Ensemble, rendons le cloud efficace et sûr !

Le Cloud computing (informatique en nuage) est aujourd’hui le vecteur principal de la transformation digitale des entreprises. Et ce pour trois raisons. Le Cloud, c’est facile. Exploiter son système d’information dans le Cloud exonère de se préoccuper de l’infrastructure informatique. Le Cloud, c’est flexible. Les fonctions, le nombre d’utilisateurs ou le périmètre du système d’information peuvent être adaptés au fil du besoin. Le Cloud, c’est mobile. Les applications et les données sont accessibles pour tous, en temps réel, depuis n’importe quel terminal connecté.

Mais le Cloud est-il sûr ? Oui. Mais seulement si nous nous donnons la peine de le rendre sûr. Nous ? hébergeurs, éditeurs, intégrateurs et utilisateurs. C’est ensemble, en adoptant des règles strictes et en les faisant respecter, que nous rendons le Cloud efficace et sûr.
Découvrez les solutions Saas de Sage

Revenons aux fondamentaux !

• Le Cloud, de quoi parle-t-on ?
• Qui sont les acteurs du Cloud ?
• Quelles sont les bonnes pratiques pour améliorer la sécurité du Cloud ?

Nous n’insistons pas ici sur la capacité du Cloud computing à booster la performance collective des organisations. Mais d’autres articles de Sage Advice expliquent pourquoi 48 % du parc applicatif des entreprises est hébergé dans le Cloud en 2021¹ :

• Le DSI et le Cloud : en route vers la digitalisation de l’entreprise
• Le Cloud, facteur de réinvention des métiers et des fonctions
• Le dirigeant et le Cloud : une affaire d’efficacité

Qu’est-ce que le Cloud Computing ?

Le Cloud est une approche technologique où les ressources informatiques d’hébergement et de traitement des données sont hébergées et opérées à distance. On accède classiquement à ces ressources via Internet.

La logique de cette approche est de mutualiser les infrastructures, pour économiser des ressources, réinvesties dans :

• le cœur de métier, l’optimisation de l’expérience client et la productivité des équipes.
• l’agilité des organisations, pour lesquelles l’informatique devient un service dimensionné au plus juste à chaque étape de leur développement.
• l’innovation, grâce à l’accès à des capacités jusqu’alors réservées aux plus grandes entreprises.

Les serveurs qui hébergent les logiciels et les données sont rassemblés dans des centres de données (datacenter).
Si ces serveurs sont partagés entre plusieurs clients, on parle alors de Cloud public. Dans ce cas de figure, les données appartenant à une organisation A sont isolées des données appartenant à une organisation B. Seule une personne authentifiée et habilitée peut accéder à l’environnement de travail dédié à l’organisation à laquelle elle est rattachée.
Si les serveurs sont dédiés à une seule organisation, on parle alors de Cloud privé. Les serveurs sont soit rassemblés dans une emprise qui appartient à l’entreprise, soit hébergés dans un espace strictement isolé (baie ou salle) au sein d’un centre de données géré par un prestataire tiers.

Les acteurs du Cloud

Les hébergeurs

Un hébergeur Cloud met à disposition l’infrastructure nécessaire pour stocker les données et faire tourner les applications. Il réunit en un lieu des serveurs (abrités dans des baies informatiques), qu’il alimente en énergie, qu’il maintient en température, qu’il protège des agressions accidentelles ou malveillantes et dont il assure l’accès à distance via une connexion web.

Chaque hébergeur s’engage sur un niveau de sécurité qui lui est propre. En réalité, il propose souvent des protocoles plus ou moins durcis, pour répondre à l’éventail des exigences formulées par ses clients, éditeurs, intégrateurs ou fournisseurs d’accès. Plus il y a de sécurité, plus le prix est élevé.
Pour autant, des normes internationales comme SOC² et NIST CyberSecurity Framework³, garantissent l’application de procédures de sécurité standardisées.

Les éditeurs

Dans le contexte Cloud, un éditeur de logiciel met à la disposition d’utilisateurs authentifiés une solution logicielle envisagée comme un service (c’est pourquoi on parle de SaaS, pour Software as a Service).
Dans une perspective « multi-tenant » (ou multi-entités), les fonctions du logiciel sont identiques pour tous les utilisateurs. Un certain niveau de personnalisation est possible (par exemple, la couleur de l’interface) mais le code est commun à tous. L’éditeur s’engage à maintenir la solution et à la faire évoluer régulièrement pour accompagner les attentes générales des utilisateurs (tout le monde bénéficie en même temps des mêmes évolutions).
Au contraire, dans une perspective « single-tenant » (entité unique), l’entreprise peut bénéficier à sa guise d’enrichissements et de développements qui lui sont propres. L’organisation dispose de sa propre instance du logiciel, spécifiquement développée pour son usage propre. L’éditeur est tout autant engagé dans le maintien fonctionnel du logiciel. Mais c’est l’entreprise qui décide du rythme auquel elle fait évoluer la solution mise à sa disposition.

L’entreprise bénéficie d’une disponibilité contractuelle de sa solution garantie dans le cadre d’un contrat de prestation, qu’on appelle SLA (Service Level Agreement ou Contrat de niveau de service). Ce SLA définit les conditions générales de la sécurité dans le Cloud, comme la conservation et la localisation des données. Ou encore la redondance⁴ des centres de données impliqués dans le service.

