- Stephen Schmidt, responsable de la sécurité des informations, Amazon Web Services
Par Stephen Schmidt, responsable de la sécurité des informations, Amazon Web Services.
Pour de nombreuses entreprises, la perspective de migrer tout ou partie de leur infrastructure informatique vers le cloud est de plus en plus attrayante : en ligne de mire, quelques bénéfices majeurs, notamment sur le plan de la réduction des coûts, de l’évolutivité et du temps gagné qui permet de se consacrer davantage aux services et aux applications qui comptent vraiment pour les clients. Cependant, certains profanes s’interrogent encore sur la sécurité liée au cloud, limitant ainsi leur adoption complète de cette technologie et de tous ses avantages.
Dans l’imaginaire de nombreux responsables, si une entreprise détient son propre centre de données, en gère les équipements et rémunère les équipes chargées d’exploiter les machines, elle a alors la maîtrise totale de ses données, qui sont à l’abri de toute fuite. Pourtant, il a été démontré qu’une infrastructure en cloud assure une plus grande sécurité et une meilleure gouvernance que les approches mises en œuvre dans de nombreux centres informatiques détenus et exploités par des administrations ou des entreprises, publiques ou privées. Pourquoi ? Parce que tout y est mieux maîtrisé. Dans le cloud, le DSI peut savoir exactement quelles applications ont été exécutées, quand, pendant combien de temps, et à partir de quelle machine. Dans tout environnement, il existe toujours un risque de découvrir trop tard qu’un développeur a laissé tourner un traitement non autorisé, ou potentiellement dangereux, sur un serveur clandestin. Dans un environnement informatique traditionnel, il est très difficile d’identifier ces serveurs orphelins. Dans le cloud, il suffit à la direction informatique d’appeler une API pour afficher tous les systèmes, toutes les machines virtuelles et toutes les instances d’exécution.
Le cloud offre donc une plus grande maîtrise. Mais la sécurité dans son ensemble reste une responsabilité partagée entre le client et le prestataire. Certains prestataires de services en cloud sont très sûrs. Mais si un client lance une application non sécurisée ou vulnérable sur le cloud, il prend des risques importants. A contrario, l’application la plus sécurisée au monde sera fragilisée si elle s’exécute sur une infrastructure vulnérable. La responsabilité de la sécurité étant partagée, il est important de comprendre qui, de l’utilisateur ou du prestataire, est responsable de quoi à chaque niveau. Les services d’infrastructure en cloud tels que ceux proposés par AWS constituent un environnement de calcul extrêmement flexible, qui offre aux entreprises une grande maîtrise de leur sécurité. Pour peu qu’elles adoptent une approche adéquate, le recours à un fournisseur d’infrastructure informatique peut les aider à améliorer considérablement leur niveau de sécurité.
Les organisations publiques et privées sont conscientes des apports du cloud en termes d’allégement de la charge de gestion des serveurs et des centres informatiques. Cela implique cependant que la sécurité associée à la gestion de l’infrastructure physique soit transférée au prestataire de services en cloud, ainsi que la sécurité et la technologie qui permettent la virtualisation sur les différents systèmes d’exploitation. C’est pourquoi le prestataire d’infrastructure doit être un expert absolu de la mise en œuvre de grands centres informatiques et de la gestion de la redondance. Il doit être à même de sécuriser ces centres de données, qui peuvent être disséminés dans tout le pays, voire, dans le monde entier.
En ce qui concerne la sécurité physique, cela signifie qu’il est responsable de la gestion des équipes de surveillances, des clôtures, des portails et des caméras. Il doit garantir que chaque élément du dispositif de sécurité respecte des directives très strictes. La sécurité des milliers de serveurs, commutateurs, équilibreurs de charge et machines virtuelles constitue à elle seule un défi considérable. C’est la raison pour laquelle les organisations soumises à des réglementations très exigeantes se fient aux certifications et accréditations émises par des auditeurs externes. Il ne s’agit pas là d’un processus nouveau pour nos clients. Depuis longtemps, les certifications et les revues par des organismes tiers aident les organisations publiques et privées à se conformer en toute connaissance de cause aux critères de sécurité qui leur sont imposés. La certification la plus répandue et la plus respectée est la norme ISO-27001, mais les prestataires d’infrastructure informatique sont également soumis à des audits SAS 70 Type II, qui vérifient qu’ils respectent leurs propres règles internes.
Le recours à des auditeurs pour certifier le niveau de sécurité d’une infrastructure informatique est aussi un moyen d’alléger la charge de travail des DSI. Ce gain de temps leur permet de mieux focaliser leurs ressources sur les travaux qui en ont le plus besoin : les applications. N’oublions pas que les prestataires de services en cloud doivent leur bonne santé aux innovations technologiques et à l’expérience des grandes entreprises ! Faisons une analogie : L’Armée de l’Air ne recrute pas des techniciens pour construire des usines et fabriquer des avions. Elle fait appel à des experts comme Dassault. Ces experts construisent des avions depuis des décennies, et ce sont eux qui recrutent les meilleurs techniciens et ingénieurs. Le même principe s’applique au cloud. Pourquoi les entreprises devraient-elles se charger de la construction de grands centres informatiques et de la création de l’infrastructure nécessaire, alors qu’il existe des experts qui proposent ces services ?
La décision
Il est difficile de changer. Le transfert des applications existantes, hébergées dans un centre informatique, vers le «cloud » est une tâche qui peut sembler lourde. Il est pourtant possible de le faire de manière relativement fluide. Lorsqu’une organisation qui possède ses propres applications élabore un plan de migration en vue de passer sur le cloud, elle fait en général le choix de fonctionner en mode hybride pour développer son expérience du cloud.
Par exemple, une approche fréquemment retenue par les administrations est le développement d’une passerelle sécurisée et transparente entre l’infrastructure informatique existante et le cloud. AWS vous permet de procéder ainsi grâce à son offre Amazon Virtual Private Cloud (Amazon VPC). Ce service permet aux organisations de connecter leur infrastructure existante à un ensemble de ressources de calcul isolées via une connexion VPN et d’étendre leurs fonctions de gestion (services de sécurité, pare-feu et système de détection des intrusions) aux ressources du cloud. Une isolation complète du réseau est rendue possible par l’utilisation d’une gamme d’adresses IP propre à cette organisation et par le routage de l’ensemble du trafic réseau entre son VPC et son centre informatique sur une connexion VPN IPsec chiffrée et normalisée. Si l’organisation a besoin d’un niveau de sécurité encore plus élevé, il est possible d’exécuter des instances dédiées dans leur VPC. Dans ce cas, le matériel est réservé à un seul client, ce qui assure une isolation physique de toutes les instances de calcul Amazon EC2 lancées dans ce VPC.
Pour un prestataire de services en cloud, la sécurité doit être une priorité absolue. La plupart des organisations n’ont pas le luxe de disposer de ressources entièrement dédiées à la sécurité. Les prestataires de services en cloud, en revanche, investissent activement dans les technologies de sécurité et dans les équipes et processus associés. La sécurité du cloud est une réalité et nous sommes convaincus que cette approche va aider les entreprises à innover dans leurs pratiques informatiques, en tirant les bénéfices d’un environnement sécurisé, hautement disponible et rentable.
