SLA ratés et autres erreurs de sécurité pour les services Cloud

Mal ficeler les accords de niveau de service (SLA), partir du principe que le Cloud, c’est mal et que tout contrôle sera perdu dès qu’il sera adopté, font partie des erreurs que les entreprises devraient essayer d’éviter lorsqu’elles se penchent sur la question de la sécurité des services de Cloud Computing.

Eugene Schultz, directeur technique d’Emagined Security, une entreprise de conseil installée à San Carlos, en Californie, faisait le point, début juin, à l’occasion du salon Cornerstones of Trust, qui se déroulait à Foster City, sur les erreurs courantes en matière de sécurité du Cloud Computing. Cornerstones of Trust est un événement annuel organisé par l’association des RSSI de la Silicon Valley et de San Francisco, ainsi que San Francisco Bay Area InfraGuard. 

Selon Schultz, la liste des leçons à retirer du Cloud Computing n’est pas bien longue. Mais son entreprise a eu l’occasion de constater quelques erreurs courantes. A commencer par la prise en considération trop superficielle des SLA conclus avec les fournisseurs de services Cloud.

«Pour obtenir le niveau de maîtrise des risques voulu, vous devez intégrer les éléments de contrôle correspondants au SLA, explique-t-il. Tout cela doit être écrit noir sur blanc.»

Par exemple, si le SLA prévoit de la détection d’intrusion, il devrait détailler la fréquence des alertes et le niveau de supervision. Le SLA devrait également prévoir des audits pour garantir la surveillance adéquate du fournisseur de services.

Pour Eugene Schultz, une autre erreur courante consiste à surestimer la capacité du fournisseur de services Cloud à assurer la sécurité des données : le seul remède, selon lui, c’est le SLA et des dispositions prévoyant protection des données et compensations financières en cas de pertes de données.

Mais l’une des pires erreurs que puisse faire une entreprise, selon lui, c’est de partir du principe que le Cloud n’est pas une bonne chose : alors que le Cloud Computing peut être à juste titre critiqué pour son manque de maturité, certains fournisseurs sortent clairement du lot. Et les mauvais mettent la clé sous la porte. «Regardez donc votre propre DSI : elle ne fonctionne jamais aussi bien qu’elle le devrait. Vous devriez bien être capable de trouver un fournisseur qui exploite mieux ses services IT», lance Eugene Schultz.

Et pour lui, les entreprises ne devraient pas considérer que migrer vers le Cloud implique obligatoirement un niveau de sécurité moins bon : «certains fournisseurs de services Cloud fournissent aujourd’hui des services de gestion du risque bien meilleurs que [ceux que l’on pouvait avoir dans les entreprises] par le passé.»

Qui plus est, les organisations ne devraient pas craindre de perdre tout contrôle sur la maîtrise du risque en passant au Cloud : «il faut voir l’environnement Cloud comme une extension de l’infrastructure IT interne. Et il y a de nombreux contrôles que vous pouvez mettre en place.»

Et Schultz de relever quelques erreurs supplémentaires :

  • sous-estimer les questions légales liées au Cloud Computing;
  • considérer que la transition vers le Cloud sera facile. Par exemple, une entreprise utilisant des mécanismes d’authentification à partir de certificats peut découvrir que son fournisseur de services Cloud ne les supporte pas...
  • ne pas accorder assez d’importance à la fédération d’identités. Selon Schultz, les entreprises devraient prévoir de renforcer l’authentification et l’autorisation d’accès à leurs services Cloud en s’appuyant sur une solution de fédération d’identités.
  • ignorer les problèmes de réaction aux incidents liés à leurs services Cloud.

«Que cela vous plaise ou non, vous utiliserez des services Cloud », a lancé Eugene Schultz à son auditoire. «Les organisations y ont de plus en plus recours.» 

A l’issue de la présentation du consultant, Justin Drain, responsable sécurité des données de la Fremont Bank, a reconnu que le Cloud Computing représente un avenir certain : «tout le monde cherche à faire des économies. Et si je ne comprends pas les questions de sécurité que pose le Cloud Computing, je ne fais pas mon boulot.»

Par Marcia Savage, rédacteur, SearchSecurity.com

Adapté de l'anglais par la rédaction

Pour approfondir sur Cloud