Le Cloud pour tous, une nouvelle réalité en cybersécurité ? | Stormshield

Dans un monde toujours plus collaboratif et interopérable, l’adoption du cloud computing ne cesse de croître année après année. Et avec les modèles SaaS, IaaS, PaaS, SECaaS, SASE et bien d’autres encore, les offres des prestataires cloud s’adaptent aux évolutions technologiques et légales des entreprises. Souveraineté des données, temps de latence, sécurité des infrastructures, choix d’une infrastructure de cloud public, hybride, ou privé ; de nombreuses questions se posent sur la pertinence de ce modèle. Au travers d’avis d’experts, tour d’horizon des principaux avantages et inconvénients du cloud computing.

Selon l’étude 2021 d’Oreilly ”The cloud in 2021 - Adoption continues”, 90% des entreprises utilisent aujourd’hui le cloud computing. Une adoption particulièrement forte dans l’industrie du logiciel, l’industrie bancaire, le retail ou encore le e-commerce, mais qui semble aujourd’hui concerner tout le monde.

 

L’inexorable adoption du Cloud

Pourtant, en 2018, dans le ”Computing Cloud Report”, 86% des personnes interrogées craignaient les failles de sécurité et autres pertes de données sur les environnements Cloud. Au lendemain d’une adoption forcée du télétravail, ces chiffres semblent bien lointains tant les services dans le cloud semblent avoir été massivement adoptés par les entreprises, passant ainsi d’un mode de travail sédentaire à une organisation hybride entre le lieu de travail et le domicile. Microsoft365, CRM, outils collaboratifs, visioconférence et bureau à distance, la forte adoption de ces outils a permis d’apporter malgré la crise sanitaire, une flexibilité et une agilité dans les organisations.

Piloter une organisation sans l’aide du cloud computing, est-ce encore possible en 2022 ? Difficile à imaginer quand les utilisateurs accèdent désormais facilement depuis chez eux à des services en ligne directement – sans passer par de multiples réseaux et outils de sécurité comme l’analyse Julien Paffumi, Product Portfolio Manager chez Stormshield : « Même si l’utilisation d’un VPN permet le télétravail et la mobilité en accédant aux ressources de l’entreprise, il demande un effort supplémentaire de la part de l’utilisateur. À l’inverse les plateformes cloud, que ce soit un CRM ou un environnement bureautique en SaaS, sont directement disponibles depuis n’importe où, avec n’importe quel terminal. Cette accessibilité facilite leur utilisation et donc leur adoption ». Grâce à cela, les petites entreprises, sans grand historique de données, ont pu basculer rapidement leurs outils dans le cloud. Une adoption facilitée par les confinements successifs, depuis début 2020. Déployables, configurables et joignables depuis n'importe où, les applications SaaS sont en effet aussi pratiques pour les administrateurs comme pour les utilisateurs ; plus besoin de se poser des questions existentielles de softs (serveurs et clients) à déployer ou d’accès distants à ouvrir. Sans parler des politiques tarifaires avantageuses mises en place par les éditeurs de logiciels pour inciter les entreprises à faire la transition. Mais pour les moyennes et grandes entreprises, le basculement n’est pas si simple. Le passage d’une solution on-premise vers une solution cloud a un coût et se doit d’être anticipé. Migration de l’historique de données, formation des utilisateurs, sécurisation de la plateforme et des accès, un projet de cette envergure peut impacter la productivité des salariés et plus généralement la sécurité de l’entreprise. La solution d’une cohabitation entre infrastructure on-premise et infrastructure cloud est alors plus souvent privilégiée.