Quand je loue une automobile, je peux m’adresser directement au constructeur ou passer par un prestataire tiers, avec un niveau de service qui pourra être différent. Il en est de même pour l’informatique à distance.
C’est ainsi que l’entreprise utilisatrice du logiciel a le choix de confier directement à l’éditeur la responsabilité de son accès aux fonctions auxquelles elle a choisi de s’abonner. Par exemple, à travers Sage Service Cloud, Sage garantit aux souscripteurs de ce contrat un niveau de disponibilité applicative de 99,5 %. Et même de 99,95 % pour la disponibilité de son architecture.
Ou de passer par un tiers, intégrateur partenaire de l’éditeur.

• Pour savoir pourquoi les avantages réels du Cloud dépassent les bénéfices attendus, cliquer ici

Les intégrateurs

Les intégrateurs accompagnent les entreprises dans leur accès aux fonctions logicielles d’une façon générale. Ils s’occupent de l’intégration de la solution dans le système d’information de l’entreprise, de la formation des utilisateurs et de l’optimisation des usages.
C’est pourquoi certaines entreprises préfèrent confier à leurs intégrateurs la responsabilité de l’accès à la solution dans le Cloud, à travers un contrat de service global.

Les bonnes pratiques en faveur de la sécurité du Cloud

Le principe du Cloud induit un potentiel de sécurité supérieure pour les données de l’entreprise, en raison de la mutualisation des ressources dédiées à la protection des composants des infrastructures qui assurent le traitement et l’hébergement des données.

Pour autant, le risque 0 n’existe pas et il convient de prendre en considération les menaces qui continuent de peser sur les données de l’entreprise.
C’est la meilleure façon :

• De disposer de toutes les cartes pour évaluer les protocoles mis en avant par les opérateurs et choisir le plus adapté au fonctionnement et à la structure de l’organisation.
• De s’assurer en interne de la mise en place et du respect de règles de bon sens pour assurer l’intégrité de ses data et la permanence de son activité.

Découvrez nos logiciels de gestion dédiés au PME et PMI

Le centre de données le plus sécurisé est susceptible d’être victime d’une crise accidentelle, comme un incendie, une inondation ou une coupure de courant. La meilleure façon de se prémunir de manière absolue est la redondance. En répartissant mes données entre plusieurs espaces suffisamment distants et isolés les uns des autres, je multiplie les chances de conserver intact mon patrimoine.
Par exemple, les entreprises qui choisissent d’accéder au Cloud à travers Sage Service Cloud bénéficient de cette bonne pratique par défaut et voient leurs données réparties entre 3 centres de données différents suffisamment éloignés les uns des autres.
En cas d’incident sur un centre de données, un plan de bascule est alors activé en 4 heures (RTO, ou durée maximale d’interruption de l’accès aux ressources informatiques).

La deuxième bonne pratique est l’anticipation de toutes les menaces imaginables et de définir pour chacune d’entre elles un scénario de parade. C’est ce qu’on appelle le plan de continuité d’activité. Que se passe-t-il en cas de panne d’Internet ? En combien de temps un centre de données touché par un incident bascule-t-il sur un autre centre ? Quels types d’actes de malveillance sont à redouter ? Comment entraîner les équipes à détecter une anomalie ? Quel volume de données est susceptible d’être perdu en cas de défaillance du service (RPO, ou délai entre deux sauvegardes) ?
Ainsi, dans le cadre de l’offre Sage Service Cloud, nos équipes sont toute l’année mobilisées et entraînées à réagir rapidement face à toute perturbation du service. Des scénarios sont écrits en avance et des tests sont effectués chaque année pour anticiper au maximum un incident éventuel et surtout réagir au plus vite dans l’intérêt des entreprises.

La troisième bonne pratique est la vigilance pour ne pas créer de failles par où peuvent passer d’éventuels cyber-attaquants :

• Séparer de façon étanche les outils domestiques des matériels mis en œuvre dans le cadre professionnel en télétravail.
• Soumettre à l’accord de la DSI ou du service informatique toute intégration d’une nouvelle application Cloud dans le système d’information de l’entreprise.
• Fixer et respecter des règles strictes d’authentification forte, en particulier dans les processus sensibles, comme les paiements, la confidentialité des clients ou l’innovation.

En conclusion, si la sécurité du Cloud relève du savoir-faire expert et certifié de professionnels de l’hébergement, la sécurité dans le Cloud nécessite la vigilance de tous les acteurs, utilisateurs compris.
Le Cloud n’est pas un totem d’immunité ! Il appartient à chaque entreprise de prendre en main sa sécurité, à tout le moins de ne pas la hasarder sans contrôle. Lisons les contrats, contrôlons les clauses les plus critiques, challengeons les dispositifs de sécurité garantis par nos partenaires.

¹Markess by exaegis – 2020
²Garantie par l’American Institute of Certified Public Accountants
³Centrée sur la prévention des risques
⁴Existence ou non de doublons et localisation de ces doublons. Si l’un des composants est défaillant, un autre prend le relai