Embed Size (px)
Citation preview
E M C P E r s P E C t i v E :
CRÉER UN CLOUD SÉCURISÉ : STRATÉGIES DE DÉPLOIEMENT DES CLOUDS PRIVÉS ET HYBRIDES Les avantages métiers du cloud computing, très importants, sont à portée de main, mais de nombreuses entreprises hésitent encore à passer au cloud, pour des raisons de sécurité. Ce rapport met en exergue les exigences en matière de sécurité et les différentes méthodes qui permettent d’y répondre tout en facilitant la transition vers le cloud. Il s’adresse aux dirigeants, notamment aux directeurs informatiques, qui connaissent les bases et les avantages du cloud computing et souhaitent guider leur entreprise vers le cloud, de manière pertinente et responsable.
2
iNtrODUCtiONLe cloud computing représente la dernière révolution en matière de technologie de l’information. Cette technologie propose des services informatiques transparents aux entreprises, qui leur permettent d’optimiser leur agilité et leur productivité. Elle vise à accélérer la mise sur le marché de nouveaux produits et services, en optimisant l’efficacité et l’utilisation des ressources. De plus, elle propose aux professionnels un accès direct à des ressources informatiques puissantes. De ce fait, elle transforme le modèle informatique, axé sur l’exploitation d’un capital, en modèle de facturation progressif. En optimisant la distribution et la gestion des applications et d’autres ressources via un cloud hybride, les entreprises peuvent réduire leurs dépenses informatiques de 25 %, voire plus !
Pourtant, malgré ces avantages attractifs, de nombreuses entreprises hésitent à adopter le cloud computing. Le plus souvent, les raisons de cette hésitation tournent autour de la sécurité et de la gestion de la conformité. Ainsi, d’après le rapport Gartner de 2009 sur les barrières à l’adoption du cloud, les six principales raisons à cette réticence tournaient autour de la sécurité3. Les sources d’inquiétude principales des entreprises concernaient aussi bien la protection des secrets industriels critiques que le respect des obligations légales et la protection des données personnelles. Bien entendu, les entreprises et départements informatiques actuels sont confrontés aux mêmes problèmes. Cependant, ces derniers se manifestent différemment suite au passage au cloud. De ce fait, les entreprises doivent faire face et modifier leurs stratégies de déploiement de cloud en conséquence.
Les recherches conduites par McKinsey & Company dans le cadre du présent rapport permettent de tirer quatre conclusions principales :
•Lesproblèmesdesécuriténedoiventplusêtreunfreinàl’adoptionducloud.Laplupartdes objections soulevées sont exagérées, voire obsolètes, étant donné les progrès actuels des technologies de gestion des clouds.
•Ainsi,denombreuxcloudsprivésouhybridessontactuellementaussisécurisés,voireplus sûrs que les environnements informatiques traditionnels. Par contre, les clouds publics continuent de présenter des failles matérielles compromettant les données sensibles et les applications critiques.
•L’entreprisepeutoptimiserlesavantagesmétiersenidentifiantladestinationlapluséconomique et la plus sécurisée pour chaque charge de travail individuelle (ensemble d’applications associées et ses données, par exemple).
•C’estlecloudhybridequiproposeleplusdeflexibilitéetd’avantages,enfindecompte.Cela dit, le cloud privé constitue l’étape la plus naturelle pour débuter ; c’est une destination par défaut raisonnable pour la plupart des charges de travail.
3
Actuellement, il existe des solutions permettant de mettre en place un cloud fiable. Les services de cloud public sont suffisamment sécurisés pour certaines charges de travail. Le déploiement de clouds privés permet aux entreprises de bénéficier des performances et de l’agilité du cloud, tout en améliorant leur visibilité et leur contrôle sur les opérations. Qui plus est, grâce au cloud hybride, les entreprises peuvent exploiter une gamme toujours plus étendue d’applications et de services de cloud public et ce, tout en protégeant les ressources sensibles.
Pour bénéficier des avantages métiers proposés par des clouds fiables, vous devez commencer par effectuer quatre étapes :
•Comprendrelesexigencesdel’environnementinformatiqueentermesdesécurité.
•Comprendrelesprofilsdesécuritédesoptionsdedéploiementducloud:cloudpublic,privé ou hybride.
•Évaluerleschargesdetravailindividuellesetmapperchacunesursadestinationla plus adaptée.
•Passeràl’action,tantauniveautechnologiquequ’àceluidel’entreprise,afind’améliorerla fiabilité générale de l’environnement informatique.
