Le partage des responsabilités : clé de voute pour la sécurité du cloud
Pour les entreprises, la question de la migration des données vers le cloud divise. Certaines estiment que la sécurité offerte par les services cloud constitue une raison valable en faveur d’une migration. D’autres redoutent au contraire le manque de sécurité inhérent à ces environnements. Les deux parties ont en réalité raison. La sécurité constitue en effet l’aspect le plus important de l’offre d’un fournisseur de services cloud : l’impact lié à un incident de sécurité peut être dramatique, autant pour le fournisseur que pour les souscripteurs.
De par le modèle de sécurité partagée, aucune organisation ne peut assumer à elle seule l’entière responsabilité de la sécurité des données. Organisations, utilisateurs, professionnels de la sécurité informatique et fournisseurs de services cloud ont pour mission commune de s’assurer que toutes les parties impliquées emploient le cloud de façon sûre avec des objectifs de sécurité mesurables et quantifiables. À l’ère de l’économie numérique, la mise en œuvre d’un modèle de responsabilité partagée est synonyme de confiance renforcée, de risques réduits, de réputation améliorée et plus généralement de succès opérationnel pour les entreprises.
Une clarification des rôles indispensable
Une sécurité optimale du cloud requiert plusieurs niveaux de protection, les différents acteurs constituant la » pile des responsabilités de façon individuelle, tout en interagissant comme une structure unifiée. Sécurité des infrastructures, contrôle du réseau, sécurité des applications, gestion des identités et des accès, protection des terminaux, classification des données, contrôle des usages : la liste est longue et potentiellement effrayante pour tout service informatique, quelle que soit sa taille.
La protection proposée par les fournisseurs de services cloud ne garantit malheureusement pas la sécurité des données en se substituant aux responsabilités de l’ensemble des acteurs. Microsoft, Amazon, Google et autres grands noms précisent à juste titre que la responsabilité ne leur incombe pas entièrement et que les entreprises doivent se faire à l’idée d’une responsabilité partagée. Microsoft a par exemple publié son modèle pour Azure. Amazon applique une approche similaire pour AWS. Dans un cas comme dans l’autre, il est précisé que la sécurité de l’infrastructure repose sur les actions mises en œuvre par le client afin de garantir la sécurité et la conformité de l’écosystème.
Les fournisseurs de services cloud divisent traditionnellement les responsabilités induites de la manière suivante : ils gardent la responsabilité associée à la sécurité d’une partie identifiée de l’infrastructure et laissent au client le soin de s’occuper du reste. Ce partage peut être source d’incertitudes pour les entreprises clientes. Alors comment déterminer et répartir les aspects relevant de leur responsabilité, quelles certitudes sont données sur les éléments de sécurité incombant au fournisseur de services cloud ? Il est essentiel de clarifier les rôles et les responsabilités de chacun, dans l’entreprise et chez les fournisseurs de services cloud.
Cloud et location de véhicule : la responsabilité partagée de la sécurité comme point commun
Le principe de location d’une voiture illustre parfaitement le partage des responsabilités. Tout d’abord, le constructeur est dans l’obligation d’assurer que le véhicule est en état de rouler à sa sortie de […..]
Source:: Le partage des responsabilités : clé de voute pour la sécurité du cloud
