Le cloud offre de nombreuses opportunités de croissance. Mais le choix des fournisseurs et la sélection des données à migrer ne doivent pas être pris à la légère et dans la précipitation. Différents points doivent être étudiés avec minutie.
#1-Toutes mes applis et données dans le même cloud, je ne mettrai pas
C’est bien connu, il ne faut pas mettre ses œufs dans le même panier. Cette règle de bon sens s’applique aussi au cloud. Selon vos besoins, les spécificités de votre organisation et vos exigences, il est préférable de repartir vos données et solutions entre différents fournisseurs.
Commencez par définir la valeur des données et le niveau de sécurité nécessaire.
Si vous souhaitez héberger des informations très sensibles, optez pour une plate forme de confiance (voir notre cinquième commandement).
Si la disponibilité est cruciale pour l’une de vos activités (site de e-commerce), choisissez un fournissant apportant le plus de garanties en termes de redondance et de disponibilités. Réfléchissez également aux bénéfices que vous pourriez tirer d’un CDN.
#2-Les accès à mes données, je renforcerai
Selon un rapport publié par RedLock, une entreprise américaine spécialisée dans la sécurité du cloud, 51 % des entreprises qui utilisent le service de stockage Cloud Amazon Web Services (AWS) S3 ont subi au moins une fuite de données en 2017. De son côté, Proofpoint indique que 24 % des tentatives « suspectes » de connexion ont réussi sur les « centaines de milliers » de comptes SaaS examinés.
Par ailleurs, son étude précise qu’environ 60 % des utilisateurs n’étaient soumis ni à une politique de mots de passe, ni à une procédure d’authentification forte. Résultat, ils partagent des fichiers avec leur compte personnel dont certains sont en accès public.
La mise en place d’une politique de sécurité est donc indispensable. Elle doit intégrer notamment des dispositifs de traçage, des solutions à double authentification, une gestion plus précise des profils par métiers et des formations afin de sensibiliser les collaborateurs aux menaces numériques.
La protection des données doit aussi passer par des sauvegardes régulières et délocalisées afin de prévenir tout risque (incendie, dégâts des eaux, erreur humaine ou acte malveillant, défaillance du fournisseur dans le cloud…).
#3 – Mes sous-traitants, je vérifierai leur conformité avec le RGPD
Exécutoire depuis le 25 mai dernier, le Règlement général sur la protection des données à caractère personnel instaure une coresponsabilité entre l’entreprise et ses prestataires. Dans le cas présent (l’informatique en général et l’hébergement de fichiers en particulier), ce texte oblige chacun des contractants à être en conformité.
Ils doivent assurer la sécurité des informations personnelles qu’ils traitent en mettant en place différents processus organisationnels (registre des traitements, DPO…) et juridiques (clauses spécifiques au RGPD dans tous les contrats…).
Ils doivent aussi déployer des solutions techniques (chiffrement des flux et des données, contrôles des accès, cartographie du SI…).
De manière générale, chaque sous-traitant doit nécessairement présenter des garanties suffisantes pour que le traitement réponde aux exigences de ce texte.
#4 -Tous les frais du cloud, j’analyserai
Les ressources et les services oubliés sont la principale cause d’estimations inexactes des coûts de l’informatique dans le cloud. Le manque de visibilité sur l’utilisation des ressources rend plus délicate la maîtrise des dépenses. C’est la conclusion d’une étude menée auprès de 300 responsables IT par SoftwareONE, un éditeur de logiciels et gestionnaire cloud.
Il est assez simple d’estimer le coût mensuel d’une instance AWS ou d’Azure. Mais les besoins en charge de travail s’étendent généralement bien au-delà d’une seule instance statique.
Les entreprises doivent également tenir compte d’autres coûts, comme ceux associés à la migration des données, aux API… Tout ce que l’on appelle les « coûts cachés ».
#5 -Des fournisseurs de confiance, je m’entourerai
La localisation des données dans les datacenters a toujours était une problématique majeure des DSI et des chefs d’entreprise. Elle prend une dimension supplémentaire avec le RGPD.
Comment être sûr que l’hébergeur qui est à l’autre bout de la planète a bien mis en place toutes les mesures nécessaires pour assurer la sécurité des données personnelles ?
Et même si des géants du web ont décidé d’avoir leurs propres datacenters dans l’hexagone, cette question reste toujours d’actualité avec le Cloud act (« Clarifying Lawful Overseas Use of Data Act »).
Il vise notamment à contraindre les entreprises tech américaines à divulguer des informations personnelles sur leurs utilisateurs dans le cadre d’enquêtes, même lorsque les données ne sont pas stockées sur le territoire américain.
La localisation et la disponibilité sont deux critères déterminants dans la sélection des fournisseurs. Les risques juridiques varient selon les pays, et les garanties sur la protection de données diffèrent dans et hors de l’Union Européenne.
La proximité géographique permet également de minimiser la latence due à l’éloignement dans le réseau. Enfin, il convient de vérifier les certifications et normes obtenues par ces partenaires.