Dans la suite logique de cette démarche, des secteurs plus fermés, comme celui de l’industrie, font aussi appel au cloud computing. Cette ouverture se fait après une analyse précise des besoins comme l’explique Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield : « Sur les cinq dernières années, nous assistons à une adoption mesurée et au cas par cas du cloud computing dans le secteur de l’industrie. Des réseaux industriels initialement autonomes peuvent aujourd’hui dans certains cas remonter des données à but d’analyse dans des environnements virtuels ». Et pour cause, le traitement de la donnée est aujourd’hui au cœur des besoins et des projets des entreprises de ce secteur. En remontant les données au sein d’un data lake, des modèles algorithmiques permettent de produire des analyses prédictives et prescriptives. Cette remontée des données dans le cloud a permis aux entreprises d’anticiper et prédire des situations de crise. C’est notamment le cas dans les environnements de productions (pour prévenir les pannes et besoins d’approvisionnement, ainsi qu’optimiser la continuité du process), au sein des équipes de ventes (pour visualiser la performance commerciale actuelle et future) ou encore dans les équipes de sécurité (pour analyser et prévenir les cyberattaques). Le secteur de l’industrie se heurte cependant à une limitation technique, celui du temps de latence des infrastructures cloud. Une analyse partagée par Jocelyn Zindy, Directeur Commercial Cybersécurité et Transformation numérique chez Eiffage : « Dans le cas d’utilisation d’applications de contrôle commande, les traitements de données doivent être faits à la milliseconde. Dans ce cas de figure, le modèle du cloud computing laisse plutôt sa place au edge computing, où l’infrastructure de traitement se trouve localement au plus proche de la machine pour ensuite partager ultérieurement les données dans le cloud ». Et les chiffres de l’étude d’IDC en janvier 2022 vont dans ce sens, puisque les dépenses tournées vers l’edge computing ont grimpé de 16% en un an en Europe.

Malgré les nombreux avantages que prodigue le cloud, son adoption demande donc une adaptation des entreprises. Loin de l’image marketing d’une intégration en quelques clics et sans contrainte, adopter le cloud demande une maturité pluridisciplinaire au sein des organisations. Mais quel est le coût de cette adoption ? Pour quels besoins et sur quel périmètre de données ? Et surtout, avec quelles règles de sécurité ? Ces nombreuses questions demandent un effort de communication entre les équipes de production, de la logistique, du marketing, du commerce avec les équipes informatiques et de sécurité. Avec la dominance des GAFA sur le marché de l’hébergement et l’application du Cloud Act, la question de la sécurité de ces données dans des environnements cloud reste une préoccupation pour les entreprises, notamment les organisations européennes.

 

Cloud et cybersécurité, le mariage impossible ?

En raison des enjeux de cybersécurité et de souveraineté des données, la sécurité du stockage des données dans le cloud reste une préoccupation majeure pour les organisations. Car d’après le baromètre de la cybersécurité des entreprises, édition 2022, réalisé par OpinionWay et le CESIN, le cloud est un environnement qui nécessite une protection spécifique. Les répondants au baromètre positionnent ainsi la non-maîtrise de la chaîne de sous-traitance de l'hébergeur (48%) et les difficultés de contrôles des accès par les administrateurs de l'hébergeur (43%) comme les deux principaux facteurs de risques émis en ce qui concerne l'utilisation du cloud. Par ailleurs, plus de 8 RSSI sur 10 interrogés estiment encore que la sécurisation des données stockées dans le cloud requiert des outils spécifiques (86%) et notamment des outils en complément de ceux proposés par le Cloud Provider (63%).

Mais alors, faut-il encore aujourd’hui avoir peur du grand méchant cloud ? La réponse à cette question pourra varier. Là où l’utilisation d’un cloud non souverain est proscrite dans les environnements sensibles (comme ceux des opérateurs de services essentiels et des opérateurs d’importance vitale), les moyennes et grandes entreprises des secteurs traditionnels arbitrent seules la manière dont elles stockent leurs données. Et ce, en deux catégories : celles qui peuvent être partagées dans le cloud et celles qui doivent rester en interne. Selon Jocelyn Zindy, « le cloud est utilisé par les grandes entreprises comme un outil permettant le décloisonnement des données. C'est le point de convergence des données issues des différents systèmes, industriels, de production, de gestion de l'infrastructure, de gestion de la performance énergétique et des systèmes de traçabilité. Cet environnement est alors soumis à des contraintes budgétaires, de performance et de sécurité. » Pour faire face à ces défis, des offres de produits de sécurité dans le cloud ont vu le jour. Sous les acronymes SECaaS (Security As A Service), SASE (Secure Access Service Edge) ou encore FWaaS (Firewall As A Service), ces solutions de sécurité basées dans le cloud permettent d’apporter une souplesse aux équipes de sécurité. En mai 2021, Gartner annonçait ainsi une augmentation de 41% de dépenses des entreprises dans des produits de cybersécurité basés dans le cloud – même si cette tendance semble surtout américaine pour l’instant, l’Europe étant globalement plus prudente.

