Forrester : La sécurité des services cloud dans le collimateur

Dans l'une des dernières études du Forrester intitulée "Status, Challenges, And Near-Term Tactics For Cloud Services In Enterprise Outsourcing Deals" (Paul Roehrig, November 18, 2009), les enjeux liés à la sécurité des services cloud sont bien présents.

Avant que les entreprises fassent massivement le "grand saut" vers les services cloud ; des réponses à 7 grandes interrogations devront être apportées par les fournisseurs de services dans le nuage. Le premier d'entre-eux est la sécurité : "Even so, perceptions and genuine technical hurdles put security as one of the biggest challenges to broader enterprise cloud services adoption".

La sécurité des services cloud est en effet pointée comme une question récurrente sur laquelle les positions sont clairement dissonantes. Certains affirment que la sécurité dans le nuage est impossible alors que d'autres défendent becs et ongles le contraire : Le cloud peut être mieux sécurisé que des infrastructures dédiées. Ces messages contradictoires pourraient s'expliquer par le fait que le  niveau les technologies et processus mis en œuvre dans les plateformes de type cloud ne sont pas aussi matures que pour d'autres domaines. D'un autre coté, pour certains services "cloud" on peut dire que leur niveau de sécurité est arrivé à maturité.

J'aurai tendance à rejoindre leur analyse: Il n'y a qu'à regarder les services de mail. De grandes entreprises sous-traitent (en totalité ou en partie) leurs communications électroniques à des prestataires de services. Cela fonctionne plutôt bien d'ailleurs.

Pour faire un parallèle: dans le cloud ou on peut retrouver des termes comme "private cloud", "public cloud" ou encore "community cloud". Mettez en face de chacun "une plateforme de mail dédiée hebergée", "Gmail" ou encore des "services de messagerie electroniques pour le segment des entreprises" (suivez mon regard).
Pour chacun de ces services "cloud" on sait faire dans le sécurisé... bien sûr au niveau de fonctionnalité et au prix attendu par chacun.

Quelle est la recommandation du Forrester ? Plutôt simple : "Intégrez la sécurité dans les choix stratégiques et dans le processus de sélection".

Ce n'est pas une surprise : Les entreprises ne pouvant "outsourcer" leurs risques (à la limite les transférer, mais à un coût) elles doivent donc s'appuyer sur leurs experts sécurité pour évaluer objectivement les déclarations sécuritaires de leurs fournisseurs de services cloud.

"Il faut intégrer la sécurité dès le début du projet" : Rien de bien nouveau ici, que du classique... Est-ce fait systématiquement ? A chacun de s'en assurer.

PS: J'ai délibérément omis de parler de tout ce qui n'était pas en relation avec la sécurité. Ce document du Forrester n'étant pas focalisé uniquement sur la sécurité.
Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens