https://wordpress.org/

Entre Cloud first et réglementation, quelle stratégie adopter en 2023 ?

Publié le 27/03/2023
Partager sur :

Mis en avant par l’édition du Forum International de la Cybersécurité (FIC) de cette année, le Cloud est une préoccupation majeure du monde de la sécurité numérique en 2023. Par le slogan « In Cloud we trust », le FIC affiche la direction que 40% des entreprises en Europe ont prise : le Cloud first, ou la volonté de migrer architecture, applications et projets vers cette nouvelle technologie. Les avantages sont considérables, mais impliquent de délaisser certaines responsabilités au CSP – Cloud service provider ou fournisseur d’accès cloud. Cette contrainte s’oppose aux nouvelles réglementations ou frameworks de sécurité qui, depuis quelques années, demandent toujours plus de contrôle sur les flux, la localisation des données, le droit à la suppression des données ou même la maîtrise de comptes administrateur. Ce frein explique sûrement l’hésitation des 60% d’entreprises encore en réflexion pour migrer vers ce nouvel eldorado de l’hébergement.

Des contraintes réglementaires Cloud : applicables bien qu’exigeantes ?

Bien que plusieurs réglementations imposent des règles, elles ne prohibent pas nécessairement l’utilisation du cloud. La clé pour une utilisation réussie du cloud en toute confiance se résume souvent à la protection de la donnée. Cela inclut la localisation, le chiffrement, le traitement et l’accès aux données.

Les demandes réglementaires peuvent avoir un impact important sur la sécurité du cloud. A l’instar du RGPD en Europe ou le HIPAA aux États-Unis, il existe de nombreuses exigences strictes en matière de protection des données personnelles et de la santé. Le RGPD impose notamment aux entreprises de garantir le « droit à l’oubli numérique ». Un utilisateur peut ainsi contacter l’entreprise et lui demander de supprimer définitivement toute donnée personnelle lui étant liée. De plus, chaque projet peut contenir des données métiers sensibles voir critiques comme des données liées à des brevets, des données fournissant des avantages concurrentiels ou même soumises à d’autres réglementations comme la PCI-DSS. Les organisations doivent donc planifier leurs migrations, adapter leurs architectures à ces réglementations, et s’assurer qu’elles respectent les exigences en termes de confidentialité, de sécurité et de conformité.

La tentation du Cloud first

L’attrait de toute entreprise pour le Cloud se comprend. Les avantages sont nombreux pour les équipes réseaux et infrastructures mais aussi pour la DSI. La mutualisation des coûts par les hébergeurs permet d’obtenir des prix très abordables si l’on compare avec un hébergement on-premise. De même, des offres extensibles permettent de gérer plus facilement des soucis de scalabilité, alors qu’elles sont impossibles à déployer dans une architecture classique en interne. 

Le principal risque quant à l’utilisation du cloud est la présence de droits étendus pour les opérateurs cloud, susceptibles d’accéder aux données client sensibles. Ce risque est parfois une barrière infranchissable pour beaucoup d’organisations traitant des données secrètes.

Des référentiels garants de sécurité cloud

Deux référentiels importants en matière de sécurité du cloud sont le SecNumCloud en Europe et le NIST aux États-Unis. SecNumCloud est une qualification française qui définit les exigences de sécurité pour les fournisseurs de cloud. Elle exige notamment la mise en place de mesures de sécurité physiques et logiques, ainsi que la certification de sécurité. Le NIST, quant à lui, est une norme américaine qui fournit des lignes directrices pour la gestion de la sécurité de l’information, y compris pour le cloud.

Les organisations peuvent utiliser ces réglementations comme guide pour s’assurer que leur sécurité du cloud est conforme aux normes les plus strictes. Elles peuvent être un gage de réussite pour une migration sereine et maîtrisée vers le cloud, tout en répondant favorablement aux contrôles des régulateurs.

Les 10 points clefs en amont d’une migration dans le Cloud

De nombreux points doivent être vérifiés avant de réaliser une migration d’un système vers le cloud. Toute application ou architecture n’a pas vocation à migrer systématiquement ; voici donc dix points de réflexion à mener avant de migrer vers un cloud public :

1 – Définir les objectifs de la migration Cloud :

Déterminer les attendus, tel que la réduction des coûts, l’amélioration de l’efficacité opérationnelle ou la flexibilité accrue, est un travail à réaliser dans un premier temps.

