Plus des trois quarts des entreprises allemandes stockent leurs données d'entreprise dans un cloud1. Et même si de plus en plus d'entreprises se tournent vers les services cloud, les préoccupations en matière de sécurité - notamment lorsqu'il s'agit de sécuriser les données critiques - figurent parmi les principaux obstacles lorsqu'on envisage de passer au cloud. Après tout, les entreprises confient leurs données sensibles à un fournisseur externe, ce qui leur donne l'impression de perdre le contrôle de ces données. Le ⯈règlement général européen sur la protection des données (RGPD) ainsi que les exigences de conformité jouent un rôle essentiel. Les entreprises qui veulent passer au cloud doivent confier leurs données aux fournisseurs de cloud et, par conséquent, s'assurer à l'avance que ces derniers respectent toutes les exigences techniques, légales et contractuelles. Les fournisseurs de cloud doivent absolument se conformer au RGPD pour avoir la moindre chance avec les entreprises.
(1 Source: Bitkom Research GmbH – Cloud-Monitor 2019.)
Qu'est-ce que le stockage dans le cloud ?
Le stockage dans le cloud est un service qui permet de conserver des données en les transférant via Internet ou un autre réseau vers un système distant géré par un tiers. Il existe de nombreux systèmes de stockage cloud différents :
Modes de déploiement
Dans la pratique, on peut distinguer trois variantes d'application de base pour le cloud computing. Les différences ne se situent pas tant au niveau technique qu'au niveau organisationnel.
- Cloud public
Dans ce scénario, un fournisseur accessible au public exploite le cloud et plusieurs clients se par-tagent l'infrastructure sans même avoir connaissance les uns des autres. - Cloud privé
Un cloud privé est accessible exclusivement pour une entreprise et est exploité soit par l'entre-prise elle-même, soit par le fournisseur de services informatiques. - Cloud hybride
Un cloud hybride combine les caractéristiques du cloud public et du cloud privé. Cela signifie que certains services sont exploités par des fournisseurs publics tandis que d'autres restent dans l'en-treprise.
Vous souhaitez en savoir plus sur les bonnes mesures organisationnelles, opérationnelles, techniques et infrastructurelles à prendre lorsque vous optez pour un fournisseur de services cloud ? Suivez ce lien pour lire l'article de blog "Onze critères à prendre en compte lors du choix d'un fournisseur de services cloud".
Sécurité et conformité du cloud
Selon le Cloud-Monitor 20192 de Bitkom , 90 % des entreprises qui utilisent, prévoient ou discutent d'un cloud considèrent que la conformité au RGPD actuel est indispensable. Pour 79 %, des architec-tures et des contrôles de sécurité transparents sont obligatoires. Comment les utilisateurs peuvent-ils alors être sûrs que les services de cloud computing traitent correctement les données qui leur ont été fournies en termes de sécurité informatique ? C'est un fait : La sécurité dans le cloud minimise les risques dans le cloud.
(2 Source: Bitkom Research GmbH – Cloud-Monitor 2019.)
Sécurité du cloud
La sécurité du cloud comprend un large éventail de mesures individuelles visant à protéger les ser-vices et les environnements du cloud. La sécurité dans cloud réduit les risques de défaillance, de perte de données et d'accès non autorisé. Il s'agit d'un composant de plus en plus important, voire le plus important du cloud computing. Pour garantir la ⯈conformité, la protection de l'infrastructure, le traitement et le stockage des données, des règles, des processus et des mesures techniques doivent être définis.
Critères de sécurité
Les cinq aspects les plus importants de la sécurité du cloud sont les suivants :
- Sécurité du serveur et du réseau
Il faut s'assurer qu'il existe une barrière impénétrable entre le monde extérieur et les données à l'intérieur ainsi qu'entre les différents clients du cloud. - Gestion des identités et des accès
L’accès aux données doit être protégé et les autorisations d'accès doivent être clairement défi-nies. - Sécurité des informations
Les données sensibles doivent toujours être correctes, confidentielles et accessibles à tout mo-ment. Les directives relatives à la protection des données doivent être conformes aux disposi-tions légales. - Sécurité des applications et des plateformes
Les applications doivent être sûres et faire l'objet de contrôles réguliers pour détecter d'éven-tuelles failles. - Sécurité physique
Il faut s'assurer que le matériel est exploité dans un environnement sécurisé et que des droits d'accès appropriés ont été définis.
