Par Mark Nunnikhoven, vice-président de la recherche sur le cloud chez Trend Micro
Le Canada accuse un retard lorsqu’il s’agit de construire dans le nuage.
Utiliser un logiciel en nuage ? Aucun problème pour les entreprises canadiennes. Mais construire dans le nuage ? Nous continuons d’être frileux à faire le saut.
Pourquoi ? La réponse n’est pas si simple, puisqu’elle repose entre autres sur un certain nombre d’hypothèses dépassées.
Démystifions-en une : le « nuage » fait référence à l’un des trois grands fournisseurs. Ces fournisseurs sont les seuls à avoir un volume assez grand leur permettant d’offrir les avantages conférés par le cloud pour transformer l’entreprise.
En effet, les efforts entourant le « nuage privé » et les offres de plus petits joueurs ont du mérite, et ce, dans certaines niches. Mais règle générale, les entreprises devraient se déplacer vers l’une des trois grandes entreprises.
À l’échelle, ces nuages permettront des économies massives qui se traduiront par des baisses de prix au fil du temps. Leur modèle de tarification variable aligne l’utilisation des TI et la valeur commerciale. Les nouvelles ressources ne sont qu’à un clic de souris, ce qui offre une vitesse et une agilité sans précédent pour l’informatique.
Pensez-y, avec l’informatique traditionnelle, vous devez construire les centrales électriques, les sous-installations et les lignes électriques, puis les connecter les unes aux autres afin d’alimenter votre entreprise en énergie pour la faire rouler.
Et avec le nuage ? Il vous suffit de brancher votre outil dans la prise de courant et le tour est joué.
Le nuage alimente les transformations numériques dans le monde entier. Alors pourquoi le Canada est-il si frileux à faire le saut ?
L’une des raisons les plus citées est celle de la sécurité. Les entreprises craignent de perdre le contrôle de leurs données et manquent de confiance envers leur fournisseur d’infonuagique.
C’est malheureux, car le nuage rend la sécurité plus facile que jamais.
Tout commence avec le modèle de la responsabilité partagée, un modèle qui dicte le fonctionnement du nuage. Il y a six domaines où le travail relatif à la sécurité s’effectue de manière quotidienne. Qu’il s’agisse du site, de l’infrastructure, de la virtualisation, du système d’exploitation, des applications ou de vos données.
Dans un environnement traditionnel, vos équipes ont la responsabilité quotidienne de ces domaines, et ce, à des degrés divers. Le champ à couvrir est très vaste.
Dans un environnement infonuagique, à l’inverse, au moins la moitié de ces responsabilités (physique, infrastructure et virtualisation) sont déléguées d’emblée à votre fournisseur cloud.
Ils ont la responsabilité de ces domaines au niveau mondial. Vous pouvez le vérifier – et vous devriez le vérifier – en consultant les attestations de conformité de tierces parties qu’elles affichent fièrement sur leurs sites Web. Une simple demande produira des documents officiels attestant qu’ils respectent effectivement leur part du modèle.
Ce modèle signifie ainsi que même avec une architecture traditionnelle, l’exécution dans le cloud réduit la charge de travail de sécurité de vos équipes internes, tout en améliorant votre posture de sécurité. Au fur et à mesure que votre entreprise gagne en confiance et passe à des architectures natives du cloud, vous déléguez de plus en plus de responsabilités au fournisseur de cloud.
Dans les conceptions de pointe sans serveur, vous et votre équipe n’êtes responsables que des données que vous insérez dans l’application et de la configuration des services que vous utilisez. Cela représente tout un gain pour l’efficacité et la sécurité de l’entreprise !
Malgré ces avantages évidents, j’entends encore des organisations brandir la menace du CLOUD act, ou d’autres mesures législatives pour justifier qu’elles ne peuvent construire dans le nuage. Il est tout à fait normal d’être réfractaire au changement et de repousser les idées nouvelles, surtout celles qui remettent en question les croyances de longue date.
Heureusement, le Commissaire à la protection de la vie privée s’est exprimé sur le sujet en déclarant que cette crainte n’est pas fondée. Si vous stockez et traitez des données canadiennes à l’extérieur du pays, votre devoir est d’informer vos utilisateurs de cette pratique. Mais comme des régions canadiennes sont disponibles depuis 2016, déplacer ces données à l’extérieur du pays ne devrait même plus faire partie de vos pratiques.
Peu importe la situation, le cryptage demeure votre meilleur allié. Si vous cryptez vos données, en transit et au repos, il est impossible d’y avoir accès sans la clé de déchiffrement. Aucun fournisseur infonuagique ne vous obligera à leur remettre votre clé de déchiffrement. Vous décidez qui y a accès, et qui contrôle ces accès.
En tant que professionnel de la sécurité, on me demande souvent quelle est la plus grande menace posée par le nuage.
Ma réponse est simple. Si vous ne développez pas de solutions dans le cloud aujourd’hui, vos concurrents vous doubleront en dépensant de manière plus efficace et en évoluant plus rapidement que vous. Les avantages que procurent la vitesse du cloud, l’accès technologique et les mesures de sécurité qu’il permet surpassent largement sur le peu de défis qu’occasionnent la transition.
Alors, qu’est-ce que vous attendez ?
Mark Nunnikhoven est vice-président de la recherche sur le cloud chez Trend Micro et héros de la communauté AWS. Il travaille à aider les individus, les organisations et les communautés à explorer l’impact de la technologie sous l’angle de la protection de la vie privée et de la sécurité. Mark est un expert en criminalistique et un leader de la sécurité qui a consacré plus de 20 ans à défendre les systèmes privés et publics contre les cybercriminels, les pirates et les États nations.