EMC®, VMware® et leurs partenaires s’engagent à proposer une transition sécurisée vers le cloud computing à leurs clients. Dans le présent rapport, nous expliquerons en détail les quatre étapes indiquées ci-dessus. Nous allons vous donner des conseils sur la gestion des problèmes de sécurité au sein du cloud et mettre en avant les solutions requises et disponibles pour répondre aux préoccupations des professionnels de l’informatique et de la gestion des risques. Nous attendons les discussions et innovations à venir avec impatience.
DÉFiNitiONs DU tErME CLOUDLe terme « cloud » est associé à plusieurs définitions et modèles de déploiement :
Les ressources sont la propriété du fournisseur de services, qui les gère et les partage entre plusieurs clients. Les économies d’échelle peuvent être élevées et les coûts, réduits, mais pour l’entreprise la transparence et le contrôle peuvent être faibles. Variation de ce modèle : le cloud communautaire, version de cloud public incluant uniquement les membres de plusieurs entreprises. Ce cloud est centré sur un processus métier commun (pour une utilisation par un groupe d’achats, par exemple).
Les ressources sont la propriété de l’entreprise, qui les gère et les partage. L’entreprise bénéficie d’économies d’échelle et de coûts avantageux (même s’ils ne sont pas comparables à ceux d’un cloud public). Elle peut également profiter d’une transparence et d’un contrôle plus développés. Les ressources d’un cloud privé se trouvent généralement sur site. Cependant, un cloud privé externe peut être exploité par un service externe et proposer une grande transparence et un contrôle élevé, notamment sur l’emplacement et l’isolation des ressources.
Il s’agit d’une combinaison de cloud privé et de cloud public. Actuellement, la plupart des applications sont exécutées dans un type de cloud ou dans un autre. Pour les combinaisons plus complexes, les données sélectionnées transitent entre les clouds, par exemple lorsqu’une application de gestion de la relation client d’un cloud public partage des données avec des applications financières d’un cloud privé. Parfois, la partie publique du cloud hybride joue le rôle d’extension à la demande de l’infrastructure informatique de stockage, afin de lui permettre de gérer les pics des charges ou de volumes de transactions.
Cloud public
Cloud privé
Cloud hybride
4
EXiGENCEs D’UN ENvirONNEMENt sÉCUrisÉQu’il soit basé sur un cloud ou non, un environnement informatique doit répondre à six exigences pour pouvoir être considéré comme sécurisé. Ces exigences ne s’excluent pas mutuellement. Ainsi, la protection des informations personnellement identifiables relève de la gestion de la vie privée et de l’obligation légale. C’est également une source potentielle de risques et d’exposition. Cependant, l’examen attentif de chacune de ces six exigences donne lieu à différentes perspectives.
Conformité
L’entreprise est à même de répondre à des exigences spécifiques, tant contractuelles que légales, par exemple la gouvernance de la gestion et, dans certains cas, l’emplacement physique des informations. De plus, elle peut répondre à des normes et des règles industrielles (GAAP, ISO, etc.). L’environnement informatique répond également aux exigences de contrats de niveau de service (SLA) et de performances des entités et de leurs clients. Leurs besoins sont rendus plus complexes par la diversité des exigences et des juridictions légales, ainsi que la nécessité d’évaluer et de prouver la conformité à ces exigences (même si l’entreprise obtient une conformité de facto).
Gouvernance
Elle implique la surveillance et le reporting sur l’environnement informatique, ainsi que l’application des règles, des procédures et du contrôle des règles, mais également la définition des règles, responsabilités et droits décisionnaires des utilisateurs et des gestionnaires des ressources informatiques. C’est l’aspect humain qui complique la gouvernance. Aucune structure ni aucun ensemble de commandes associé ne peuvent empêcher une mauvaise utilisation (frauduleuse ou involontaire) des informations et des ressources. Pour une gouvernance efficace, il est nécessaire d’obtenir une meilleure visibilité sur la gestion de l’environnement informatique et de s’assurer que les employés sont correctement formés et l’utilisent de manière responsable. Qui plus est, la gouvernance doit évoluer en même temps que les outils de gestion du cloud (qui fournissent des fonctions et une transparence toujours plus développées) et que l’entreprise, qui est de plus en plus à même d’exploiter les technologies de l’information.
Gestion des risques
Les risques associés à n’importe quel type d’environnement informatique incluent aussi bien les menaces directes (intrusions, piratage, etc.) que l’interruption de l’activité (par exemple, lorsque les systèmes de l’entreprise ou du réseau des partenaires métiers ne fonctionnent plus) ou l’exposition dérivée (par exemple, les répercussions d’un vol ou d’une perte d’informations, au niveau légal, financier ou de l’image de l’entreprise). Les clouds incluent les dépendances externes dans l’évaluation des risques. Cependant, il convient de noter que ces dernières ne sont pas nécessairement plus importantes ou plus difficiles à gérer : il s’agit d’un risque d’un autre ordre. Les entreprises adoptant le cloud doivent évaluer avec soin les performances et la viabilité de leurs fournisseurs. La gestion des risques est rendue plus complexe par un certain nombre de facteurs, notamment des connaissances insuffisantes en matière de cloud computing et les conséquences de cette insuffisance, ainsi qu’une évolution très rapide des technologies.
