Les technologies Cloud, qu’elles soient Privées, Publiques ou Hybrides,  offrent d’importantes opportunités pour nos entreprises : support à  l’innovation, attraction / rétention des talents, avantages concurrentiels via l’accès à de nouvelles technologies et à de nouveaux  marchés, en particulier l’Intelligence Artificielle, nécessitant une utilisation à grande échelle des données.

A moyen terme, l’utilisation des technologies Cloud sera  indispensable pour maintenir la compétitivité de nos entreprises.

Le Cloud : Quelles opportunités pour nos entreprises ?

L’analyse des marchés révèle une augmentation constante et significative de l’utilisation des technologies Cloud dans tous les secteurs de notre économie. Cela s’explique par les opportunités engendrées par ces technologies et par les bénéfices qu’en attendent les responsables IT et les dirigeants d’entreprise. Les principales opportunités  identifiées, du point de vue d’un utilisateur de ces services s’appliquent à la fois au Cloud privé et au  Cloud public, en voici quelques unes :

Créer un avantage compétitif :  Accéder à des technologies et à des partenaires  permettant d’accompagner le développement de  produits ou de services innovants et  différenciants.

Améliorer le time to market : Accéder à des plates-formes et outils permettant  d’accélérer les développements et cycles de  déploiement.

Gagner en flexibilité : Utiliser les services Cloud pour assurer un  passage rapide à l’échelle (élasticité). Passer d’un  modèle financier d’investissement et  d’immobilisation à un modèle de paiement à  l’usage pour mieux gérer l'incertitude du succès  commercial d’un service (avec une attention à porter sur le coût par unité, lequel peut rapidement augmenter).

Rester compétitif : Construire des initiatives externes via des  collaborations fondées sur le Cloud (par exemple Blockchain, Apprentissage et Intelligence  Artificielle) et maintenir la présence de nos entreprises sur les marchés.

Améliorer l’efficience opérationnelle : S’appuyer sur des plates-formes et des services  permettant de décharger et basculer certains traitements sur des solutions partagées plus efficientes.

Améliorer l’expérience client : Fournir des services orientés utilisateurs (y  compris des APIs) pour créer des parcours utilisateurs innovants, en intégrant des solutions  alternatives de partenaires externes.

Améliorer la disponibilité : S’appuyer sur des plates-formes Cloud  mondialement distribuées afin d’améliorer la  disponibilité des services métiers et leur  résilience face à de potentielles catastrophes (climatiques, sociales, géopolitiques, sanitaires, …).

Attirer et retenir les talents : Permettre aux talents au sein de l’entreprise  d’accéder aux dernières technologies et outils.  Attirer de nouveaux talents en offrant des  environnements optimisés pour l'innovation et la créativité.

Les problématiques sécurité posées par le Cloud

Pour une entreprise, le passage au cloud induit ainsi un changement dans l’approche de la sécurité : au contrôle traditionnel des accès s’ajoute le contrôle des usages. La sécurité doit alors être approchée sous l’angle d’un cycle de vie et les règles de sécurité étroitement liées aux données.

Quel que soit le modèle choisi, 3 piliers sécuritaires restent toujours de la responsabilité de l’entreprise pour une sécurité des données maîtrisée :

La protection des données

La nature du cloud public permet une collaboration mondiale. En conséquence, des données peuvent accidentellement être là où elles ne devraient pas. Cela est particulièrement problématique à l’heure du le règlement général de l’UE sur les
données personnelles (RGPD).

Pour protéger ses données, l’entreprise doit :

  • Identifier et classifier ses données en fonction qu’elles soient publiques, confidentielles ou sensibles
  • Chiffrer ses données enregistrées sur les supports persistants (données au repos), ses données en mémoire sur les supports non persistants (données en usage) et les données qui peuvent être interceptées alors qu'elles circulent sur le réseau (données en transit) avec un chiffrement qui permette de se protéger de l’exploitation par un tiers non autorisé
  • Mettre en place une gestion des clés de chiffrement afin d’être en capacité de générer, distribuer, stocker et détruire les clés cryptographiques selon ses besoins.

La gestion des identités et des accès

Pour sécuriser un environnement Cloud, il faut également pouvoir définir qui a besoin de quoi et qui peut faire quoi. Cela passe ainsi par la mise en place d’une gouvernance d’identités basée sur la gestion des identités et du contrôle d’accès
(IAM, Identity and Access Management).
Associer des rôles et des privilèges à des identités permettra ainsi de maitriser l’accès aux données, services, applications, etc.
Avec cette gouvernance, l’entreprise pourra s’assurer qu’une application accède bien aux données dont elle a besoin ou qu’un utilisateur détient les bons accès pour faire tourner cette application.

Le monitoring des données

Enfin, il convient de mettre en place un contrôle de sécurité et de conformité actif, permettant aux équipes Sécurité de gagner en visibilité, en continu, sur l’intégralité de l’environnement et donc de prévenir de potentielles vulnérabilités.
Le Cloud offrant la possibilité de créer et de déployer rapidement des applications à l’échelle mondiale, il est nécessaire de pouvoir identifier rapidement et de manière dynamique les configurations risquées, les menaces réseau, les comportements suspects des utilisateurs, les malwares, fuites de données, vulnérabilité des hôtes, etc.
Ce monitoring actif des données permet ainsi d’assurer une protection continue et d’être en capacité de réagir immédiatement.

L'approche DevSecOps

Si l’approche DevOps a fait ses preuves en permettant de livrer des applications et logiciels qualitatifs dans des délais courts tout en apportant de la valeur aux entreprises, elle semble cependant négliger une facette importante du développement : la sécurité.
En effet, investir dans plus de sécurité réseau, pares-feux, etc. ne permet pas de résoudre les problématiques de sécurité générées par les développements.
Il faut donc repenser la manière dont les projets de développement sont conçus, pour une sécurité de bout en bout : construction, gestion et fonctionnement.
L’approche DevOps doit donc évoluer vers celle de DevSecOps afin de réfléchir à comment la sécurité va s’intégrer dans tous les aspects du cycle de vie et des étapes du projet afin de sécuriser, et les applications créées, et les systèmes d’information.

C’est toute l’architecture qui s’en trouvera impactée : la façon de concevoir l’application, le type de données à utiliser, le degré de classification, la gestion des accès, les charges de travail, etc.