Decideo - Actualités sur le Big Data, Business Intelligence, Data Science

Abonnez-vous gratuitement à Decideo !


Decideo

 


Cloud : quelles conséquences sur la sécurité avec l'adoption massive due au Covid-19 ?


Rédigé par Mike Campfield, ExtraHop le 27 Juillet 2020

La crise sanitaire mondiale est en train de transformer l’informatique d’entreprise en profondeur et le cloud fait partie des rares technologies qui y participent. En l’espace de quelques mois seulement, les migrations d’entreprises vers le cloud se sont multipliées, renversant les obstacles qui s’y opposaient encore.



Mike Campfield, VP, GM International and Global Security Programs chez ExtraHop.
Mike Campfield, VP, GM International and Global Security Programs chez ExtraHop.
Ces obstacles traduisaient pourtant des préoccupations légitimes liées à la sécurité du cloud, car si celle-ci reste de mise chez les fournisseurs cloud, leurs clients sont eux-mêmes souvent confrontés à des problèmes de sécurité. Et ces incidents proviennent généralement d’instances cloud non sécurisées. D’après une enquête de McAfee réalisée en 2019, les entreprises rapportent en moyenne 37 erreurs de configuration cloud par mois. Or, toujours selon McAfee, 99 % d’entre elles ne sont pas détectées. Les chiffres réels sont donc plus proches des 3 500 erreurs par mois. Que la sécurité représente un enjeu de taille pour l’adoption du cloud paraît compréhensible.

Il semble pourtant que ces hésitations se soient rapidement dissipées en février dernier. Au début de la pandémie de Covid-19, une fois les bureaux désertés et des équipes entières confinées chez elles, le cloud s'est vite rendu indispensable. Les entreprises ont dû répondre aux besoins de milliers d’utilisateurs en télétravail et en l’absence d’accès physique à leurs data centers, la tâche s'est avérée encore plus ardue.

Satya Nadella, PDG de Microsoft, a illustré l’ampleur du changement par ces propos à la presse : « Alors que le Covid-19 bouleverse nos vies privées et professionnelles, deux mois ont suffi pour gagner deux ans sur la voie de la transformation digitale ». L’engouement que le cloud a suscité ces derniers mois ne surprend personne.

Une enquête de Synergy Research Group révèle que les dépenses cloud ont progressé de 37 % au premier trimestre 2020 par rapport à l’année précédente. De fait, les applications et services cloud sont fortement plébiscités : Microsoft Teams a enregistré un record de 44 millions d’utilisateurs quotidiens en avril, tandis que Zoom a accueilli sur sa plateforme 200 millions d’utilisateurs par jour en mars. Les fournisseurs cloud embauchent des effectifs par milliers pour absorber la hausse de la demande.

Avec la pandémie, un processus censé durer plusieurs années a été condensé en une poignée de jours seulement. Mais dans ce domaine aussi, la vitesse peut être fatale. L’urgence de la situation a certes accéléré le rythme des migrations vers le cloud, mais sans le temps de réflexion nécessaire à l’évaluation des risques.

Ces risques sont pourtant indissociables des bénéfices apportés par le cloud. En effet, la réactivité et l’accessibilité constituent les principaux facteurs qui attirent tant d’entreprises vers cette technologie. Elle permet de déployer facilement une multitude d’instances sans supervision ni contrôles de sécurité, et ces instances peuvent ensuite être connectées au web public sans chiffrement ni pare-feu.

Or, pour superviser correctement les déploiements cloud, les entreprises doivent en avoir une visibilité complète. Et beaucoup d’entre elles en sont encore loin. Ce n’est que récemment que les fournisseurs cloud ont mis à disposition des outils capables de mettre en miroir le trafic cloud pour percer son opacité. Malheureusement, nombre de ces outils ne s’intègrent pas aux solutions sur site des entreprises. Tant que des portions de leur environnement restent sans surveillance, les entreprises demeurent exposées à une compromission ou une fuite de données.

Côté conformité, les enjeux sont tout aussi notables. Étant donné les difficultés d’obtenir une visibilité intégrale sur la plupart des déploiements cloud, le risque de fuite de données personnelles est important. Le sujet prend une dimension particulière lorsque les entreprises sont soumises à des contraintes réglementaires comme le Règlement général sur la protection des données (RGPD). Si elles ne sont pas en mesure d'inventorier et de protéger les données personnelles qu’elles détiennent, elles s'exposent à de lourdes amendes et pénalités.

Les entreprises doivent donc impérativement comprendre et formaliser l’usage de leurs environnements cloud et des données qu’ils contiennent, puis appliquer des contrôles pour le réguler. Pour ce faire, elles ont besoin d’une visibilité unifiée englobant leurs environnements sur site, cloud et multicloud. Elles peuvent investir dans des solutions qui fournissent ce type de visibilité et exposent le trafic réseau par mise en miroir. Par exemple, une solution NDR (Network Detection and Response) permet de surveiller l’utilisation du cloud, de détecter les erreurs de configuration et de signaler les données cloud exposées.

La dynamique en faveur du cloud est probablement amenée à s’intensifier. Sundar Pichai, PDG de Google, prédit que les transformations réalisées pendant le confinement se poursuivront à long terme. Dans une allocution à la presse en avril dernier, il présageait même que les entreprises pourraient se détourner encore plus des data centers sur site pour tenter de compenser le ralentissement économique provoqué par la crise.

Les environnements IT d’entreprise se dirigent incontestablement vers le cloud. Ses promesses sont trop alléchantes pour les ignorer. Au final, la différence entre une entreprise garante de sa sécurité et les autres ne portera pas sur son adoption ou non du cloud, mais sur sa manière de l’utiliser.
Auteur : Mike Campfield, Vice-président et Directeur des programmes internationaux de sécurité chez ExtraHop.




Nouveau commentaire :
Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.