Disponibilité
Les ressources doivent rester disponibles, afin d’être accessibles, le cas échéant, ou restaurables en cas d’interruption ou de panne. Tous les utilisateurs de l’environnement doivent pouvoir accéder à ces ressources lorsqu’ils en ont besoin. Qui plus est, toutes les ressources informatiques, quelles qu’elles soient (infrastructure, applications, données...), doivent être correctement sauvegardées et faciles à restaurer. Grâce à la virtualisation et à l’architecture cloud, les entreprises peuvent bénéficier d’une disponibilité inégalée. Comme les ressources (données informatiques, stockage...) ne sont plus sur des machines physiques spécifiques, le cloud peut répondre rapidement à toute panne en déplaçant les ressources vers les machines qui sont toujours actives. Cependant, le maintien d’une disponibilité continue est rendu plus complexe par la prolifération des ressources, des utilisateurs et des méthodes d’accès (notamment depuis des périphériques mobiles).
Intégrité
Pour pouvoir garantir l’intégrité des données et autres ressources, il est nécessaire d’appliquer trois degrés de protection. Premièrement : l’accès doit être sécurisé, de sorte que seuls les utilisateurs et systèmes autorisés puissent utiliser des informations et des applications spécifiques. Deuxièmement : les transactions traitées par les systèmes informatiques (par exemple, dans le cadre du transfert de fonds) doivent faire l’objet d’une attestation d’achèvement, même si le réseau ou le système peut présenter des points potentiels de défaillance. Troisièmement : les données elles-mêmes doivent être infalsifiables, dans la mesure du possible, sur la base de la définition et de l’application de paramètres et d’opérations autorisées. Il existe des méthodes et des technologies fiables, qui permettent de garantir l’intégrité des données. Cependant, ce processus est rendu plus complexe lorsque les données se déplacent d’un cloud à l’autre ou que les ressources sont partagées au sein d’un cloud public, également partagé.
Confidentialité/respect de la vie privée
Ces deux termes englobent la protection de la confidentialité d’informations personnellement identifiables (dossiers financiers ou médicaux, par exemple) selon les obligations légales, ainsi que de données commerciales (dossiers financiers, secrets industriels et autres documents de propriété intellectuelle). Cela implique également le respect des attentes des clients et futurs clients, des partenaires commerciaux et des employés pour tout ce qui a trait à l’obtention et à l’utilisation d’informations les concernant, tout particulièrement dans le cas où l’entreprise s’est engagée de manière explicite à cet égard. La confidentialité devient de plus en plus difficile à obtenir, notamment à cause de l’évolution de la législation et des attentes des clients et de la prolifération des réseaux sociaux (Facebook, Twitter, blogs...), qui permettent aux employés comme à d’autres utilisateurs de diffuser des informations. Le cloud computing génère d’autres inquiétudes, car l’entreprise peut ne pas connaître l’emplacement physique des informations. Qui plus est, les informations des concurrents peuvent se trouver sur les mêmes machines physiques.
Conformité
Gouvernance
Gestion des risquesDisponibilité
Intégrité
Confidentialité/respect de la
vie privée
5
OPtiONs DE DÉPLOiEMENt DU CLOUDLe cloud computing propose différentes options de déploiement, qui s’accompagnent chacune d’un profil de sécurité distinct. De ce fait, il ne s’agit pas de s’interroger sur la sécurité du cloud en lui-même, mais sur celle du type de cloud choisi (public, privé ou hybride), ainsi que sur l’adéquation entre ce type et les applications données, ainsi que les informations associées. Lorsque l’on se penche sur la gestion et la sécurité, il convient de prendre en considération certaines variables clés, à savoir :
•Emplacementphysiqueetappartenance:le client ou le fournisseur possède-t-il et gère-t-il lui-même les fonctions, l’infrastructure matérielle et les autres ressources technologiques ? Des ressources supplémentaires peuvent-elles être fournies à la demande ? Il existe des options autres que le cloud privé (et l’environnement hérité, naturellement), à savoir l’utilisation de fonctions hors site, sous le contrôle du fournisseur. La fiabilité du fournisseur et de son processus de gestion est donc essentielle.
