La migration vers le cloud est complexe et constitue pour toutes les entreprises un projet de grande envergure comportant de nombreux risques. C'est vrai, et c'est pourquoi toutes les tentatives visant à réduire la complexité des nouveaux environnements basés sur le cloud sont plus que compréhensibles. Malheureusement, la sécurité informatique en pâtit souvent et une migration précipitée vers le cloud est réalisée à ses dépens.

D'abord la solution informatique, puis la sécurité informatique - provisoire et/ou développée par étapes

Cette approche basée sur une "politique de pavage", souvent en contournant les règles et les directives de conformité, comme cela a souvent été pratiqué pendant des années pour les solutions sur site, ne fonctionne pas lors de la migration vers le cloud. Il y a plusieurs raisons à cela :

1. Dans le cas des solutions sur site déjà, une approche "en pansement" de la sécurité informatique n'était et n'est toujours pas admissible et - dans le pire des cas - la réaction à un incident de sécurité n'est pas belle à voir et est en fait embarrassante, car trop tardive.

2. Dans le cloud, les mesures de sécurité informatique sont très différentes de celles appliquées dans les environnements sur site. Les mesures de sécurité dans les environnements sur site concernent principalement la gestion des identités et des accès. Ces mesures sont moins efficaces dans le cloud, car la plateforme sous-jacente est entièrement contrôlée par le fournisseur de cloud.

3. L'un des grands inconvénients du cloud est que le contrôle de ses propres données est limité. Une fois que les données non sécurisées sont déposées dans le nuage, les mesures de sécurité ultérieures visant à protéger les données déposées dans le nuage n'ont qu'un effet ex ante, c'est-à-dire que seule la vue actuelle des données est protégée. Les sauvegardes, les copies, etc. ne sont pas protégées. De même, la protection n'a pas d'effet sur les données qui ont déjà été partagées par le fournisseur de cloud.

Faire passer la cybersécurité avant tout à l'avenir

L'approche "Migration-First - Security-Later Approach" fonctionne donc en général plus mal que bien. Les décideurs sont tenus d'évaluer si la prétendue simplification d'un projet de migration vers le cloud compense le "travail de nettoyage" ultérieur ou si l'on peut s'accommoder d'une éventuelle non-conformité.

Dans le cloud, ce qui n'est pas explicitement protégé n'est plus là, est potentiellement "perdu" - au moins pour le fournisseur d'accès, probablement aussi pour ses partenaires, éventuellement aussi, selon la géographie, pour la conservation des données du pays et, dans le pire des cas, pour la communauté cybercriminelle.

D'après notre expérience, il faut dire clairement que la protection a posteriori reste généralement vulnérable, car un patchwork de mesures de sécurité présentera toujours des lacunes. Les entreprises se préparent ainsi à vivre avec un fournisseur de sécurité informatique prétendument conforme. Personne ne veut être responsable en cas de sinistre et le top management n'est généralement pas conscient des risques effectifs.

Nous postulons le Approche "sécurité d'abord" du cloud. Nous nous ferons un plaisir de vous informer personnellement sur la manière de procéder, sur les aspects auxquels il faut faire attention et sur les solutions disponibles. N'hésitez pas à prendre contact avec nous.