Les défis sécuritaires du cloud
Interrogés par notre confrère Network World, des dirigeants de Microsoft, Trend Micro, de EMC (division RSA), de McAfee et de Symantec se sont penchés sur les défis liés à la sécurité en matière de cloud computing.
« Le défi va être permanent, mais sous tension, non seulement en terme d'innovations techniques, mais aussi en matière de communication», a déclaré le PDG de Microsoft Steve Ballmer lors d'une conférence à l'université de Washington qui s'est tenu ce mois-ci. «Certains pensent que le cloud est un coffre-fort bien sécurisé, mais d'autres estiment que ce n'est pas sûr et sécurisé, sans parler de ceux qui ne pensent pas grand-chose du tout. La question est de savoir si on peut donner aux gens des outils dont ils pourront avoir le contrôle, dont ils pourront se sentir responsable? Je crois que les utilisateurs seront en mesure d'apprécier la question de la sécurité cloud quand ils en verront les effets. Le problème actuel est que les utilisateurs ne savent pas vraiment ce qui se passe ... et il est primordial de réaliser des outils et des technologies qui en facilitent la gestion. »
« L'idée de « partager » des informations transforme le problème de la sécurité cloud en défi » explique Eva Chen, PDG de Trend Micro, dans l'entretien qu'elle a accordé à Network World : «Traditionnellement, les entreprises étaient propriétaires de leurs infrastructures informatiques. Avec le cloud, elles partagent la puissance de calcul, le stockage. Elles veulent donc savoir avec qui elles partagent leurs données. Quand vous louez une chambre dans un hôtel, vous ne voulez pas que votre porte soit ouverte, vous voulez qu'elle soit fermée à clef. Pour le cloud, c'est pareil : une entreprise qui loue temporairement un espace a besoin de savoir qu'il y a des verrous. »
Network World a également interrogé Art Coviello, président de la division RSA de EMC et vice-président exécutif chez EMC. " Sur la question de la sécurité du cloud, je pense honnêtement qu'elle réside au niveau du microprocesseur, car avoir confiance en ce socle matériel est essentiel. C'est même selon moi la condition sine qua non du processus, » a t-il déclaré. « L'autre grand enjeu, c'est la gestion. Afin de disposer de tous les contrôles, il faut unifier la politique de sécurité avec la politique commerciale de l'entreprise et coordonner les deux afin d'avoir un effet de levier. Les sociétés abonnées au service cloud doivent être en mesure de dicter et de déléguer cette politique aux prestataires, seuls à pouvoir appliquer les décisions. »
[[page]]
Education et interopérabilité
Dave DeWalt, président et CEO de McAfee, a déclaré à Network World que l'éducation était pour lui le plus grand défi: «Beaucoup d'entreprises sont aujourd'hui inquiètes car depuis 20 ou 30 ans, elles avaient le contrôle totale sur leur activité. Mais dans l'approche cloud, elles doivent parfois faire appel à plusieurs fournisseurs pour gérer leurs applications et donnent à chaque prestataire un contrôle sur leurs données. En premier lieu, elles sont préoccupées par cette perte de contrôle sur leurs actifs sensibles. Et il n'existe aucun standard en matière de cloud aujourd'hui. Les applications à base de cloud en sont à leurs débuts. Des vulnérabilités existent et des erreurs sont commises. Le cloud a donc besoin d'évoluer. »
Enrique Salem, Président et CEO de Symantec, a déclaré pour sa part que le cloud réclamait de nouvelles exigences en matière de sécurité. « Tout d'abord, du point de vue des infrastructures, la sécurité devra se rapprocher des applications et des données. Dans une architecture de services partagés, il ne suffit pas simplement de protéger le périmètre du cloud, le datacenter, les serveurs ou même les baies de stockage. Les sociétés doivent renforcer leur gouvernance des informations pour optimiser le contrôle de celles émanant de l'entreprise. Elles doivent définir des politiques et des procédures et se les appliquer. Il est clair que cela est plus facile à dire qu'à faire. Une autre condition essentielle est la nécessaire visibilité des outils de sécurité mis en oeuvre par les prestataires de cloud, pour être en adéquation avec le niveau formulé par les entreprises. Cette interopérabilité sera importante et permettra aux sociétés de tirer parti, ensemble, des différents modèles, et d'optimiser les avantages de chacun. »