Les préoccupations concernant la sécurité assurée par les fournisseurs de service infonuagique sont devenues contre-productives. Elles détournent également l’attention des directeurs des services d’information et des directeurs de la sécurité informatique de leurs fonctions consistant à la mise en place de processus organisationnels, de sécurité et de gouvernance permettant de prévenir les erreurs de sécurité et de conformité infonuagique. Gartner prédit d’ailleurs que, d’ici 2020, 95 pour cent des failles de sécurité seront imputables au client.
La conviction naïve selon laquelle la sécurité des clients relève de l’entière responsabilité des fournisseurs de service indique que de nombreuses entreprises négligent de gérer l’utilisation que font leurs employés des applications externes. Ces derniers peuvent ainsi librement transmettre à d’autres employés, à des tiers et parfois même à la toile toute entière d’énormes quantités de données souvent inappropriées.
Pratiquement toutes les plateformes infonuagiques publiques sont offertes par des services hautement résistants aux attaques et, dans la plupart des circonstances, constituent un point de départ plus sécuritaire que les systèmes internes classiques. Un infime pourcentage des incidents de sécurité ayant affecté les entreprises utilisant ces plateformes étaient imputables à des vulnérabilités de la part du fournisseur.
Le modèle commercial de l’infonuagique offre aux fournisseurs de service d’énormes mesures d’incitation visant à les amener à accorder à la sécurité une plus grande priorité que celle qu’accordent en règle générale les organisations utilisant leurs services. Ces fournisseurs ont les moyens d’engager des gestionnaires de système et de vulnérabilités chevronnés, et les économies d’échelle qu’ils réalisent leur permettent d’assurer jour et nuit surveillance de sécurité et intervention.
Les organisations ne devraient toutefois pas présumer que parce qu’elles font usage d’un service infonuagique, toutes les opérations connexes sont sécuritaires. Les caractéristiques des parties de la pile infonuagique sur lesquelles le client exerce un contrôle peuvent facilement permettre à des utilisateurs non expérimentés d’adopter de mauvaises pratiques, ce qui peut entraîner des failles de sécurité ou de conformité généralisées.
En fin de compte, il relève de la responsabilité de l’organisation d’exercer un contrôle sur le nuage. Pour assurer l’utilisation sécuritaire et réglementaire des plateformes infonuagiques publiques, les entreprises doivent mettre en place et faire appliquer des politiques claires quant à la responsabilité liée à l’utilisation du nuage, ainsi que des procédures d’acceptation des risques.
En omettant d’adopter une approche stratégique concernant le recours à l’infonuagique, les organisations pourraient se retrouver dans une situation où elles sont non protégées, rigides ou non concurrentielles.
Jay Heiser est vice-président à la recherche, ainsi que spécialisé dans le domaine des risques et du contrôle concernant les SaaS et les plateformes infonuagiques, y compris la sécurité infonuagique.