Il n’est pas (encore) trop tard pour passer à la sécurité à la demande

Posté le 23/10/2018
DISCLAIMER: cet article a plus d'un an et peut ne pas être à jour avec les événements récents ou les informations nouvellement disponibles.

Alors que les entreprises migrent leur informatique dans le cloud, elles hésitent à lui confier leur cybersécurité. A tort, car la sécurité est indispensable à l’agilité.

Les entreprises ont bien compris tous les avantages qu’elles pouvaient tirer du cloud. Mais elles paraissent encore peu sensibilisées aux enjeux liés à la sécurité dans le cloud. « Les défis de la sécurité du cloud proviennent de la confusion régnant autour de la responsabilité partagée entre client et fournisseur », constate Donald Meyer, Directeur marketing Datacenter chez CheckPoint. Cela est d’autant plus vrai que les pirates ne s’en prennent plus uniquement aux données – qui peuvent être assez facilement protégées par un cryptage réalisé par le fournisseur et/ou le client – mais aussi aux ressources de calcul (à des fins de minage du Bitcoin notamment).

 

Selon la société RedLock, des API mal sécurisées et l’absence de surveillance de l’activité des utilisateurs rendent les entreprises vulnérables. De mauvaises configurations qui vont à l’encontre des bonnes pratiques (laisser l’administrateur lancer n’importe quelle application, par exemple) ou des configurations détournées (les compartiments d’Amazon S3 sont par défaut privés, mais parfois rendus accessibles) sont à l’origine de nombreux problèmes. A cela s’ajoutent les nouvelles méthodes de développement agiles (DevOps), dont les tutélaires manquent de connaissances en matière de sécurité.

 

Convaincre les responsables sécurité

 

Il ne s’agit pas ici de remettre en cause le cloud, encore moins la méthodologie DevOps. Les comités exécutifs ont raison d’opter pour le cloud pour profiter de son coût avantageux (paiement à la demande) et de son élasticité, tout comme ils ont raison de privilégier les méthodes agiles de développement pour disposer d’applications modifiables en quasi temps réel et capables de s’adapter instantanément à leurs besoins métiers.

 

Mais face à eux, les RSSI (Responsables sécurité du système d’information) restent souvent plus prudents – il est vrai que ce sont les premiers responsables en cas de piratage, de vol d’informations sensibles – préférant opter pour des solutions de sécurité pérennes, choisies après moult tests d’intrusion et calculs de risque. La cybersécurité doit donc passer à un mode de consommation à la demande, pour pouvoir elle aussi s’adapter aux besoins métiers. Tout comme une puissance de calcul maximale n’est pas nécessaire en permanence, la sécurité doit être adaptable au contexte et à l’évolution de l’application.

 

Pour parvenir à cette cybersécurité élastique, rien ne sert de râler contre le RSSI : il faut au contraire l’intégrer dans le processus de création, pour passer d’une méthodologie DevOps à une méthodologie DevSecOps, et englober la sécurité dès la conception (Security by design). Cette transition vers la sécurité à la demande, qui se concentre sur les risques réels à un instant t, n’aura que des avantages : le maintien d’une nécessaire agilité, mais aussi des dépenses réduites, ce qui transformera le RSSI « d’empêcheur de tourner en rond » en apporteur d’innovations. L’IT à la demande fonctionne, pourquoi pas la cybersécurité ?

 

Lire l’article

 

Pour aller plus loin :

Sécuriser le cloud face aux menaces croissantes,

Le modèle de sécurité de VMware (en anglais).


Categorie: Business, Les Informations

Mots-clés : , ,

Articles similaires

Posté le 13/08/2018 par VMware_France

Transformez votre environnement avec la HCI : construire le socle du Cloud hybride avec VMware vSAN 6.7

L’adoption de la solution HCI de VMware prend de l’ampleur : plus de 14 000 entreprises ont choisi vSAN comme base pour leur infrastructure informatique L’infrastructure hyperconvergée est devenue une alternative extrêmement populaire au stockage externe traditionnel et ce, pour des raisons très simples. Les entreprises souhaitent des environnements compatibles Cloud plus flexibles et ouverts. Elles souhaitent moderniser l’infrastructure […]

4 minute lecture
Posté le 03/01/2019 par VMware_France

La durabilité au cœur de la stratégie de VMware

La  COP 24 clôturée, on peut regretter le peu d’implication des dirigeants occidentaux à mettre en action la limitation du réchauffement climatique. Chez VMware, la Responsabilité Sociale et Environnementale est une préoccupation constante depuis plusieurs années. Notamment depuis 2015, année de rédaction d’un premier rapport détaillant l’impact mondial des opérations de la société et la […]

3 minute lecture
Posté le 13/10/2017 par VMware_France

VMware annonce l’arrivée de vCloud Director 9.0

Nous avons le grand plaisir d’annoncer l’arrivée de VMware vCloud Director 9.0, deuxième version majeure de vCloud Director mise à disposition cette année (la disponibilité générale de vCloud Director 8.20 ayant été lancée en février 2017). En continuant d’investir dans la plate-forme de gestion du Cloud stratégique pour VMware Cloud Provider, VMware propose rapidement trois avantages aux fournisseurs VMware Cloud Provider dans le monde : […]

5 minute lecture

Commentaires

Pas encore de commentaire

Ajouter un commentaire

Your email address will not be published.

*

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy