La sécurité est au sommet de la liste des préoccupations des cadres supérieurs des TI en ce qui a trait à l’adoption de l’informatique en nuage. Presque toutes les études importantes appuient cet énoncé. Au moment de la publication de ce billet, même notre propre sondage informel figurant sur la page d’accueil de CGI.com révélait que 55 % des 2 400 répondants voyaient les « risques liés à la sécurité » comme l’enjeu majeur que pose le transfert vers le nuage.

Malgré ces inquiétudes, l’adoption du nuage connaît un essor alors que l’industrie évalue rapidement les risques et les avantages, et apprend comment mieux gérer ces risques.

Exemple…

Dans le secteur du gouvernement fédéral aux États-Unis, les organismes devaient accepter de prendre des risques pour tirer profit des services en nuage offerts sur le marché; ces services ne respectaient pas les directives fédérales, mais pouvaient être offerts à prix concurrentiels. La plupart des fournisseurs de services en nuage ne se soumettaient pas à des vérifications des antécédents, n’avaient pas de protocoles d’accès physique ou à distance, ne rassemblaient et ne surveillaient pas les listes de contrôle, ne surveillaient pas les intrusions, n’offraient pas de services de correction, et n’effectuaient pas d’analyses de conformité – soit tous les éléments essentiels au maintien de la politique de sécurité d’un système. Toutefois, avec la mise en place de la certification de la General Services Administration (GSA) des fournisseurs d’infrastructure service (IaaS), les organismes n’ont plus à accepter ces risques.

À titre de récipiendaire d’un accord d’achat général de la GSA pour une infrastructure service, CGI doit se soumettre à une évaluation et une accréditation rigoureuses, effectuer de la surveillance continue, consigner les événements, et fournir régulièrement des rapports aux clients et à l’organisme d’accréditation. En utilisant l’accord d’achat général d’une IaaS, les organismes fédéraux peuvent facilement se conformer au cadre de gestion du Federal Information Security Management Act (FISMA) pour sécuriser les éléments du système dont ils font l’acquisition. De plus, grâce au Federal Risk and Authorization Management Program (FedRAMP), l’initiative créée à l’échelle du gouvernement dans le but d’aider les organismes à tirer profit de l’accréditation des systèmes pour migrer vers le nuage, nombre d’applications de ces organismes peuvent, de fait, être plus sécuritaires dans le nuage que dans de nombreuses infrastructures existantes, surtout celles fondées sur des plateformes patrimoniales et utilisant des contrôles traditionnels.

En bref, nos services de sécurité en nuage doivent suivre, défendre et rapporter l’état de sécurité des ressources informatiques de chaque client. Que vous soyez gestionnaire de TI dans le secteur public ou privé, ou fournisseur de services en nuage préqualifié et certifié pour des organismes fédéraux, ces cadres de gestion requis peuvent aider à obtenir les avantages inhérents de la technologie en nuage en matière de sécurité :

• une gestion automatisée de la sécurité;
• une surveillance et des mécanismes de défense accrus;
• une amélioration de la production de rapports et de l’analyse des menaces;
• une vérification simplifiée de la sécurité.

De plus, la transition des données publiques vers le nuage peut réduire le risque d’exposer des données internes sensibles dans des appareils physiques, comme des ordinateurs portatifs qui sont à risque. La centralisation des données permet souvent à des experts chevronnés d’assurer que toutes les mesures de sécurité sont prises, ce qui ne serait peut-être pas envisageable dans un plus petit environnement.

Pour en savoir davantage, consultez notre document Cloud Security for Federal Agencies*. Je vous invite aussi à publier un commentaire ou à communiquer avec moi pour discuter de la façon de mettre en œuvre les meilleurs processus dans vos environnements d’informatique en nuage.

*en anglais