Perspectives

Adopter l’Informatique en nuage en toute sécurité

Imaginer les changements, les défis et les occasions

Les technologies émergentes telles que l'informatique en nuage, les services mobiles, l'analytique et les médias sociaux peuvent offrir aux organisations de formidables occasions d'exercer leurs activités avec plus d'agilité, de se concentrer sur leurs compétences de base et d'étendre leur portée. Mais ces technologies peuvent aussi fournir de nouveaux points d'entrée aux pirates à la recherche de gains financiers ou politiques.

Informatique
en nuage

Services mobiles

Analytique

Médias sociaux

	Adopter l'Informatique en nuage en toute sécurité

Se brancher

L’avenir de l’infonuagique se compare à celui de l’électricité moderne. Dans les années 1800, les utilisateurs devaient habiter près d’un point de production pour profiter de l’électricité. La sécurité était toujours un problème. De nos jours, personne ne se soucie de l’accès à l’électricité. Il y a des prises de courant partout. Il suffit de brancher un appareil, et on pense rarement, voire jamais, à la sécurité. L’infonuagique se dirige dans la même direction. Les entreprises souhaitent ardemment utiliser cette technologie, mais la sécurité les préoccupe. Certes, des risques existent, mais ils peuvent être atténués grâce aux nouveaux outils et aux nouvelles techniques de sécurité, à une approche vigilante d’accès aux données et à des pratiques résilientes face aux menaces.

Les personnes et les entreprises prennent volontiers des risques pour franchir les étapes menant à l’adoption de l’infonuagique. Pressés d’exploiter le pouvoir de cette technologie, les gens ignorent souvent la nature exacte des risques qu’elle comporte. Il est facile de dire qu’un risque vaut la peine d’être pris quand on en ignore la nature exacte et les conséquences négatives potentielles.

Les risques les plus connus concernent habituellement l’emplacement des données (où elles sont stockées), la confidentialité des données (qui peut y accéder) et la fuite de données (la perte ou la diffusion de données à la suite d’erreurs ou d’actes malveillants). Pour atténuer les risques liés aux données, les entreprises doivent chercher à comprendre les niveaux de risque et les problèmes qu’ils impliquent, allant des enjeux réglementaires à l’utilisation de fournisseurs de services qui ont leurs propres problèmes de sécurité.

Atténuer les risques

En atténuant et en réduisant les risques, une entreprise peut fonctionner efficacement en tant qu’organisation sécurisée, vigilante et résiliente qui se tient à l’affût des nouvelles formes de menace à la sécurité et à la confidentialité de ses données. Les entreprises qui réussissent sont celles qui s’autodisciplinent et qui s’assurent que leurs fournisseurs de services et les partenaires avec lesquels elles partagent des données sont conformes aux normes de sécurité internes et aux niveaux de risque qu’elles tolèrent.

La relation avec les fournisseurs est particulièrement cruciale. Les entreprises doivent avoir une bonne compréhension des intentions et des besoins de leurs fournisseurs en matière d’infonuagique, puis s’efforcer de mettre en place des contrôles appropriés afin de garantir la confidentialité de leurs données et la sécurité de leur emplacement en plus de prévenir leurs pertes.

Principales questions

Les entreprises qui souhaitent une plus grande sécurité pour leurs activités infonuagiques doivent se poser des questions essentielles. En traitant ces questions le plus rapidement possible, elles peuvent s’assurer de passer d’un nuage non sécurisé et à sécurisé.

Quel est l’emplacement de votre information et où souhaitez-vous la stocker? Votre information se trouve-t-elle actuellement dans de petits seaux, de grandes piscines ou de vastes lacs? Où devrait-elle se trouver? L’information sensible qui est enfouie dans un ensemble de données anodin en apparence pourrait être divulguée de façon inattendue si vous placez ces données dans le nuage. De telles fuites pourraient nuire à votre réputation et vous occasionner des pertes commerciales bien réelles.

Comment garder le contrôle de votre information tout en adoptant l’infonuagique? Dans les systèmes d’entreprise conventionnels, les données peuvent être chiffrées et déchiffrées à mesure qu’elles sont déplacées et partagées, ce qui constitue un moyen relativement facile d’en garder le contrôle. Dans le nuage, le système ne vous appartient pas. Il appartient au fournisseur de services en nuage. Qui plus est, il est possible que ce fournisseur se trouve dans un autre pays et que vous deviez tenir compte de certaines différences de réglementation et de confidentialité. Heureusement, les règles nationales et provinciales en confidentialité des données ne sont peut-être pas aussi complexes que vous le craignez. Par exemple, seules la Colombie-Britannique et la Nouvelle-Écosse ont une loi sur la confidentialité qui régit l’exportation des renseignements personnels – et celle-ci s’applique uniquement au secteur public.