2 – Évaluer l’environnement actuel :

Identifier les éventuelles limites ou contraintes entre les besoins projet et l’offre Cloud : Quelles sont les applications concernées par la migration ? Qui les utilise et à quelle fréquence ? Quelle est leur importance pour l’entreprise ? Quels types de ressources consomment-elles et dépendent-elles d’autres applications ? Quels sont les accords de niveau de service (SLA), les mesures de continuité des activités et les exigences de sécurité et de conformité (localisation des données, réglementation étatique etc.) ?

3 – Définir la stratégie de migration :

Dois-je mettre en place une stratégie Multi ou Single Cloud, ou encore Cloud agnostique ou opportuniste ? Les modèles de déploiement SaaS, IaaS ou PaaS doivent être définis pour identifier une méthodologie de migration, parmi le rehosting (lift and shift), replatforming, refactoring, rebuild et replace.

4 – Choisir la bonne plateforme cloud :

Une étude des différents CSP (privé, public ou mixte) doit être menée. Cette étude prendra en compte une évaluation des coûts de migration, de fonctionnement, les avantages potentiels tels que l’évolutivité, la flexibilité, la disponibilité, la résilience et la sécurité liés à chacune des offres des CSP.

5 – Concevoir une architecture de cloud robuste :

Cela implique de prendre en compte les besoins en matière de stockage, de traitement et de réseau. Vous devez déterminer les ressources dont vous aurez besoin (calcul, réseau, sécurité, mise à l’échelle et provisionnements automatiques). Vous devez aussi déterminer la quantité de chaque ressource nécessaire. Les systèmes on-premise sont souvent sur-provisionnés, il est donc essentiel de comprendre votre utilisation réelle et de dimensionner vos instances Cloud.

6 – Planifier les migrations de données :

Le transfert des données est l’un des éléments les plus critiques de la migration vers le cloud. La localisation de vos données peut avoir un impact significatif sur les performances de votre application et est souvent soumise à des réglementations.

7 – Planifier les migrations d’applications : 

Il est important de planifier les migrations d’applications pour garantir une transition en douceur et contrôlée. Cela implique de tester et de valider les applications dans l’environnement cloud.

8 – Déployer minutieusement la migration :

Ces tests sont une partie indissociable du plan de migration. Il est préférable d’adopter une approche par étape : valider le travail effectué avant de passer à l’étape suivante. Utiliser les leçons apprises des étapes précédentes.

9 – Monitorer et améliorer la sécurité de l’environnement :

La sécurité est aussi à être considérée durant cette étape de migration. Il est bien de rédiger une politique de sécurité avec des directives claires sur la gestion d’identité, de gestion des accès, de conformité, de sécurité des données et de protection contre les attaques.

10 – Gérer les performances et les coûts :

Une fois que la migration est terminée, il est essentiel de réaliser un suivi des performances et des coûts. Vous garantirez ainsi l’efficacité opérationnelle et le retour sur investissement.

En conclusion

Adopter la stratégie du Cloud first revient à migrer tout le SI (applications et architecture) sur une infrastructure Cloud. Ce choix présente des avantages attrayants car scalable. Optimisation des coûts et de la gestion du parc informatique, notamment l’obsolescence et le patching. Cependant, ces avantages ne viennent pas sans contrepartie. Avant toute migration de vos projets chez un fournisseur de cloud public, définissez un plan de migration. Que ce soit vis-à-vis des réglementations applicables ou des besoins Métier, la migration doit répondre aux enjeux et spécificités de l’existant. Et vous ? Rejoindrez-vous les 40% d’entreprises qui ont choisi le cloud pour nouvelle direction en Europe ?

Pour précision

Une entité délivre une qualification lorsqu’une entreprise prouve sa conformité vis-à-vis d’un référentiel non étatique. La certification ISO 27001 est une qualification. Le référentiel n’est une obligation pour personne, ce n’est qu’une preuve de bon management de la sécurité du SI. Une réglementation est issue d’un organe étatique et impose des obligations aux entreprises. Le RGPD impose des mesures de droit à l’oubli, de sécurité des données aux entreprises. En cas de transgression de la réglementation l’entreprise s’expose à des sanctions civiles et/ou pénales. Dans le cas du RGPD, une amende civile allant jusqu’à 4% du CA annuel mondial ou 20 millions d’euros.


Écrit par Alexandre Plachez, Romain De Andrade et Benjamin Phelippeau.

Veuillez saisir votre adresse email pour vous abonner. Envoyer