Puisque les entreprises espèrent être plus agiles et plus flexibles tout en faisant des économies en migrant leurs charges applicatives vers le cloud, la tendance vers le multicloud gagne du terrain. En principe, 86 % des responsables IT utilisent déjà plusieurs clouds. Tandis que la grande majorité du reste envisage de l’adopter au cours des prochaines années. Quoi qu’il en soit, la sécurité reste un défi majeur dans cette décision. Il est tout de même possible de trouver une solution en se basant sur de bonnes pratiques qui sont relatives à l’amélioration de la sécurité à l’ère du cloud.
Garantir la sécurité au niveau de la charge applicative
La dissociation des charges applicatives qui sont stockées dans le cloud et du matériel sous-jacent apporte un changement fondamental en termes de protection. En effet, les conteneurs et les machines virtuelles peuvent transiter librement entre les infrastructures sur site et le réseau public. Concrètement, les charges applicatives partagent des hôtes physiques et des ressources du réseau interne avec de tiers inconnus. Ce phénomène constitue donc un réel danger sur la notion du périmètre réseau.
Afin de garantir la sécurité dans ce type d’architecture, il est indispensable de protéger les matériels. Des mesures de protection doivent être définies au niveau du logiciel, entre autres, des pare-feu d’application et des systèmes de prévention des intrusions. Elles doivent aussi être inscrites au niveau de la charge applicative, le conteneur ou la machine virtuelle. À part cela, pour garantir la protection des données indépendamment du système d’exploitation, il faut dissocier la sécurité du matériel tout comme les charges applicatives.
Jouer sur l’équilibre entre contrôle et cyberhygiène
Dans le domaine de la cybersécurité, le compromis entre la sécurité et la facilité d’utilisation est très bien connu. On compte, par exemple, le verrouillage des ports TCP, le verrouillage de l’image du poste du travail ou encore le refus de droits d’administrateurs aux utilisateurs qui permettent d’éviter des actions qui peuvent compromettre la sécurité. Il faut savoir que ces mesures statiques ne peuvent pas s’adapter à l’ère multicloud. En plus d’interférer avec l’expérience utilisateur, elles sont insuffisantes face aux menaces éventuelles puisque l’environnement est plus complexe. Ainsi, il est important de trouver un compromis complexe comme une approche axée sur la cyberhygiène. Celle-ci a pour objectif de surveiller et d’évaluer en permanence l’ensemble des services technologiques et l’environnement IT.
Effectuer un audit interne dès le départ
La notion d’infrastructure contrôlée par divers fournisseurs est parfois incompatible avec les efforts de contrôle effectués par le département IT d’une entreprise. Pourtant, lors des audits internes, il est indispensable pour une entreprise de justifier la conformité des opérations des fournisseurs externes aux exigences ainsi qu’aux normes de sécurité internes. Cet obstacle peut donc nuire à la réputation du département, mais surtout à la sécurité informatique. De ce fait, il est important d’effectuer un audit interne dès le départ pour définir le processus de sélection et de conception. Cette décision pourra éviter toutes sortes de problèmes par la suite.