La sécurité doit demeurer une priorité absolue pour les fournisseurs de services cloud

La liste des fournisseurs leaders de services cloud comprend certains des plus grands noms de l’univers IT, dont IBM, Microsoft, Google, Amazon, SAP, Oracle, Salesforce.com ou encore Citrix, pour n’en citer que quelques-uns. Certains fournisseurs de premier plan des réseaux sans fil et de télécommunications dont AT&T, Sprint, Verizon et T-Mobile sont aussi de plus en plus actifs sur ce marché.

Les entreprises se préoccupent de la sécurité des environnements cloud depuis que le concept du cloud est apparu en tant que nouveau modèle de prestation de services informatiques.

Selon certains, ces inquiétudes ont quelque peu diminué à mesure que les responsables informatiques ont acquis de plus en plus d’expérience avec l’utilisation des services cloud tels que les logiciels en tant que services (SaaS), les infrastructures en tant que services (IaaS) et avec le renforcement du niveau de sécurité des informations par les fournisseurs de services.

Ces prestataires vont même jusqu’à affirmer que les données stockées dans le cloud sont au moins autant en sécurité, si ce n’est plus, que si elles se trouvaient dans les datacenters des entreprises elles-mêmes.

La sécurité du cloud demeure cependant une source de préoccupation pour de nombreuses entreprises. Une étude mondiale publiée par l’opérateur de télécommunications BT à l’automne 2014auprès des entreprises qui adoptent le stockage de données et des applications Web dans le cloud a révélé que 79% des entreprises aux États-Unis et 70% de celles interrogées dans le monde, ont un niveau de confiance faible au sujet de la sécurité du cloud.

L’étude indique que plus des trois quarts des décideurs (82% aux États-Unis et 76% dans le monde) ont déclaré que la sécurité était leur principale inquiétude liée à l’utilisation de services cloud. Environ la moitié des personnes interrogées ont déclaré être « très ou extrêmement inquiètes » quant aux implications de ces services en matière de sécurité, ce qui correspond à une hausse de 10% par rapport à l’étude précédente réalisée en 2012.

Selon l’étude de BT, plus de la moitié des décideurs a déclaré que faire confiance à un tiers était préoccupant et 41% des personnes interrogées ont l’impression que tous les services cloud sont, par nature, non sûrs. 26% ont déclaré avoir connu un incident de fuite de données mettant en cause le fournisseur de services cloud.

Les services cloud prenant une place de plus en plus prépondérante dans de nombreuses entreprises, la sécurité globale et la confidentialité des données dans le cloud demeurera sans aucun doute une priorité de premier ordre pour les dirigeants d’entreprise et responsables informatiques.

Les fournisseurs de services cloud privés et publics doivent donc faire particulièrement preuve de rigueur dans la protection de leurs serveurs, de leurs systèmes de stockage et de leurs réseaux, afin d’assurer la protection des données des clients non seulement contre les pirates et autres cybercriminels, mais également contre tout accès non souhaité à leurs données par les autres clients du service cloud.

Le risque de violation de la sécurité est évidemment très important dans l’environnement cloud. La Cloud Security Alliance (CSA), un organisme à but non lucratif qui promeut les meilleures pratiques de sécurité afin de garantir la sécurité au sein des environnements cloud, a dressé une liste des principales menaces affectant le cloud computing en 2013, nommée « The Notorious Nine ».

Bien que ce rapport ait été rédigé il y a quelques temps, ces menaces sont toujours d’actualité pour les utilisateurs actuels du cloud :

• Fuites de données,
• Pertes de données,
• Piratage de services,
• Piratage de comptes,
• Interfaces non sécurisées,
• API non sécurisées,
• Déni de service (DoS et DDoS),
• Manque d’audit,
• Vulnérabilités liées à des technologies partagées.

Pour identifier les principales menaces, la CSA explique avoir réalisé une enquête auprès d’experts du secteur afin de rassembler les avis de professionnels sur les plus grandes vulnérabilités liées au cloud computing. La liste et le rapport qui l’accompagne s’adressent à la fois aux utilisateurs et aux fournisseurs de services cloud.

La CSA a également travaillé à l’élaboration de normes applicables à l’ensemble du secteur pour une  sécurité efficace du cloud. Elle a publié les guides « Security Guidance for Critical Areas in Cloud Computing »et « Security as a Service Implementation Guidance » présentant les meilleures pratiques pour sécuriser le cloud computing.La  CSA indique que de nombreuses entreprises et organismes gouvernementaux ont déjà intégré ces recommandations dans leurs stratégies cloud.

L’organisme propose également le programme Security, Trust and Assurance Registry (STAR),  visant à confirmer le niveau de qualité et de confiance des fournisseurs de cloud.

Le programme STAR propose un registre accessible publiquement, conçu pour évaluer les différents degrés d’expertise et d’assurance qualité offerts par les fournisseurs.

Des efforts sont clairement entrepris pour renforcer la sécurité des services cloud et nous pouvons nous attendre à ce que cela se poursuive compte tenu des failles de sécurité misent en lumière régulièrement et dont certaines sont liées au cloud.

Mais étant donné l’importante croissance du cloud pour de nombreuses entreprises et le besoin constant de mettre à jour la sécurité, les revendeurs à valeur ajoutée et les MSP ont l’opportunité d’aider à la fois les fournisseurs et les utilisateurs du cloud à assurer la protection des données et des systèmes.