Ces directives sont indispensables pour un cloud sécurisé. Mais surtout pour les industries soumises à un large éventail d'exigences légales, comme le secteur de la santé ou les institutions financières et les compagnies d'assurance, la conformité est un sujet majeur.
Sécurité et conformité par le biais de normes et de certificats
Ce n'est que si le fournisseur de services cloud respecte certaines normes que les clients peuvent être sûrs que leurs données sont traitées et archivées de manière correcte et conformément aux régle-mentations. Fondamentalement, les normes peuvent être divisées en trois catégories :
-
Normes internationales interprofessionnelles
Ces normes sont issues des demandes des clients dans une approche cohérente de l'exploitation, de la sécurité, de la protection des données, de la gestion des risques et du contrôle (normes telles que : SOC 1, SOC 2, SOC 3, ISO/ IEC 19086, ISO/IEC 27001, ISO/IEC 27018, CDSA, CSA CCM). -
Normes couvrant les domaines verticaux et locaux
L'industrie de la santé, le secteur manufacturier, le système éducatif, les prestataires de services financiers et les autorités publiques ont introduit leurs propres normes. Dans de nombreux cas, une entreprise ne pourra pas proposer à ses clients des services en ligne tant qu'elle ne respectera pas les réglementations prévues pour ce secteur (normes locales telles que FISC, PDPA, MLPS / normes verticales telles que PCI-DSS (secteur financier), FedRAMP (gouvernement fédéral améri-cain), HIPAA (secteur de la santé). -
Normes fondées sur des exigences nationales ou des lois sur la protection des don-nées
Règlements et directives fondés sur des exigences nationales ou des lois sur la protection des données (normes telles que le RGPD de l'UE, Privacy Shield).
Outre les normes mentionnées, les certifications constituent une autre méthode normalisée pour évaluer la conformité des fournisseurs de services cloud à ces normes. Même si les données ont été stockées par le fournisseur de services cloud, ce sont les clients de ces services qui sont légalement tenus de s'assurer que les responsables du traitement des données, auxquels ils confient les données des clients, disposent de mesures techniques et organisationnelles définies pour la protection des données personnelles. Différents labels de sécurité délivrés par des institutions indépendantes per-mettent aux utilisateurs de vérifier si les fournisseurs de services cloud répondent aux normes de sécurité définies ou respectent les dispositions légales.
Bien que les fournisseurs de services cloud ne soient pas obligés d'obtenir de telles certifications, beaucoup d'entre eux fournissent une série de certificats et de labels de sécurité sur une base volon-taire (par exemple, du réseau de compétence "Trusted Cloud" ou du TÜV allemand). Les fournisseurs de cloud computing doivent être en mesure de fournir la preuve que la recertification a lieu à inter-valles réguliers. Vous devriez également demander si seuls les composants individuels du service cloud sont certifiés ou - comme ce serait l'idéal - l'offre entière.
Catalogue de critères Cloud Computing C5
Le catalogue de critères C5 (Cloud Computing Compliance Criteria Catalogue) stipule les exigences minimales pour un cloud computing sûr et s'adresse avant tout aux fournisseurs professionnels de cloud, à leurs auditeurs et à leurs clients. Avec le ⯈C5, le BSI allemand (Office fédéral de la sécurité de l'information) a développé sa propre norme pour la sécurité du cloud qui permet aux auditeurs d'évaluer la conformité des fournisseurs de cloud avec ces stipulations. Après un audit réussi, l'auditeur délivre un certificat au fournisseur de services cloud et crée un rapport d'audit détaillé. Les clients peuvent alors généralement demander un aperçu de ce rapport. Ce système est principalement destiné aux utilisateurs professionnels, car l'évaluation de tels rapports nécessite des connaissances spécialisées.
Localisation du fournisseur de cloud
Un autre critère qui présente un grand intérêt pour de nombreuses entreprises est le lieu où se trouve le fournisseur de services cloud. Les informations relatives à l'emplacement du fournisseur de services cloud et de ses serveurs indiquent quelles lois sur la protection des données régiront le stockage et le traitement des données des utilisateurs. L'emplacement du fournisseur de services cloud ou de ses centres de données n'est pas toujours évident à première vue. Lorsque le fournisseur de services cloud a son siège social et ses serveurs de stockage de données dans l'Espace économique européen, cela crée une confiance même au-delà des frontières européennes. L'utilisation du cloud computing devient particulièrement compliquée lorsque les données personnelles de tiers sont stockées par un fournisseur. Dans cette situation, le non-respect de la loi fédérale sur la protection des données est trop facile.
