|
Accueil / Home | |||
| Chercher / Search |
| Mensuel : | Edition de décembre 2008 |
| Rubrique : | Fiscalité/Conseil |
| Titre : | Faire confiance aux "nuages" n’est pas un concept nouveau |
| Article : | Cet aspect du "Cloud Computing" (informatique dans les nuages) n’est qu’une évolution des pratiques de sécurité utilisées dans les systèmes d’externalisation traditionnels
Malgré tout le battage publicitaire dont il bénéficie, le Cloud Computing n’est pas une révolution. Il s’agit plutôt d’une évolution de l’externalisation, un modèle de gestion déjà ancien. Le concept de Cloud Computing découle des concepts de calcul distribué, d’informatique utilitaire et de SaaS (Software-as-a-Service), ces modèles constituant eux-mêmes des évolutions de l’Application Service Provider apparu au milieu des années 1990. Le modèle émergent de Cloud Computing permet de tirer parti d’un vaste réseau d’ordinateurs répartis à travers le monde, au moyen de n’importe quel type de périphérique connecté, pour analyser une masse d’informations à la demande. Les informations sont stockées dans des centres de données évolutifs à grande échelle fournis par des prestataires externes et dont l’existence a été rendue possible par la maturité et la progression des technologies de virtualisation. Comme dans n’importe quel autre modèle d’externalisation, c’est le propriétaire de l’activité externalisée plutôt que le fournisseur de services qui assume la responsabilité finale en matière de confidentialité, d’intégrité et de disponibilité de ses données. Avant d’adopter l’un ou l’autre modèle d’externalisation, qu’il s’agisse d’un modèle traditionnel ou d’un modèle de type Cloud, l’entreprise doit se référer aux pratiques d’excellence pour s’assurer que le fournisseur de services qui aura accès aux données sensibles de la société et qui contribuera à leur protection est digne de confiance. Il est important également de signaler que le Cloud Computing constitue fondamentalement une extension de l’environnement des organisations et que des mesures de vigilance du même type doivent être appliquées pour l’évaluation périodique visant à déterminer quelles sont les informations suffisamment sûres pour être confiées au Cloud. Cette ère nouvelle en matière d’informatique répond autant à un besoin de sécurité qu’à un besoin de communication. Les entreprises doivent non seulement faire confiance à leur fournisseur de services, mais également, au cours du processus de collecte d’informations, favoriser une communication ouverte afin d’assurer une surveillance et un contrôle appropriés des informations accessibles. L’évaluation des risques de sécurité devrait toujours être menée en vérifiant les références du fournisseur, le lieu à partir duquel le service est assuré et les évaluations externes auxquelles se plie le fournisseur. De plus, les fournisseurs de services devraient proposer des ressources et des mécanismes informationnels autorisant une compréhension en temps réel de l’attitude adoptée en termes de sécurité. Outre une évaluation des risques de sécurité, il est nécessaire de disposer de mesures de sécurité adéquates dans les installations du client pour assurer des transactions sécurisées avec le Cloud. Cela requiert la mise en place de pratiques traditionnelles de défense en profondeur, comme les technologies de protection de réseau et de point terminal de connexion, associées à des services de sécurité gérés pour une surveillance et une réponse en temps réel. Alors que la majorité des entreprises demeure totalement ignorante des systèmes courants de protection et de contrôle internes, le simple fait d’étendre leurs activités au Cloud accroît le besoin d’une meilleure compréhension des modèles de sécurité actuels. Toute implémentation d’un modèle de Cloud Computing doit offrir une sécurité et une gestion au moins équivalentes à ce qui est actuellement en place. En concentrant toute leur attention sur les données concernées, les entreprises peuvent se poser une série de questions qui les aideront à comprendre le processus d’externalisation. Des questions comme: "Ces données sont-elles essentielles pour nos activités?" ou "Ces données représentent-elles des informations privées appartenant à des utilisateurs?" leur permettront de déterminer le niveau de sécurité nécessaire et de décider si les données concernées peuvent être confiées au Cloud. Toutes les données d’entreprise ne sont pas forcément adaptées au modèle de Cloud Computing, comme c’est le cas pour n’importe quel processus d’externalisation. Si l’on tient compte de la sécurité des données, toute information possédant des attributs orientés vers l’extérieur et qui n’est pas jugée essentielle devra être considérée comme suffisamment sûre pour être confiée au Cloud. De même, les informations non essentielles à caractère purement interne pourront également être considérées comme sûres. Quoi qu’il en soit, il est nécessaire d’appliquer en toutes circonstances des niveaux de sécurité adaptés à chaque catégorie d’informations tout en minimisant la probabilité de créer un risque de sécurité ou d’exposer l’entreprise. Rappelons-nous toutefois que les données à la fois concurrentielles et essentielles ne peuvent être protégées de manière efficace qu’à l’abri du propre pare-feu de l’entreprise. Plus important encore, le contrôle optimal du risque pour ce type d’informations ne peut être garanti que si l’entreprise en assure elle-même la gestion. Même si les risques de sécurité constitueront toujours un problème dans le secteur des technologies de l’information, les entreprises qui adoptent de nouvelles technologies tout en maintenant la priorité stratégique sur les initiatives commerciales et TI de base parviendront à tirer leur épingle du jeu dans ce paysage technologique émergent et disposeront des outils adéquats pour mieux exploiter leurs investissements existants en ressources. Afin de faire face aux défis actuels provoqués par l’explosion des données, les entreprises devront très bientôt passer à la nouvelle génération de systèmes de calcul: le Cloud Computing. Harold Moss, IBM Security Architect |
Retour début de page