Les TI traditionnelles sur site ont évolué en un modèle hybride : un écosystème qui comprend désormais des nuages à la fois publics et privés. La dimension infonuagique présente de nouveaux risques de sécurité. Il est donc plus important que jamais d’adopter une politique de sécurité cohérente et complète.
Ce texte constitue la première de deux parties d’un billet de blogue sur les risques de sécurité liés à l’informatique en nuage. La compréhension approfondie de ces risques et la mise en place de mesures d’atténuation sont essentielles pour tirer pleinement parti du nuage. La première partie du billet explore les quatre différents types de risques de sécurité. La seconde présentera les solutions et l’expertise requises pour assurer la sécurité du nuage.
Les risques de sécurité liés au nuage peuvent être classés selon les quatre catégories ci-dessous.
1. Services infonuagiques (infrastructure, applications, code hébergé)
Cette catégorie englobe les services infonuagiques mêmes, ainsi que toute application ou tout intergiciel en place. Les préoccupations de sécurité concernant les vulnérabilités, les virus et les menaces externes des logiciels et intergiciels entrent dans cette catégorie. Les préoccupations sont d’autant plus grandes du fait que les services en nuage public sont généralement offerts au sein d’un environnement à clients multiples, où les services en nuage proposés aux différents clients sont isolés sur le plan logique, mais proviennent de serveurs et de centres de traitement de données communs.
2. Données
Les préoccupations propres aux données touchent particulièrement les environnements de nuages publics et privés. Celles-ci concernent notamment l’intégrité, le verrouillage, la rémanence, la provenance et la confidentialité des données, ainsi que la vie privée des utilisateurs.
La souveraineté des données (le concept voulant que les données soient sujettes aux lois des pays où elles sont hébergées) suscite également quelques inquiétudes. En fonction des pays au sein desquels une organisation exerce ses activités, il se peut que celle-ci doive confiner certains types de données au sein de limites géographiques définies. Cette situation risque d’imposer des restrictions d’ordre géographique sur les services en nuage pouvant être utilisés.
De plus, les répercussions du USA PATRIOT Act doivent être prises en compte, car cette loi touche les entreprises localisées aux États-Unis aussi bien que leurs filiales d’exploitation en propriété exclusive, qu’elles soient situées au sein de l’Union européenne ou non.
3. Accès
Cette catégorie comprend les préoccupations liées à l’accès au nuage (authentification, autorisations et contrôle des accès), ainsi qu’à la communication de données cryptées et à la gestion de l’identité des utilisateurs. Il est de plus en plus difficile d’assurer la sécurité et l’efficacité des processus liés à l’arrivée et au départ d’employés à mesure que les organisations adoptent des services infonuagiques provenant de plusieurs fournisseurs.
4. Conformité
Étant donné l’importance de l’informatique en nuage ainsi que son effet perturbateur, ce concept attire l’attention des organismes de réglementation, particulièrement en ce qui a trait aux audits de sécurité, à l’emplacement des données, ainsi qu’à la traçabilité et à la conformité des activités opérationnelles. Déterminer si un fournisseur de services infonuagiques se conforme aux réglementations en vigueur est un défi puisque ces réglementations peuvent avoir été émises à l’extérieur de l’autorité juridique à laquelle est soumis le fournisseur.
Reconnaître et comprendre ces risques constitue le premier pas vers la prévention. Un expert en sécurité infonuagique est une ressource essentielle pour fournir une vue complète de ces risques à l’organisation et élaborer une feuille de route visant à les atténuer. Les services de sécurité infonuagique en gestion déléguée et les services-conseils de CGI aident les clients de nombreux secteurs d’activité à améliorer la posture de sécurité de leurs environnements de TI hybrides et de l’informatique en nuage, et ce, de façon plus efficace et à moindre coût que s’ils le faisaient eux-mêmes.
Dans mon prochain billet de blogue, je discuterai des solutions et de l’expertise requises pour assurer la sécurité du nuage. Entre-temps, n’hésitez pas à communiquer avec moi pour toute question sur ce sujet important.