•Isolationphysiquedesressources:les serveurs et autres ressources sont-ils isolés ou partagés entre les clients ? Même si leur emplacement physique et leur gestion sont à la charge du fournisseur, les ressources peuvent être réservées pour un client unique ou mises physiquement en commun et provisionnées en tant que ressources virtuelles. La séparation des données et le contrôle sur leur emplacement et leurs déplacements peuvent jouer un rôle critique lors de la mise en conformité avec les obligations légales (par exemple, les lois européennes relatives à la confidentialité).
•Contrôleopérationnel:qui gère les opérations quotidiennes des services du cloud ? Même si le contrôle est partagé ou est principalement géré par le fournisseur, l’entreprise cliente bénéficie-t-elle d’une visibilité et d’une supervision suffisantes pour gérer l’utilisation des services ? De manière plus spécifique, le client peut-il appliquer le contrôle nécessaire sur les niveaux de service, les sauvegardes et restaurations et la gestion des données (notamment leur emplacement et leur suppression) ?
Le tableau suivant illustre chacune des options de déploiement du cloud, selon les trois variables clés que nous venons de voir.
Emplacementphysique
Isolation physique
Contrôledesopérations
Système hérité/sans cloud Sur site Oui Entreprise
Cloud privé Sur site Oui Entreprise
Cloud privé externe Hors site Oui Partagé
Cloud communautaire Hors site Non Partagé
Cloud public Hors site Non Fournisseur
Cloud hybride Combinaison Combinaison Partagé
CLOUD PUbLiCLes questions de sécurité qui restent associées au cloud public sont valables. Certaines d’entre elles portent sur les progrès technologiques du fournisseur. Par exemple, pour tout fournisseur de services de cloud en pleine ascension, la personnalisation constitue un réel défi. D’autres questions concernent la sélection, au sein de l’entreprise, des utilisateurs devant bénéficier de l’autorité suffisante pour acheter des services de cloud public ou devant protéger les données susceptibles d’être envoyées au fournisseur. Certains d’entre eux se trouvent au croisement entre les deux, étant chargés de définir et de mettre en oeuvre les règles, normes et contrôles requis pour obtenir un environnement de cloud réellement interopérable et fiable.
Les normes contractuelles et gouvernementales ne sont toujours pas adaptées au cloud computing. La plupart des réglementations et contrats de service ayant trait à l’informatique reposent sur un emplacement physique des données et autres ressources. Les fournisseurs de cloud public ne sont pas toujours à même de garantir la transparence requise par ces tiers. Parfois, ces fournisseurs sont confrontés à des limitations d’ordre technologique mais, le plus souvent, ils refusent d’exposer l’ensemble de leurs opérations à la vue de tiers. De plus, le marché ne présente aucun agent indépendant et crédible capable d’évaluer un fournisseur de cloud public et de certifier qu’il est à même de gérer les informations et applications les plus sensibles.
6
Cette absence de transparence des fournisseurs et ce manque d’agents de vérification tiers deviennent des problèmes critiques, car les entreprises souhaitent réaliser des économies d’échelle en déplaçant de grandes quantités de données et de processus métiers vers des clouds externes. La coopération entre les fournisseurs et leur transparence ne peuvent que s’améliorer avec les exigences des clients. Or, pour les applications et données les plus exigeantes, les journaux et attestations des fournisseurs peuvent s’avérer insuffisants. Les entreprises seront sans doute désireuses de mettre en oeuvre des outils leur permettant d’observer et d’évaluer attentivement les conditions et activités du cloud. En fin de compte, c’est la vérification objective, et non une attestation, qui deviendra la norme absolue en matière de vérification de la sécurité au sein d’un cloud public.
Pour les plus grandes entreprises (celles qui peuvent s’offrir les solutions métiers les plus élaborées), le cloud public n’est pas encore indispensable pour les applications critiques ou pour celles qui traitent les informations les plus sensibles. Cependant, pour les entreprises plus petites, dont les ressources informatiques sont limitées, les services de cloud public peuvent s’avérer plus efficaces que les applications susceptibles d’êtres déployées en interne, que ce soit en termes de contrôle de la gestion ou de contrôle des fonctions.
CLOUD PrivÉ En matière de conformité, le cloud privé est confronté à un nombre moins important d’exigences que le cloud public, car l’emplacement géographique des données est clairement défini et le contrôle des ressources, sans ambiguïté. Les entreprises peuvent adapter les processus et procédures existants à un environnement plus virtualisé, encourageant davantage le libre-service, la transparence et la gérabilité de l’environnement informatique. Remarque : un cloud privé peut être déployé hors site, dans le cas d’un cloud externe. Cette approche, similaire à l’externalisation vers un datacenter dédié, peut être aussi sécurisée et surveillée que le recours à un cloud privé sur site.
