Adopter la bonne stratégie pour une migration sécurisée vers le cloud

Comment garantir la sécurité de l’environnement informatique s’appuyant sur le cloud ? Lors des Rencontres de la Sécurité d’Excellium Services, la question a été largement évoquée. La réponse réside dans la nécessité de mettre en œuvre une stratégie tenant compte des risques et du contexte de l’entreprise, de se doter d’une visibilité à 360° sur l’activité ou encore d’établir les contrôles, les rôles et responsabilités permettant de bien appréhender ces nouveaux environnements.

Les enjeux de sécurité dans le cadre d’un projet de migration vers le cloud figuraient parmi les thématiques clés abordées lors des dernières Rencontres de la Sécurité, proposées par Excellium Services en octobre dernier. Pas moins de sept ateliers, sur la vingtaine proposés, concernaient le sujet.

Recourir au cloud soulève des questions de sécurité

Pourquoi, lorsqu’on est une organisation, est-il important de se préoccuper de la cybersécurité d’un fournisseur de services cloud ? Comment bien mener un projet de migration en intégrant les aspects inhérents à la sécurité ? Ou encore comment migrer dans le respect de la réglementation luxembourgeoise ? Les questions relatives au sujet étaient nombreuses et ont permis aux participants de disposer des clés pour un projet de migration réussi. « Un des enjeux, sur le chemin du succès, est d’abord de pouvoir déterminer les attentes exprimées au niveau du business, mais aussi d’avoir conscience des contraintes qui s’imposent, notamment au niveau des exigences réglementaires, qu’elles émanent de la CSSF ou de directives européennes, explique Johann Alessandroni, Information Security Governance Team Leader au sein d’Excellium Services. Au-delà, il est important de pouvoir procéder à une analyse de risque, en considérant les données que l’on souhaite placer ou traiter dans le cloud. »

Reconstruire une vision à 360°

Une fois l’évaluation réalisée, l’enjeu est de se doter des moyens de contrôler l’activité du cloud impliquant les actifs numériques de l’entreprise. Dans le cloud, la manière de gérer la sécurité diffère d’une approche sur site. « Avec le cloud, le responsable de la sécurité à tendance à ne plus avoir une vue à 360° sur l’activité opérée. L’important est de parvenir à la mettre en place, à travers des tableaux de bord, le déploiement d’indicateurs, pour contrôler comment la donnée est traitée, comment elle transite vers le cloud, afin de pouvoir continuer à assurer une protection optimale et garantir que les exigences réglementaires sont bien respectées », poursuit Johann Alessandroni.

Opter pour une stratégie adaptée

Cette visibilité acquise, il faut ensuite configurer les fonctionnalités de sécurité offertes par les cloud providers ou les fournisseurs de solutions de sécurité, afin de les aligner sur la politique de l’entreprise. « Il est aussi essentiel de bien définir les rôles et les responsabilités de chacun, en se dotant des bonnes compétences pour appréhender ce nouvel environnement et garantir un suivi opérationnel optimal », ajoute l’expert d’Excellium Services. Il est dès lors important, pour tout acteur, réglementé ou non, désireux de migrer vers le cloud, de se doter d’une stratégie adaptée intégrant les besoins actuels et à venir.

S’appuyer sur les bons outils

Des outils existent pour soutenir les acteurs dans cette démarche. Netskope par exemple, offre des outils qui donnent une visibilité complète de l’activité liée à l’entreprise transitant par le cloud, une détection des menaces et une protection des données en temps réel et de manière inégalée, où que vous soyez et depuis n’importe quel périphérique. Doté d’une maîtrise parfaite du cloud, Netskope fournit une sécurité centrée sur les données à l’aide de l’un des réseaux sécurisés les plus étendus et les plus rapides au monde. La solution est un réel support pour les acteurs, permettant notamment d’établir et de mettre en œuvre des politiques d’accès qui tiennent compte du niveau de risque et du contexte. Thales, pour sa part, offre des solutions permettant notamment d’assurer le chiffrement des données dans le cloud, en fonction des besoins, des risques et de la gouvernance de l’entreprise.