La crainte des problèmes de confidentialité ne devrait pas vous empêcher d’utiliser davantage l’infonuagique pour vos activités. Vous devez néanmoins régler immédiatement la question du contrôle des données en vous rappelant que, dans certains cas et pour certaines applications, il ne suffit pas toujours d’adopter une technologie centrée sur l’entreprise. En effet, une telle technologie n’aura peut-être pas la maturité nécessaire pour vous offrir ce que vous cherchez. En poussant plus loin la réflexion, vous serez en mesure de trouver les bons outils de chiffrement et de collaborer avec vos fournisseurs pour vous assurer que votre approche infonuagique sera efficace et sécuritaire.

Comment votre entreprise doit-elle réagir face à ses partenaires qui adoptent le nuage? Les fournisseurs de services en nuage sont un aspect à considérer parmi d’autres. Il est important de déterminer l’approche adoptée par vos partenaires établis, notamment vos fournisseurs. Par exemple, la société qui gère l’immeuble où se trouvent vos bureaux utilise peut-être l’infonuagique pour fournir des services et administrer l’accès à l’immeuble. Quel est le rôle de votre entreprise dans cette approche nuagique? Comment pouvez-vous contrôler vos données dans ce contexte? L’enjeu en cause ici est la ségrégation des données: vous devez vous assurer que les diverses entités qui transigent avec votre entreprise ainsi que les entreprises avec lesquelles ces entités transigent peuvent accéder uniquement aux données auxquelles elles ont un accès autorisé. Par exemple, si vous utilisez le même fournisseur de services en nuage qu’un de vos concurrents, vous voudriez savoir quels dispositifs ont été mis en place pour empêcher que vos données ne soient divulguées à ce concurrent et garantir qu’elles demeurent séparées.

Vers une sécurité accrue

Même si les fournisseurs d’infonuagique et les entreprises connexes s’efforcent de concevoir des protocoles de sécurité avancée, notamment par l’intermédiaire d’organisations comme la Cloud Security Alliance qui établit des normes et des pratiques pour les fournisseurs, leurs clients doivent connaître la réglementation, les risques et leur tolérance au risque et peaufiner leur approche infonuagique en adoptant des règles et des outils sur mesure. Ce processus commence par l’acquisition de connaissances de base. Voici les trois premières étapes à suivre pour améliorer la sécurité de vos données dans le nuage :

Déterminez votre utilisation actuelle de l’infonuagique. Vérifiez comment votre entreprise utilise actuellement le nuage. Certaines divisions de votre entreprise l’utilisent peut-être à votre insu. Vous ignorez peut-être lesquelles de vos activités ont été transférées dans le nuage. Une étape de découverte du nuage est un bon début.

Découvrez vos données les plus précieuses ainsi que les risques qui s’y rattachent afin de comprendre ce qui les menace et comment vous pouvez les protéger. Pour chaque scénario infonuagique de votre entreprise, quelles sont les données exposées à un risque? Quelles sont les vulnérabilités spécifiques et les menaces potentielles? À quel point l’information est-elle à risque? Le fait d’identifier les risques et de connaître votre tolérance au risque vous aidera à prendre des décisions plus éclairées sur votre utilisation du nuage.

Passez en revue l’environnement de sécurité et de contrôle actuel de votre entreprise – vos outils et vos processus. En connaissant les outils que vous utilisez actuellement pour gérer vos systèmes internes, vous pourrez mieux déterminer ce qui peut être remanié ou amélioré pour les activités en nuage.

Explorer davantage

Les entreprises qui sont déterminées à sécuriser le plus possible leurs activités en nuage doivent se poser des questions plus approfondies et envisager de prendre des mesures plus spécifiques à mesure qu’elles progressent. Elles devront :