Grâce à une mise en oeuvre efficace et à l’application de meilleures pratiques opérationnelles, le cloud privé peut s’avérer plus fiable et sécurisé que le cloud public et la plupart des environnements informatiques actuels. Dans l’environnement virtualisé et automatisé d’un cloud privé, une sécurité optimisée et un contrôle plus granulaire sur les données et autres ressources peuvent être mis en place de bout en bout. Ainsi, les clouds privés ont la capacité d’offrir les performances et avantages économiques du cloud et ce, de manière sécurisée, facilitant ainsi la gestion de l’informatique et limitant les risques opérationnels.
Un cloud privé peut renforcer la fiabilité de votre système selon trois axes :
•Visibilité: dans un environnement informatique traditionnel, le suivi des performances et de la sécurité dans une infrastructure hétérogène constitue un défi quotidien. Différentes technologies fournissent une visibilité inégalée sur ces opérations, notamment l’hyperviseur, à qui rien n’échappe et qui optimise les opérations d’un cloud privé correctement mis en oeuvre. Grâce à une gestion davantage intégrée dans l’environnement informatique, il est possible de mettre en place des normes, des procédures et un contrôle plus précis, plus faciles à surveiller, à auditer et à appliquer. L’administration et la gouvernance en sont simplifiées et améliorées d’autant.
•Fiabilité: la virtualisation des ressources via une séparation logique autant que physique permet d’optimiser la résistance et la tolérance aux pannes. En cas d’échec en local, les applications peuvent automatiquement migrer vers les ressources voisines qui sont disponibles. Les sauvegardes (ainsi que l’ajustement de degré de redondance) peuvent être plus robustes. De plus, les procédures de restauration sont plus complètes, car l’administrateur a moins souvent besoin de restaurer physiquement les machines (restaurations depuis des bandes, permutations de disques, etc.).
•Protectiondesressources: le fabric de gestion de la sécurité actuellement utilisé dans l’entreprise (pare-feu, chiffrement et mots de passe) peut être étendu dans l’environnement virtualisé. Au cours de la virtualisation des informations, applications et autres ressources, l’entreprise peut imbriquer les règles relatives à leur accès, leur utilisation, leur emplacement et leur gestion. Si elle combine cet effort avec la gestion des identités et autorisations associées aux individus, l’entreprise bénéficie d’une protection plus granulaire, plus précise, plus transparente et plus facile à gérer. Elle peut ainsi étendre davantage de procédures de contrôle de la sécurité sur un plus grand nombre de ressources. Suite à cela, elle peut plus facilement respecter les réglementations et faire la preuve de cette conformité.
7
En un mot, le cloud privé s’avère la meilleure option de déploiement pour tous ceux qui souhaitent bénéficier de systèmes plus sécurisés. Grâce à lui, les entreprises ont la garantie d’un degré de fiabilité supérieur à ce qui est actuellement possible dans les environnements informatiques traditionnels. Il s’agit là d’une destination par défaut raisonnable pour les applications de tout type.
CLOUD hybriDE Le cloud hybride combine les fonctions d’un cloud privé et d’un cloud public. Il permet aux entreprises de tirer le meilleur parti de chaque type de cloud. Actuellement, l’environnement informatique le plus flexible et le plus économique inclut une fédération de clouds privés et publics : certaines applications sont exécutées dans ces derniers, tandis que les applications critiques et celles qui gèrent les informations les plus sensibles s’exécutent sur le cloud privé. Enfin, certaines applications utilisent à la fois des services de cloud privé et des services de cloud public.
Les charges de travail se répartissent de deux manières principales entre le cloud public et le cloud privé : lorsque les données se déplacent entre une application d’un cloud public et les bases de données et applications d’un cloud privé, et lorsque les serveurs et le stockage d’un cloud public jouent le rôle de suppléments à la demande pour les ressources de cloud privé, en cas de pic d’utilisation. L’entreprise doit étudier et aborder avec soin la gestion de ces échanges entre clouds, qui ajoute à la complexité existante.
Nous pensons que la clé est l’environnement hybride et que les déploiements hybrides constituent une solution viable pour la plupart des entreprises actuelles. Cela dit, le cloud privé représente la première étape logique pour toute transition vers le cloud computing, car il propose la meilleure adéquation entre une sécurité efficace et des performances élevées. Actuellement, le cloud public peut être utilisé pour certaines applications, mais l’évolution constante des fonctions et de la fiabilité des solutions pourrait permettre un élargissement du nombre d’applications susceptibles d’y avoir recours.
ANALysE DEs DONNÉEs Et DEs ChArGEs DE trAvAiL Il existe deux types principaux de charge de travail : une application métier ou un ensemble d’applications associées et leurs données, ou un service de technologie commun, tel qu'un espace de communication ou une messagerie. Chaque entreprise doit déterminer quelle charge de travail individuelle est la plus adaptée pour le cloud computing et quel type de cloud doit être déployé, le cas échéant. Il est donc nécessaire de se pencher sur trois critères :
•Économique: les avantages financiers du cloud sont-ils incomparables ?
