Tribune libre : la gestion de la sécurité dans le cloud computing
Comment les organisations publiques et privées parviennent-elles à mettre en place des environnements de calcul en cloud hautement sécurisés et extensibles ? Réponse de Stephen Schmidt, responsable de la sécurité des informations, Amazon Web Services.
Pour de nombreuses entreprises, la perspective de migrer tout ou partie de leur infrastructure informatique vers le cloud est de plus en plus attrayante : en ligne de mire, quelques bénéfices majeurs, notamment sur le plan de la réduction des coûts, de l’évolutivité et du temps gagné qui permet de se consacrer davantage aux services et aux applications qui comptent vraiment pour les clients.
Cependant, certains profanes s’interrogent encore sur la sécurité liée au cloud, limitant ainsi leur adoption complète de cette technologie et de tous ses avantages.
Dans l’imaginaire de nombreux responsables, si une entreprise détient son propre centre de données, en gère les équipements et rémunère les équipes chargées d’exploiter les machines, elle a alors la maîtrise totale de ses données, qui sont à l’abri de toute fuite.
Pourtant, il a été démontré qu’une infrastructure en cloud assure une plus grande sécurité et une meilleure gouvernance que les approches mises en œuvre dans de nombreux centres informatiques détenus et exploités par des administrations ou des entreprises, publiques ou privées.
Pourquoi ? Parce que tout y est mieux maîtrisé. Dans le cloud, le DSI peut savoir exactement quelles applications ont été exécutées, quand, pendant combien de temps, et à partir de quelle machine. Dans tout environnement, il existe toujours un risque de découvrir trop tard qu’un développeur a laissé tourner un traitement non autorisé, ou potentiellement dangereux, sur un serveur clandestin. Dans un environnement informatique traditionnel, il est très difficile d’identifier ces serveurs orphelins.
Dans le cloud, il suffit à la direction informatique d’appeler une API pour afficher tous les systèmes, toutes les machines virtuelles et toutes les instances d’exécution.
Le cloud offre donc une plus grande maîtrise. Mais la sécurité dans son ensemble reste une responsabilité partagée entre le client et le prestataire. Certains prestataires de services en cloud sont très sûrs.
Mais si un client lance une application non sécurisée ou vulnérable sur le cloud, il prend des risques importants. A contrario, l’application la plus sécurisée au monde sera fragilisée si elle s’exécute sur une infrastructure vulnérable.
(lire la suite de la tribune libre en page 2)