préciser les responsabilités à l’intérieur et à l’extérieur de l’entreprise;
adopter d’importants mécanismes pour partager l’information et assurer la confidentialité et la sécurité des données;
concevoir des plans pour la gestion de l’identification, les droits d’accès et l’autorisation des utilisateurs;
gérer rigoureusement les privilèges d’accès afin de s’assurer que les administrateurs n’abusent pas de leur pouvoir concernant les données sensibles;
déterminer les domaines où des politiques d’utilisation et d’accès doivent être mises en place, c’est-à-dire les types d’événement, d’utilisation et d’utilisateur;
introduire des outils facilitant l’application des politiques relatives aux services Web;
anticiper les autres problèmes pouvant survenir en cas d’externalisation des données les plus sensibles et, dans les ententes avec des fournisseurs, tenir compte des problèmes de fin de contrat et de l’avenir des données;
clarifier les questions entourant la propriété des données et l’utilisation secondaire autorisée des renseignements personnels, par exemple, l’utilisation à des fins statistiques ou analytiques;
suivre et comprendre les changements dans le contexte réglementaire tant au pays qu’à l’étranger;
déterminer, sur le plan de la confidentialité, les exigences de l’entreprise en notification et consentement pour la gestion des renseignements des clients (sur place ou dans le nuage) et prendre connaissance du processus de notification du fournisseur de services en nuage en cas d’entrave à la vie privée;
quantifier et comprendre les avantages de l’infonuagique autres que la réduction des coûts des TI et de personnel, par exemple, la plus grande efficience de l’entreprise et le transfert de certains risques liés à la sauvegarde et à la récupération des données au fournisseur de services en nuage;
savoir précisément ce que le fournisseur de services infonuagiques offre et confirmer qu’il dispose de mécanismes appropriés d’audit, de certification et de révision garantissant qu’il est capable de fournir les services promis;
préparer un plan de continuité des activités en cas de difficultés techniques du fournisseur en s’assurant d’avoir une bonne compréhension des mesures de sécurité du fournisseur et de la façon dont il réagit pendant et après une attaque.

Évolution de mentalité

Pour adopter la mentalité appropriée pour fonctionner de façon sécuritaire dans l’univers de l’infonuagique, il faut non seulement poser des gestes, mais aussi faire constamment preuve d’imagination et de vision. Vous devez vous tenir à l’affût des nouvelles technologies et de vos besoins en plus de changer vos plans à mesure que ceux-ci évoluent.

PENSEZ à votre architecture interne. Brossez un portrait complet de votre architecture des TI actuelle et déterminez ce qu’elle devrait être dans le contexte de l’infonuagique. Considérez des aspects tels que les domaines où vous devrez utiliser la segmentation ou le chiffrement des données.

FAMILIARISEZ-VOUS avec les technologies nécessaires. Adoptez les outils infonuagiques les mieux adaptés à votre entreprise. Autrement dit, classez vos projets d’infonuagique par ordre de priorité en vous fondant sur l’analyse de rentabilité. À cette fin, vous devez savoir quelles technologies en nuage sont disponibles et lesquelles sont en cours de préparation. Restez bien informés.

IMAGINEZ ce qui se passerait en cas de « pépins ». Pensez à ce que vous devez faire pour assurer la sécurité de vos données et comprendre les risques d’atteinte à leur sécurité tant à l’intérieur de l’entreprise que chez votre fournisseur de services en nuage. Envisagez les scénarios les plus pessimistes concernant le nuage et la sécurité de vos données. Imaginez comment vous réagiriez et les mesures que vous devriez prendre pour que tout redevienne normal. Passez en revue les modalités de vos contrats et faites une vérification diligente de vos fournisseurs pour repérer les risques et trouver des façons de les atténuer.

Le nuage sans les perturbations

Le nuage est la solution « en tout temps et en tout lieu » préférée des entreprises d’aujourd’hui pour gérer la plupart de leurs applications. Il est intimement lié à la façon dont vous vendez vos produits, interagissez avec vos clients et gérez vos communications et vos relations avec vos employés et vos partenaires – et il continuera de l’être. L’avenir du nuage est prometteur, mais pour les entreprises qui ne se posent pas les bonnes questions et ne prennent pas les bonnes mesures en matière de sécurité, l’expérience infonuagique pourrait être orageuse.

Deloitte possède une vaste expérience pratique en matière de sécurité des services en nuage allant de la stratégie à la mise en oeuvre. Nous sommes prêts à vous aider.

Audit et Certification

Consultation

Conseils en gestion des risques

Conseils financiers

Deloitte Sociétés privées

Services d’analytique

Fiscalité et Services juridiques

Collaborations

Services d’exécution

Consommation

Énergie, ressources et produits industriels

Services financiers

Services gouvernementaux et services publics

Technologies, médias et télécommunications

Postuler

Professionnels expérimentés

Étudiants

La vie chez Deloitte

Anciens

Notre promesse à nos gens