•Fonctionnel: dans un environnement de cloud, la charge de travail peut-elle fonctionner aussi bien, voire mieux que dans son environnement actuel ?
•Sécurité: le déploiement du cloud répond-il aux exigences de la charge de travail en termes de sécurité ?
Le degré de risque et de sensibilité des données traitées dépend de leur type et de la protection qui leur est associée. D’un point de vue juridique, les données personnellement identifiables sont extrêmement sensibles. Quant aux secrets industriels, ils doivent impérativement être protégés si l’entreprise veut s’assurer une réussite tant stratégique qu’économique. Une entreprise de médias peut mettre l’accent principal sur sa capacité à distribuer du contenu tout en appliquant une gestion efficace des droits numériques, alors qu’un groupe financier sera davantage confronté à la nécessité de respecter des obligations légales concernant la conservation des enregistrements et des communications.
Avant de faire transiter des charges de travail vers un cloud, l’entreprise doit évaluer la capacité de chaque type de cloud à protéger ses données, tout particulièrement si ces dernières sont déplacées d’une plate-forme à une autre dans un cloud hybride. Nous vous recommandons de prêter attention à 5 types d’informations sensibles :
•Les informations métiers confidentielles, qui incluent aussi bien les secrets industriels que les dossiers financiers et les données opérationnelles et commerciales. La plupart des données sont gérées par des systèmes de transaction.
8
•Les éléments de propriété intellectuelle publiés, comme les copyrights, les brevets et les marques commerciales (ces éléments sont connus du public mais doivent malgré tout faire l’objet d’une surveillance et d’une protection étroites). La plupart de ces données se trouvent généralement dans des systèmes d’ingénierie et de gestion des documents.
• Les informations réglementées, qui incluent les données des clients (tout particulièrement dans le cas des entreprises financières ou médicales), des employés, des rapports financiers et des interactions avec le gouvernement. La plupart de ces informations sont gérées par des systèmes informatiques spécialisés.
•Les communications pouvant avoir une valeur légale, comme les e-mails, les mémos et autres documents associés à une période de conservation obligatoire, légale ou locale.
•Les données informatiques en rapport avec l’accès aux systèmes, ainsi que leur activité et leur sécurité, ou associées à l’identité individuelle des utilisateurs, les autorisations et l’authentification, voire liées à des règles ou des stratégies, ainsi qu’à leur application.
Certaines charges de travail ne pourront pas être exécutées sur le cloud public pour des raisons de conformité ou de gouvernance, entre autres. Les charges de travail présentant des exigences moins élevées en matière de sécurité, naturellement plus flexibles, pourront plus facilement être exécutées au sein d’un cloud public.
D’un point de vue général, les clouds publics peuvent héberger toute charge de travail très utilisée mais non différenciée, pour laquelle un pourcentage de disponibilité inférieur à 100 est acceptable (messagerie, espaces de collaboration et environnements de test et d’expérimentation, par exemple). En revanche, la plupart des applications métiers les plus importantes (notamment celles qui sont précisément adaptées aux besoins des clients, ou qui sont étroitement intégrées dans d’autres applications, ou encore qui doivent respecter des contrats de niveau de service critiques) seront hébergées par des clouds privés. Parallèlement à cela, les charges de travail d’applications commerciales (comme le commerce électronique) peuvent avoir besoin d’un cloud privé externe pour s’adapter rapidement aux pics de demandes. À l’inverse, des charges de travail hautement spécialisées ou affinées (systèmes de contrôle des opérations, par exemple) devront rester dans l’environnement hérité.
Cependant, il s’agit là d’un tableau très général. Bien entendu, il existe de nombreuses variations ; chaque entreprise doit évaluer avec soin ses propres charges de travail. Vous trouverez ci-dessous une carte des exigences en matière de sécurité à appliquer aux charges de travail d’une entreprise, qui indique de quelle manière ces exigences déterminent les charges de travail à déployer dans le cloud.
9
sOLUtiONs À ADOPtEr POUr UN CLOUD sÉCUrisÉLes entreprises optant pour le cloud peuvent mettre en place leurs propres actions pour gérer chacune des six exigences détaillées ci-dessus. Dans chaque cas, ces actions sont d’ordre technologique comme organisationnel. Associées les unes aux autres, elles contribuent à créer une solution complète, qui renforce la fiabilité du déploiement du cloud.
