, a illustré l’ampleur du changement par ces propos à la presse : « Alors que le Covid-19 bouleverse nos vies privées et professionnelles, deux mois ont suffi pour gagner deux ans sur la voie de la transformation digitale ». L’engouement que le cloud a suscité ces derniers mois ne surprend personne.
Une enquête de Synergy Research Group révèle que les dépenses cloud ont progressé de 37 % au premier trimestre 2020 par rapport à l’année précédente. De fait, les applications et services cloud sont fortement plébiscités : Microsoft Teams a enregistré un record de 44 millions d’utilisateurs quotidiens en avril, tandis que Zoom a accueilli sur sa plateforme 200 millions d’utilisateurs par jour en mars. Les fournisseurs cloud embauchent des effectifs par milliers pour absorber la hausse de la demande.
Avec la pandémie, un processus censé durer plusieurs années a été condensé en une poignée de jours seulement. Mais dans ce domaine aussi, la vitesse peut être fatale. L’urgence de la situation a certes accéléré le rythme des migrations vers le cloud, mais sans le temps de réflexion nécessaire à l’évaluation des risques.
Ces risques sont pourtant indissociables des bénéfices apportés par le cloud. En effet, la réactivité et l’accessibilité constituent les principaux facteurs qui attirent tant d’entreprises vers cette technologie. Elle permet de déployer facilement une multitude d’instances sans supervision ni contrôles de sécurité, et ces instances peuvent ensuite être connectées au web public sans chiffrement ni pare-feu.
Or, pour superviser correctement les déploiements cloud, les entreprises doivent en avoir une visibilité complète. Et beaucoup d’entre elles en sont encore loin. Ce n’est que récemment que les fournisseurs cloud ont mis à disposition des outils capables de mettre en miroir le trafic cloud pour percer son opacité. Malheureusement, nombre de ces outils ne s’intègrent pas aux solutions sur site des entreprises. Tant que des portions de leur environnement restent sans surveillance, les entreprises demeurent exposées à une compromission ou une fuite de données.
Côté conformité, les enjeux sont tout aussi notables. Étant donné les difficultés d’obtenir une visibilité intégrale sur la plupart des déploiements cloud, le risque de fuite de données personnelles est important. Le sujet prend une dimension particulière lorsque les entreprises sont soumises à des contraintes réglementaires comme le Règlement général sur la protection des données (RGPD). Si elles ne sont pas en mesure d'inventorier et de protéger les données personnelles qu’elles détiennent, elles s'exposent à de lourdes amendes et pénalités.
Les entreprises doivent donc impérativement comprendre et formaliser l’usage de leurs environnements cloud et des données qu’ils contiennent, puis appliquer des contrôles pour le réguler. Pour ce faire, elles ont besoin d’une visibilité unifiée englobant leurs environnements sur site, cloud et multicloud. Elles peuvent investir dans des solutions qui fournissent ce type de visibilité et exposent le trafic réseau par mise en miroir. Par exemple, une solution NDR (Network Detection and Response) permet de surveiller l’utilisation du cloud, de détecter les erreurs de configuration et de signaler les données cloud exposées.
La dynamique en faveur du cloud est probablement amenée à s’intensifier. Sundar Pichai, PDG de Google, prédit que les transformations réalisées pendant le confinement se poursuivront à long terme. Dans une allocution à la presse en avril dernier, il présageait même que les entreprises pourraient se détourner encore plus des data centers sur site pour tenter de compenser le ralentissement économique provoqué par la crise.
Les environnements IT d’entreprise se dirigent incontestablement vers le cloud. Ses promesses sont trop alléchantes pour les ignorer. Au final, la différence entre une entreprise garante de sa sécurité et les autres ne portera pas sur son adoption ou non du cloud, mais sur sa manière de l’utiliser.
Auteur : Mike Campfield, Vice-président et Directeur des programmes internationaux de sécurité chez ExtraHop.
Il semble pourtant que ces hésitations se soient rapidement dissipées en février dernier. Au début de la pandémie de Covid-19, une fois les bureaux désertés et des équipes entières confinées chez elles, le cloud s'est vite rendu indispensable. Les entreprises ont dû répondre aux besoins de milliers d’utilisateurs en télétravail et en l’absence d’accès physique à leurs data centers, la tâche s'est avérée encore plus ardue.
