L’un des principaux freins à l’adoption du cloud réside dans les craintes eu égard à la sécurité, notamment celles liées à la confidentialité des données. Dans certains secteurs d’activité, les réglementations ont également apporté plus de complexité concernant son utilisation. La perception des acteurs économiques luxembourgeois a cependant évolué grâce aux garanties de sécurité offertes par les plateformes et aux lignes directrices imposées aux professionnels de l’ICT. Si le cloud permet de mieux mitiger ces risques, le recours à de telles technologies induit toutefois de nouveaux défis, qu’il faut pouvoir bien appréhender.

« Aujourd’hui, les organisations ne se demandent plus s’il est opportun ou non d’aller vers le cloud. La plupart n’ont guère d’autre choix que d’y recourir, pour bénéficier des nombreux avantages qu’offrent les plateformes : une flexibilité accrue, une gestion dynamique des coûts, l’accès à des technologies de pointe… résume Cédric Mauny, Strategic Advisor, Cybersecurity au sein de Telindus. Toutefois, le chemin de migration vers le cloud doit être correctement balisé, notamment pour garantir la sécurité, la continuité et la préservation de la confidentialité au départ du nouvel environnement déployé. »

Adopter le cloud de manière responsable

Le recours au cloud n’est pas exempt de risques. En outre, ce n’est pas parce que les données sont hébergées dans le cloud que le risque de fuite d’information, de ransomware ou de suppression des données par des utilisateurs ou des acteurs malveillants disparait. « Le recours au cloud n’exonère pas la responsabilité de l’entreprise vis-à-vis de la sécurité et de la confidentialité des données dont elle est dispose et qu’elle gère, poursuit Cédric Mauny. Quelle que soit la plateforme cloud privilégiée, l’entreprise doit mener une due diligence adaptée, sur base des risques auxquels elle est exposée et doit mettre en place les éléments permettant de les traiter à un niveau adapté par rapport à ses besoin métiers, ses engagements contractuels, la nature de ses données ainsi que la législation applicable. »

Maîtriser les risques associés au cloud

En recourant à une plateforme externe, l’organisation peut profiter des mesures mises en place par les opérateurs pour ce qui est de la gestion et de la maintenance des infrastructures.

Les grands acteurs du cloud investissent massivement pour garantir la sécurité des plateformes et ressources qu’ils mettent à disposition. Souvent, l’organisation n’a plus à se soucier des enjeux de sécurité opérationnelle liés à l’infrastructure : la mise à jour des serveurs, le patching, la sécurité physique des éléments… « De nouveaux risques doivent cependant être appréhendés. On peut désormais évoquer le classique « vendor lock-in », autrement dit la situation dans laquelle l’organisation devient fortement dépendante – à tel point qu’il lui devient difficile et coûteux de changer de fournisseur sans rencontrer d’importants problèmes ou obstacles – et il ne faut pas négliger le risque de perte de contrôle de la gestion des droits d’accès ayant pour conséquence la fuite d’informations, parfois difficilement détectable en amont, poursuit Cédric Mauny.

Par exemple, face au premier risque, le régulateur exige de prévoir une stratégie de sortie pour les organisations adoptant des solutions cloud. La prise de conscience doit également être forte pour les entreprises non régulées et ce, pour l’ensemble des secteurs d’activités. Concernant le second risque, il est important de prévoir des formations permettant une connaissance pointue de toutes les interconnexions en complément d’une revue très fine des droits d’accès, ajoute l’expert.

Adapter sa stratégie de sécurité au cloud

Si le cloud présente l’avantage – pour une entreprise – de ne plus avoir à gérer ses infrastructures sur site, il n’en demeure pas moins important de mettre en place une stratégie de gestion des accès d’authentification des utilisateurs, de sauvegarde ou encore de détection des menaces et de réponse sur incident. « Malgré l’accès à des solutions de sécurité avancées, il est important de veiller à ce que le contrat et la configuration soient conformes à la politique de sécurité de l’entreprise, aux exigences du régulateur et globalement aux risques et attentes de l’entreprise et de ses clients poursuit Cédric Mauny. »

Le cloud en toute confiance

Telindus accompagne les organisations luxembourgeoises, régulées ou non, dans cette démarche d’adoption des solutions cloud en tenant compte des spécificités de chacune. « Au départ d’une analyse des risques, nos équipes aident les organisations à mettre en place l’environnement, la configuration et les solutions de sécurité adaptées à leur politique de sécurité, explique Cédric Mauny. De cette manière, nous pouvons garantir un niveau de confiance dans les solutions cloud et assurer que l’environnement est conforme aux attentes, tant celles du cadre réglementaire luxembourgeois et européen que celles des engagements envers ses parties-prenantes. Le client peut alors se concentrer sur le développement de son activité. »

Une gestion de la sécurité bien accompagnée

Au-delà, les experts de Telindus accompagnent la gestion de la sécurité sur l’ensemble de l’environnement informatique du client, qu’il soit entièrement dans le cloud ou hybride avec une répartition des ressources sur site et dans le cloud. « Nous déployons pour cela un ensemble de solutions et opérons un suivi des alertes et des incidents, pour une détection rapide et une réponse sur incident la plus efficace possible, ajoute Cédric Mauny. Au cœur de cet accompagnement, nous sommes aux côtés du client, pour bien comprendre ses enjeux, le préparer à toute éventualité pour envisager avec lui les meilleures réponses à apporter. »