Conformité
Évaluezavecsoinlesexigencesexternesconcernantlestypesdedonnées, charges de travail et juridictions, puis documentez-les. Ensuite, mettez ces exigences (légales, sectorielles, contractuelles...) en oeuvre via des processus de gestion et dans le code, afin de garantir cette application, ainsi que son illustration. Surveillez de près l’évolution des exigences, notamment lorsqu’elles portent tout particulièrement sur le cloud.
Gouvernance
Surveillez les opérations du cloud, notamment les règles et stratégies associées à la sécurité, ainsi que leur application. Attribuez des responsabilités explicites et formez votre personnel au libre-service, en lui expliquant comment utiliser efficacement les services du cloud. Développez une culture d’entreprise reposant sur un partage responsable des informations.
Gestion des risques
Évaluezlaviabilitédesfournisseursdeservicesdecloudsurlelongterme, ainsi que leur aptitude à répondre rapidement aux évolutions des standards du secteur et normes légales. Déterminez l’efficacité de leurs procédures de gestion et de surveillance des risques et assurez-vous que l’entreprise du client peut garantir une visibilité suffisante, via des outils d’audit et des journaux. Adoptez des normes permettant une meilleure portabilité et empêchant la dépendance vis-à-vis de fournisseurs spécifiques.
Disponibilité
Assurez-vous que le déploiement du cloud intègre des méthodes robustes en matière de résilience et de restauration, incluant un basculement entre sites transparent et des systèmes de reprise secondaire disponibles en cas de panne complète du système. Enfin, vérifiez que la solution de cloud est suffisamment évolutive et performante.
Intégrité
Ayez recours au chiffrement des données, au contrôle des accès et à différentes méthodes garantissant l’achèvement et la non-répudiation des transactions. Lorsque vous le pouvez, intégrez les règles relatives à l’accès et à l’utilisation dans des Datasets sensibles. Soyez particulièrement attentif à la sécurité et à la transparence des opérations dans les environnements partagés.
Confidentialité/respect de la vie privée
Pour limiter l’accès aux informations aux seules parties autorisées, vous devez mettre en place des procédures efficaces de gestion des identités, de contrôle des mots de passe et des identifiants, d’authentification physique et logique et de contrôle sur les déplacements de données entre les systèmes. Le cas échéant, vérifiez que les données sont bien isolées de manière physique. Appliquez une méthode de gestion des données axée sur le cycle de vie, intégrant la destruction adéquate des données, en temps voulu.
10
PrÉsENtAtiON DEs sOLUtiONs CONtribUANt À LA FiAbiLitÉ DU CLOUD
Vous pouvez penser qu’il existe une pléthore de méthodes, toutes plus complexes les unes que les autres. Pourtant, le marché présente actuellement toute une gamme de solutions, qui répondent aux différentes exigences actuelles en matière de sécurité et évoluent continuellement. Certaines d’entre elles sont vendues sous la forme d’offres et d’outils groupés. Notamment :
•dessolutionsdegestiondesidentitésetdesaccèsdanslesenvironnementsdecloud;
•desoutilsd’évaluationdesperformancesenfonctiondecontratsdeniveaudeservice,qui nécessitent des communications et un suivi constants ;
•desoutilsdepréventiondespertesdedonnées,quiclassentetlimitentautomatiquementles types d’accès aux informations ;
11
•desoutilsdesécuritégérantlesmotsdepasse,l’authentificationetlajournalisationavancée, ainsi que les rapports et tableaux de bord associés ;
•desoutilsdemiseenconformité,quipermettentauxentreprisesdegérerlecycledeviedes stratégies et des objectifs de l’entreprise, d’analyser et de gérer les risques, et de prouver le respect de la conformité.
Pour tous ces exemples, il existe des solutions sur le marché, à la fois disponibles et robustes. Cependant, ces solutions doivent être intégrées dans un fabric de sécurité transparent, au sein d’un cloud hybride.
LA trANsitiON vErs LE CLOUDLe passage au cloud ne se fait pas en une seule fois, via une simple mise en oeuvre. La consolidation et la virtualisation des technologies, associées à l’automatisation de la gestion qui en découle, surviennent au début de la transition et proposent dès le début de nombreux avantages. Cependant, la migration des charges de travail vers les clouds publics et privés s’effectue de manière progressive, au fur et à mesure que ces charges et leurs destinations sont prêtes à subir cette transition. Les employés doivent apprendre à changer leurs méthodes de travail, de collaboration et d’exploitation des informations et des applications. Tout comme les économies financières, les performances métiers et le développement de l’agilité de l’entreprise vont croître et s’étendre.
Voyons à présent les différentes étapes de la transition vers un cloud sécurisé :
•Compréhensiondesexigencesdel’environnementinformatiqueenmatièredesécurité,ainsi que des profils de sécurité des options de cloud possibles.
