Les entrepôts de données et les outils analytiques Cloud : une prise de risque ?
Les services Cloud sont devenus une option économique pour les entreprises, mais il convient d’être prudent pour se protéger contre les risques pesant sur les données.
Un nombre grandissant d’entreprises reconnaissent que la BI et l’analytique sont désormais des éléments critiques des technologies des entreprises. Il existe de beaux projets en la matière, où d’importantes sommes ont été investies pour concevoir et développer des infrastructures d’entrepôts de données maisons. D’autres préfèrent des solutions plus simples et meilleur marché pour déployer des services analytiques et de BI.
L’émergence d’entrepôts de données évolutifs et agiles a ainsi simplifié la capacité des entreprises à pouvoir développer et déployer des services analytiques. Les outils d’automatisation ont gagné en popularité, mais certaines entreprises considèrent davantage des plateformes Cloud pour instancier et déployer leurs outils de reporting et d’analyse.
Evaluer le rapport risques / gains
Les entrepôts de données dans le Cloud offrent un certain nombre d’avantages. Ils permettent non seulement de réduire les coûts d’achat et de développement associés aux systèmes maison, mais aussi de diminuer la complexité qui entoure généralement les opérations d’implémentation et d’administration. Cela permet enfin d’atteindre une rentabilité bien plus rapide.
Les spécialistes de la gestion du risque peuvent sembler un peu frileux avec cette approche. Migrer des données critiques vers des plateformes Cloud soulève des questions importantes en matière de risques. Et ce, en plusieurs points :
- Sécurité. Lorsque les données sont stockées sur site, les responsables sécurité peuvent mettre en place et appliquer des politiques de sécurité, pour établir un périmètre dédié qui protège les données derrière le parefeu.
- La protection des données. Dans le cas d’une brèche dans ce périmètre, quelles plateformes sont les plus vulnérables et quelles mesures sont prises pour éviter d’exposer les informations ?
- Perméabilité.Les fournisseurs de Paas déploient souvent une instance unique qui supporte plusieurs applications et correspondent à des jeux de données du même entrepôt de données. A moins d’être sûr que les jeux de données de chaque client sont bien encapsulés – et donc isolés, les données peuvent être « contaminées » par d’autres, en provenance d’environnements d’autres clients – et inversement.
- La conformité. Des questions subsistent également quant à la garantie de la conformité des transactions réalisées dans le Cloud , et du respect des régulations en matière de protection des données. Les entreprises doivent donc s’assurer que rien n’empêche la génération de rapports obligatoires, dans les secteurs des services financiers et de l’assurance par exemple.
- L’accès aux données et continuité d’activité. L’accès aux données ainsi que la disponibilité sont également des éléments importants, lorsqu’on parle de rapports obligatoires et de gestion légale de systèmes, surtout lorsqu’une entreprise est confrontée à des procédures juridiques ou des demandes d’informations. Lors de leur choix du bon prestataire de services Cloud, les entreprises doivent aussi s’assurer que le fournisseur a mis en place des procédures adéquates pour garantir la disponibilité du système en cas de dysfonctionnement ou de perte de données.
Minimiser les risques du Cloud
Avec un nombre de vulnérabilités grandissantes dans les services Cloud, c’est un miracle que les entreprises fassent encore confiance aux fournisseurs de Cloud. Heureusement, les bons fournisseurs ont mis en place des bonnes pratiques en matière de protection des données, d’encapsulation des données et de conformités et sont généralement transparents dans leurs démarches lorsqu’il s’agit de réduire les risques.
Quelques bonnes pratiques :
- Encapsulation. Le fournisseur propose des outils d’authentification et d’autorisation – comme implémenter des règles d’accès par rôle pour les données critiques – pour s’assurer que seuls les utilisateurs disposant des bons identifiants puissent accéder au système.
- Sécurité des systèmes physiques et virtuels. Dans la plupart des cas, le fournisseur détaillera clairement ses pratiques en matière de sécurité, de protection des données, de sauvegarde et d’archivage et de stratégies liées aux environnements virtuels ainsi qu’aux systèmes physiques qui soutiennent ces environnements virtuels.
- Chiffrement. Pour lutter contre l’exposition des données en cas de faille, des méthodes de chiffrement sont utilisées pour empêcher que les données soient accédées, sur site ou pendant leur transfert.
- Certification. Les entreprises doivent également rechercher des fournisseurs qui ont obtenu des certifications notamment en matière de gouvernance interne. Et aussi s’ils sont alignés avec les régulations en place aux US et en Europe.
Evidemment, cette liste n’est pas exhaustive, mais prendre en compte ces critères et en passer au crible d’autres permet de s’installer dans une zone de confort pour vous assurer que le fournisseur réponde aux problèmes spécifiques à l’entreprise.
Traduit et adapté par la rédaction