Les erreurs à ne pas commettre avec le cloud

Si le cloud revêt de nombreux avantages, mal utilisé, il peut ne pas s’avérer aussi efficace que prévu voire générer d’importants problèmes (sécurité, responsabilités…). Zoom sur les écueils à éviter.

Par Christophe Auberger, responsable technique chez Fortinet.

Les DSI (Directeurs des systèmes d’information) sont convaincus que le cloud computing améliore la flexibilité et la productivité de l’entreprise, et réduit les coûts d’infrastructure. Mais, alors que chaque organisation veut une partie du cloud, toutes n’obtiendront pas les résultats qu’elles désirent. Voici les cinq principales erreurs à éviter :

• Ne pas opter pour le bon modèle de cloud
Les entreprises migrant vers le cloud peuvent choisir parmi :
– Le cloud public : Il appartient à un fournisseur cloud et est accessible à un large public.
– Le cloud privé : Il appartient et est déployé par une organisation pour sa propre utilisation.
– Le cloud communautaire : Il est partagé en coopération par plusieurs organisations.
– Le cloud hybride : Il mixe les modèles de déploiement cloud, permettant aux applications et données de passer facilement d’un cloud à l’autre.
Les facteurs à considérer avant l’adoption sont :
– le niveau de criticité des applications que l’entreprise veut basculer dans le cloud ;
– les questions de réglementation et de conformité ;
– les niveaux de services (SLA, Service level agreement) nécessaires ;
– les modes d’utilisation selon les charges de travail ;
– la manière dont les applications doivent être intégrées aux autres fonctions de l’entreprise.

• Ne pas intégrer la sécurité cloud dans sa politique de sécurité d’entreprise
Au lieu de créer une nouvelle politique de sécurité pour le cloud, renforcez plutôt vos politiques de sécurité existantes en considérant cette plateforme supplémentaire. Pour modifier vos politiques cloud, vous devez tenir compte des facteurs suivants : où sont stockées les données, comment elles sont protégées, qui en a l’accès, mais aussi la conformité avec les réglementations et les niveaux de SLA.

• Compter sur la sécurité de son fournisseur de services cloud
Ne pensez pas que vos données sont automatiquement sécurisées parce que vous utilisez un fournisseur de services. Vous devez faire un examen complet de la technologie et des processus de sécurité du fournisseur, et vérifier la manière dont vos données et leurs infrastructures sont sécurisées. Plus précisément, vous devriez examiner : la transportabilité des données et applications, la sécurité physique des centres de données, celle des accès et des opérations, celle du centre de données virtuel, et la sécurité des données et des applications.

• Supposer que vous n’êtes plus responsable de la sécurisation des données
Ne pensez jamais que l’externalisation de vos applications ou systèmes signifie que vous n’êtes plus responsable en cas de violation de données.

• Ne pas savoir quelles lois locales s’appliquent
Les données qui sont en sécurité dans un pays peuvent ne pas l’être dans un autre. Actuellement, dans le processus d’harmonisation des lois sur les données de ses états membres, l’Union européenne favorise la protection très stricte de la vie privée, tandis que les lois américaines permettent au gouvernement et autres organismes d’avoir un accès quasi illimité aux informations appartenant aux entreprises.
Sachez toujours où sont vos données. Il est conseillé de choisir une juridiction qui vous permet d’y accéder même si votre contrat avec votre fournisseur cloud se termine de manière inattendue.
Enfin, l’adoption du cloud passe par des démarches de réduction des risques, et il est important que les entreprises se chargent de bien planifier et de veiller au respect de ces mesures dès le début, de sorte que les ROI (retours sur investissement) en matière de cloud soient maximisés.