« Le cloud change fondamentalement la façon dont nous gérons l'IT, et c’est un changement avec de nombreux aspects positifs. La sécurité doit suivre la même tendance », explique David Etue, Vice-Président du Business Development chez Gemalto.

« Ce qu’il est important de comprendre, c’est que nous devons prendre du recul et réfléchir à notre stratégie de sécurité à long terme, sur comment nous appliquons des contrôles de sécurité pour protéger nos données au sein de ces nouveaux environnements, alors que l’infrastructure évolue. Un des plus grands défis du cloud pour les personnes en charge de la sécurité est qu’il est avant tout basé sur l’idée de partage. Et, avouons-le, pour nous autres qui travaillons dans l’univers de la sécurité, la notion de partage n’est pas notre point fort. »

Il y a quelques mois, j’ai eu la chance de parler avec une douzaine d’intervenants dans le studio TV de la RSA Conference (vous pouvez les regarder ici), durant l’une d’elles j’ai discuté avec David Etue sur la gouvernance des données dans le cloud.

De toute évidence, le cloud est un peu la boîte de Pandore de la sécurité, mais cela ne signifie pas que les responsables de la sécurité doivent renoncer à l’idée de contrôler les données lorsqu’elles se déplacent dans l’infrastructure cloud.

« Comme la propriété de l'infrastructure et la personne qui la contrôle changent, le contrôle des données devient plus difficile », détaille David Etue. « Mais si nous nous se concentrons sur les éléments les plus importants, nous pouvons prendre des décisions qui profiteront vraiment à nos données. »

Voici les trois principales priorités pour les RSSI et les responsables de la sécurité selon David Etue.

1. Connaître les données et leurs emplacements

Selon David Etue, « nous avons trop longtemps essayé de tout protéger de la même façon, et nous avons fini par tout protéger assez mal».

Il pense que l'une des principales manières pour la sécurité de suivre le rythme de l’évolution du cloud en entreprise est d’acquérir une véritable compréhension de l’importance des données réellement critiques pour l'entreprise, afin de prioriser le contrôle et la gouvernance de celles-ci.

« Nous avons clairement peu de ressources, c’est pourquoi essayer de tout protéger partout est impossible », explique t-il. « On devrait dire : ‘voici les 2, 5, 10 ou 20 groupes de données vraiment importants. Que pouvons-nous faire pour nous focaliser sur celles-ci ?’ Et mettre en place les contrôles adéquats ».

2. Certains des principes fondamentaux les moins sexy comptent le plus

Ce n’est peut être pas très sexy, mais les actifs, la configuration et la gestion du changement sont très important dans le monde du cloud.

« Si vous ne savez pas comment sont configurées et comment évoluent vos données, c’est difficile de mettre en place des contrôles de sécurité fiables », dit-il.

Il reconnaît que l’un des grands défis pour les RSSI est que la configuration et la gestion du changement sont souvent détenues par les services Ops ou le Directeur Technique (CTO). Cela rend crucial l'établissement de relations entre les différents départements IT.

3. Dépasser notre peur du SaaS

Beaucoup de professionnels de la sécurité émettent des craintes vis-à-vis du Software-as-a-Service, et cela est légitime par certains aspects. Cependant de nombreux fournisseurs de SaaS sont probablement plus au fait de la sécurité que la propre équipe d'un RSSI, dans ce domaine d'application spécifique.

« Je pense que beaucoup de fournisseurs de Software-as-a-Service ont la capacité d’offrir une meilleure protection que nous dans nos propres datacenters », poursuit David Etue. « L'équipe de sécurité ne peut pas être experte de la couche application de chaque système de notre datacenter. Prenez Salesforce, Workday ou Office 365 : les éditeurs de ces logiciels embauchent du personnel spécialisé pour développer la sécurité de la couche application, ce que nous ne pourrions jamais justifier en interne. »

Évidemment, tous les fournisseurs de SaaS ne fournissent pas la même qualité de service ; le fait est que les RSSI devraient néanmoins aborder l'évaluation du SaaS avec un esprit plus ouvert, s'efforcer d’être plus actifs en aidant les autres acteurs du secteur et les autres groupes IT à choisir des prestataires avec discernement.

En fin de compte, le message que David Etue veut faire passer à ses collègues travaillant dans l’univers de la cybersécurité, c’est que le cloud aide l’IT à rattraper son retard  et enfin rembourser certaines dettes techniques. Même si l’IT ne contrôle pas l'infrastructure, cela ne signifie pas qu’il n’est pas possible de contrôler les données.