Satya Nadella, PDG de Microsoft, a illustré l’ampleur du changement par ces propos à la presse : « Alors que le Covid-19 bouleverse nos vies privées et professionnelles, deux mois ont suffi pour gagner deux ans sur la voie de la transformation digitale ». L’engouement que le cloud a suscité ces derniers mois ne surprend personne.
Une enquête de Synergy Research Group révèle que les dépenses cloud ont progressé de 37 % au premier trimestre 2020 par rapport à l’année précédente. De fait, les applications et services cloud sont fortement plébiscités : Microsoft Teams a enregistré un record de 44 millions d’utilisateurs quotidiens en avril, tandis que Zoom a accueilli sur sa plateforme 200 millions d’utilisateurs par jour en mars. Les fournisseurs cloud embauchent des effectifs par milliers pour absorber la hausse de la demande.
Avec la pandémie, un processus censé durer plusieurs années a été condensé en une poignée de jours seulement. Mais dans ce domaine aussi, la vitesse peut être fatale. L’urgence de la situation a certes accéléré le rythme des migrations vers le cloud, mais sans le temps de réflexion nécessaire à l’évaluation des risques.
Ces risques sont pourtant indissociables des bénéfices apportés par le cloud. En effet, la réactivité et l’accessibilité constituent les principaux facteurs qui attirent tant d’entreprises vers cette technologie. Elle permet de déployer facilement une multitude d’instances sans supervision ni contrôles de sécurité, et ces instances peuvent ensuite être connectées au web public sans chiffrement ni pare-feu.
Or, pour superviser correctement les déploiements cloud, les entreprises doivent en avoir une visibilité complète. Et beaucoup d’entre elles en sont encore loin. Ce n’est que récemment que les fournisseurs cloud ont mis à disposition des outils capables de mettre en miroir le trafic cloud pour percer son opacité. Malheureusement, nombre de ces outils ne s’intègrent pas aux solutions sur site des entreprises. Tant que des portions de leur environnement restent sans surveillance, les entreprises demeurent exposées à une compromission ou une fuite de données.
Côté conformité, les enjeux sont tout aussi notables. Étant donné les difficultés d’obtenir une visibilité intégrale sur la plupart des déploiements cloud, le risque de fuite de données personnelles est important. Le sujet prend une dimension particulière lorsque les entreprises sont soumises à des contraintes réglementaires comme le Règlement général sur la protection des données (RGPD). Si elles ne sont pas en mesure d'inventorier et de protéger les données personnelles qu’elles détiennent, elles s'exposent à de lourdes amendes et pénalités.
Les entreprises doivent donc impérativement comprendre et formaliser l’usage de leurs environnements cloud et des données qu’ils contiennent, puis appliquer des contrôles pour le réguler. Pour ce faire, elles ont besoin d’une visibilité unifiée englobant leurs environnements sur site, cloud et multicloud. Elles peuvent investir dans des solutions qui fournissent ce type de visibilité et exposent le trafic réseau par mise en miroir. Par exemple, une solution NDR (Network Detection and Response) permet de surveiller l’utilisation du cloud, de détecter les erreurs de configuration et de signaler les données cloud exposées.
La dynamique en faveur du cloud est probablement amenée à s’intensifier. Sundar Pichai, PDG de Google, prédit que les transformations réalisées pendant le confinement se poursuivront à long terme. Dans une allocution à la presse en avril dernier, il présageait même que les entreprises pourraient se détourner encore plus des data centers sur site pour tenter de compenser le ralentissement économique provoqué par la crise.
Les environnements IT d’entreprise se dirigent incontestablement vers le cloud. Ses promesses sont trop alléchantes pour les ignorer. Au final, la différence entre une entreprise garante de sa sécurité et les autres ne portera pas sur son adoption ou non du cloud, mais sur sa manière de l’utiliser.
Auteur : Mike Campfield, Vice-président et Directeur des programmes internationaux de sécurité chez ExtraHop.
Autres articles
-
Microsoft et Oracle renforcent leur partenariat pour offrir Oracle Database@Azure, une révolution pour le multicloud
-
Box obtient la certification d'hébergeur de données de santé (HDS) en France
-
Podcast: Cloud et lois incompatibles, avec Stéphane Dehoche, co-fondateur de Imagino
-
Couchbase Cloud est désormais disponible sur Microsoft Azure
-
DigDash Enterprise passe en mode full web