 

Un cloud souverain est-il réellement possible ?

Une prudence justifiée, car dès lors que ces données transitent dans le cloud, les questions d’intégrité et de confidentialité se posent. D’autant plus lorsque celles-ci sont soumises aux questions de territorialité des législations, principalement américaine et européenne. Et depuis plusieurs années, le besoin d’opérateurs de cloud souverains non soumis à la législation américaine se fait sentir sur le marché européen.

Pour schématiser, cette législation américaine peut contraindre un opérateur d’hébergement à fournir un accès à des données clients sur demande, dans un contexte réglementé. En opposition et dans un objectif de souveraineté numérique, et sous une impulsion franco-allemande, 22 membres ont alors lancé en juin 2020 le projet GAIA-X. Souhaité à l’origine comme un projet de cloud souverain et européen, le projet se voit passer de 22 à 180 membres en novembre de la même année, incluant paradoxalement des acteurs comme Alibaba, Amazon, Microsoft ou encore Google. De quoi mettre à mal la crédibilité du projet… Après le départ (fracassant) en 2021 de deux membres, ce projet est toujours en développement mais se heurte « aux habituels travers bureaucratiques de l’Union européenne » tel que le rapporte le cabinet d’études Forrester. Et ce projet GAIA-X n'est pas le premier du genre, puisque deux projets de cloud souverain français avaient vu le jour en 2012 avec Numergy (une création de Bull et SFR) et Cloudwatt (initié par Orange et Thales). Malheureusement, ces deux projets n’avaient pas trouvé leur marché, revendiquant deux années plus tard un chiffre d’affaires respectivement de 6 millions d’euros et 2 millions ; une poussière face aux milliards de dollars de chiffre d’affaires des GAFAM.

En France, l’ANSSI a instauré dès 2014 un référentiel de prestataires d’offres IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et SaaS (Software as a Service) répondant aux recommandations de sécurité de l’agence, appelé SecNumCloud. Derrière la promesse d’un cloud de confiance, cette certification permet d’associer un haut de niveau de rigueur en termes de cybersécurité à une offre d’un prestataire. « Cette approche SecNumCloud est intéressante, car elle permet de qualifier des solutions cloud avec une haute exigence et ainsi d’apporter de la confiance dans des acteurs cloud français, explique Julien Paffumi. C’est un bon signal envoyé aux entreprises. Grâce à cela, il est possible d’adopter le cloud au travers de prestataires de confiance. » C’est dans la continuité de cette approche que l’acteur d’hébergement 3DS OUTSCALE, acteur qualifié SecNumCloud, a développé une marketplace permettant de promouvoir des solutions d’éditeurs tiers afin de construire un environnement sécurisé, de confiance et intégralement développée en France. Une vraie valeur concurrentielle en somme. Début février 2022, la France (en tant que présidente du Conseil de l'Union européenne) et 12 États membres de l'Union ont annoncé qu'ils prévoyaient d'investir 7 milliards d'euros dans le cloud, à l'occasion d'une conférence au nom explicite : « Construire la souveraineté numérique de l’Europe ».

La force des choses et les évolutions de la société semblent donc répondre à la question d’un cloud incontournable. Mais persistent les contraintes de performance, de coûts, de territorialité législative et surtout de sécurité des données qui doivent être à la base de toute réflexion des entreprises et organisations sur le sujet. Le cloud, oui, mais pas à n’importe quel prix.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
À propos de l'auteur
mm
Victor Poitevin Editorial & Digital Manager, Stormshield

Victor a la casquette d'Editorial & Digital Manager de Stormshield. Rattaché à la Direction marketing, sa mission est d'améliorer la visibilité du Groupe sur le web. Sites internet, réseaux sociaux, blogs... tout l'écosystème de Stormshield est mis à contribution. Et pour répondre aux hautes ambitions numériques du Groupe, il s'appuiera sur ses différentes expériences, au sein de plusieurs grands groupes français et internationaux, ainsi qu'en agence de communication.