•Identificationdeschargesdetravailsusceptiblesd’êtremigréesverslecloud,surlabasede la nature des données et de leur flux, principalement.
•Évaluationdesavantageséconomiquesassociésaudéplacementdechaquechargedetravail vers le cloud, ainsi que des options de cloud possibles.
•Évaluationdelafaisabilitéfonctionnelleetdesavantagesassociésaudéplacementdechaque charge de travail vers le cloud, ainsi que des options de cloud possibles.
•Évaluationdelafaisabilitérelativeàlasécuritéetdesavantagesassociésaudéplacementde chaque charge de travail vers le cloud, ainsi que des options de cloud possibles.
•Mappagedeschargesdetravailàdéplacerverslesoptionsducloud,développementd’une représentation composite et évaluation des implications et avantages globaux.
•Évaluationdelapréparationdel’entrepriseaucloudcomputingetdéveloppementd’unorganigramme de la procédure à suivre (depuis la technologie et l’automatisation vers les modifications à apporter aux processus et la formation du personnel, en passant par la migration des charges de travail vers les destinations du cloud), sous l’égide d’une structure de gouvernance clairement définie.
•Auvudel’évolutiondesservicesdecloudetdestechnologiessous-jacentes,ilnefautpashésiter à réévaluer continuellement les destinations et déploiements de cloud combinés.
La société EMC est particulièrement bien placée pour aider les entreprises à effectuer la transition vers le cloud. Il s’agit d’un partenaire logique pour toute entreprise allant en ce sens. Chez EMC, nous stockons et protégeons les données critiques d’entreprises majeures du marché depuis de très nombreuses années. C’est pour cela que nous sommes des spécialistes de l’infrastructure informatique. « Where information lives », là où se trouve l’information : c’est là que nous nous trouvons. Notre branche VMware est un fournisseur hors pair de solutions d’hyperviseur et gère le contenu et les limitations des machines virtuelles. Depuis des décennies, notre branche RSA est synonyme de sécurité. L’alliance VCE (Virtual Computing Environment) avec Cisco nous permet de proposer toute une gamme d’offres intégrées. Par ailleurs, EMC Consulting développe et propose des processus et systèmes de gestion visant à évaluer et à établir un environnement de cloud productif et sécurisé.
LA SÉCURITÉ AVANT TOUT
Le produit RSA Solution for Cloud Security and Compliance assure la gestion et la mise en oeuvre de la sécurité VMware sur la base de règles, ainsi que l’évaluation de la conformité et de la sécurité, la correction des problèmes et le reporting. Tout cela est possible depuis une seule et même console. Cette solution repose sur la plate-forme RSA Archer eGRC et offre les avantages suivants :
• elleproposeauxentreprisesuncontrôleetune visibilité étendus lors de la sécurisation de l’infrastructure de leurs clouds privés ;
• elleévaluelaconformitéparrapportauxrègles de sécurité et aux réglementations (PCI, HIPAA, etc.) ;
• ellecombinelesrapportssurl’étatdeconformitéde l’infrastructure tant virtuelle que physique ;
• ellesimplifielesprocessusetréduitlescoûtsassociés à la gestion des procédures de conformité de la sécurité.
Grâce à la solution RSA Solution for Cloud Security and Compliance, les entreprises peuvent contrôler la sécurité et la conformité de leurs infrastructures virtuelles et physiques, sur lesquelles reposera le cloud computing.
EMC2, EMC, RSA, le logo EMC, le logo RSA et « where information lives » sont des marques déposées ou des marques commerciales d’EMCCorporationauxÉtats-Unisetdansd’autrespays.VMwareestunemarquedéposéedeVMware,Inc.auxÉtats-Uniset/oudansd’autres juridictions. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteurs respectifs. © Copyright 2010 EMC Corporation. Tous droits réservés. 12/10 Livre blanc H8558
EMC Computer Systems France river Ouest80 quai voltaireCs 2100295876 bezons Cedextél. : +33 1 39 96 90 00Fax : +33 1 39 96 99 99www.emc2.fr
NOUs CONtACtErPour en savoir plus sur la façon dont les services EMC Consulting peuvent vous aider à résoudre vos problèmes informatiques et métiers, contactez un responsable de compte EMC Consulting ou consultez le site www.emc2.fr/consulting.
Cela fait bien longtemps que nous développons des produits et services destinés aux entreprises, qui leur permettent de résoudre des problèmes complexes, aussi bien informatiques que coeur de métier. Actuellement, nous proposons des solutions pour chaque couche du cloud. Nous favorisons le développement en continu, afin de pouvoir proposer toujours plus de produits et de services leaders sur le marché.
1 Gartner Group, Top Six cloud-Computing Adoption Inhibitors, mai 2009.