Avantages des services en cloud pour les entreprises
Les données peuvent être récupérées avec n'importe quel appareil et de n'importe où. Cela garantit un accès facile et flexible aux données, que ce soit lors de voyages d'affaires ou de travail à domicile. Et lorsqu'elles stockent des données dans un cloud public, les entreprises ne doivent pas apporter leur propre infrastructure. Mais les avantages des services cloud pour les entreprises sont plus pro-noncés :
Grande évolutivité et utilisation orientée vers la demande
L'extensibilité flexible des ressources virtuelles est l'un des avantages les plus évidents. L'espace de stockage, la mémoire de travail, les performances du processeur ou les licences logicielles peuvent être ajoutés ou réduits selon les besoins. Les ressources sont toujours disponibles et dans la mesure où le client le souhaite.
Déploiement rapide
Dans son propre centre de données, le provisionnement des ressources peut facilement prendre quelques heures de travail. Les services cloud sont disponibles en quelques minutes.
Coûts liés au paiement à l'utilisation
Les modèles de paiement à l'utilisation garantissent aux clients qu'ils ne paient que ce dont ils ont réellement besoin. Aucune ressource n'est gaspillée et les coûts fixes deviennent des coûts variables.
Réduction des efforts d'administration
Les entreprises qui confient à un prestataire de services la mise en œuvre et l'exploitation de leur cloud réduisent considérablement leurs efforts administratifs. Et cela réduit les coûts.
Technologies en plein essor sur les marchés en croissance
Les marchés sont en mutation permanente et les cycles de produits dans le secteur des logiciels sont de plus en plus courts. Seules quelques entreprises peuvent suivre le rythme. Lorsque les services du cloud sont utilisés, l'obligation d'innover incombe au fournisseur de services informatiques. Les mises à jour des logiciels existants, l'acquisition de nouveaux matériels, le développement des ressources existantes en termes de qualité et de quantité sont tous désormais de la responsabilité du fournis-seur de services cloud.
Et le dernier, mais non le moindre :
Les clouds peuvent accroître la sécurité et la protection des données
Le respect des réglementations légales est une activité quotidienne pour les fournisseurs de services cloud établis. Comme ils ont une longue expérience de la gestion des données d'un grand nombre de clients issus de pratiquement tous les secteurs et de tous les pays, vous pouvez être sûr que leur ex-pertise en matière de normes juridiques et d'exigences réglementaires dépasse celle de toute entre-prise individuelle. L'avantage est que les clients peuvent transférer de nombreuses obligations légales et de protection des données au fournisseur de services cloud ou du moins les partager avec lui. Mais l'amélioration de la sécurité et de la protection des données ne sera couronnée de succès que si vous travaillez avec un prestataire de services informatiques respectivement qualifié. Un contrat de service correspondant apportera la sécurité juridique requise. Pour ne pas perdre de vue la sécurité informa-tique de vos données, il vaut la peine de considérer certains facteurs à l'avance. Un premier indica-teur d'un certain niveau de sécurité est le respect des mesures techniques et organisationnelles défi-nies ainsi que des certifications telles que ISO 27001 ou BSI baseline security.
Même si de nombreuses entreprises continuent de regarder d'un œil méfiant le cloud computing en rapport avec la sécurité des données, 54 % des entrepreneurs affirment que le cloud computing pu-blic a renforcé la sécurité des données dans les opérations. 3
(3 Source: Bitkom Research GmbH – Cloud-Monitor 2019.)
Les infrastructures cloud les plus utilisées
Selon une étude sur la sécurité du cloud en 2019 réalisée par IDG4, 52 % des infrastructures sont exploitées sur Microsoft Azure, 37 % sur les plateformes Google Cloud et 32 % sur AWS (Amazon Web Services). Microsoft Azure arrive également en tête du classement en termes de satisfaction des utilisateurs vis-à-vis de l'infrastructure.
Nous utilisons également l'infrastructure cloud de Microsoft Azure. Pour plus de 100 de ses centres de données à travers le monde, Microsoft se conforme aux certifications standard ainsi qu'aux exi-gences du catalogue Cloud Computing (C5) de BSI. Le catalogue C5 comprend un total de 114 exi-gences dans 17 domaines, y compris l'organisation de la sécurité de l'information et la sécurité phy-sique, ainsi que des exigences supplémentaires pour le traitement des données hautement confiden-tielles et pour les situations nécessitant une haute disponibilité.
(4 Source: IDG Research Services – Study Cloud Security 2019)