25 février 2019

Le cloud est-il sûr pour les paiements d'entreprise ?

Dans ses termes les plus simples, le nuage est simplement l'internet. Ainsi, lorsque nous parlons de logiciels basés sur le cloud, nous parlons simplement d'une application logicielle stockée sur des serveurs distants et accessible par Internet.

Salesforce, Xero et Slack sont tous des exemples courants sur le lieu de travail.

Mais les applications hébergées dans le nuage sont-elles suffisamment sûres pour que les entreprises et les organismes du secteur public leur confient des données financières sensibles et des connexions bancaires ?

Pour répondre correctement à cette question, il faut prendre en compte trois aspects de la sécurité du cloud :

a) la sécurité des centres de données distants qui sont gérés par le fournisseur de services en nuage
b) les mesures de sécurité que les fournisseurs de logiciels en nuage intègrent à leurs propres produits.
c) la sensibilisation du personnel à la protection en ligne

Il est logique de commencer par comparer la sécurité et la fiabilité des applications en nuage à l'alternative : les solutions sur site.

Garder des serveurs sur site dans votre bureau est beaucoup plus risqué.

Dans un rapport d'OracleDans ce rapport, 83% des personnes interrogées ont estimé que la sécurité du cloud computing était bonne ou meilleure que celle des systèmes sur site. Dans le même rapport, 90% des organisations ont classé la moitié ou plus de leurs données en nuage comme sensibles, ce qui montre un haut niveau de confiance dans la sécurité du nuage. Voici pourquoi :

1. Les centres de données sont bien dotés en ressources

Les logiciels sur site sont stockés dans une salle de serveurs, quelque part à l'arrière de votre bureau. Si cette salle de serveurs est endommagée par un incendie, une inondation, une coupure de courant ou un cambriolage, vos données sont détruites, sans aucune sauvegarde.

Le fait est que tout centre de données de confiance dispose de bien plus de ressources que votre service informatique. Bien que vous puissiez voir le serveur hébergeant votre application sur site, votre équipe informatique jongle probablement avec de multiples projets et n'a tout simplement pas le temps ou le budget pour investir 6 ou 7 chiffres dans une sécurité de base solide comme peuvent le faire les centres de données de confiance.

2. Sécurité supplémentaire, coût moindre

Les menaces à la sécurité évoluant sans cesse, les organisations qui hébergent des logiciels sur site doivent en tenir compte en investissant dans des mesures de sécurité coûteuses mais appropriées, qu'il s'agisse de sécurité physique, de pare-feu ou d'autres solutions de détection des menaces.

Les logiciels en nuage sont renforcés par des mesures préventives prises à la fois par le centre de données et par le fournisseur de logiciels. Les organisations qui tirent parti du nuage bénéficient donc d'un niveau de sécurité plus élevé dans un cadre conforme, à moindre coût.

3. Reprise après sinistre

La plupart des fournisseurs de cloud de confiance offrent une forme de reprise après sinistre (DR) conçu spécifiquement pour prévenir les pannes non planifiées, offrant une tranquillité d'esprit que la plupart des serveurs sur site ne peuvent pas vraiment rivaliser.

La géo-redondance en est un exemple : en cas de problème affectant un centre de données, un autre serveur (généralement situé dans une autre partie du monde) prend automatiquement le relais, ce qui permet de réduire au minimum les perturbations et de ne perdre que quelques secondes de données dans le pire des cas.

4. Sauvegardes et stockage hors site

Le nuage agit effectivement comme une installation de stockage hors site sécurisée qui dispose de ses propres sauvegardes automatiques. Le site le coût moyen des attaques par phishing et ingénierie sociale pour les entreprises britanniques est de 960 000 £. - et il faut parfois 20 jours pour les traiter. Il est donc quasiment indispensable pour toute entreprise de disposer d'une forme de stockage de secours.

"Insister pour que les données restent sur site revient à dire que l'argent doit être stocké sous un matelas ou enterré dans le jardin. Le contrôle supplémentaire devient en fait un handicap pour l'argent et une liasse de billets sous votre lit ne peut pas être investie, ni sécurisée." - Rick Spicklmier, CTO de Birst

Quelles autres mesures de sécurité les applications en nuage ont-elles mises en place ?

Les normes de sécurité varient d'une application à l'autre. Mais tout fournisseur de services en nuage digne de ce nom intègre au moins trois types de couches de sécurité dans son application :

1. Accès - Les fournisseurs cherchent à protéger les comptes des utilisateurs en recommandant des politiques d'authentification et d'autorisation, en proposant des outils de sécurité comme l'authentification à deux facteurs et la liste blanche d'adresses IP pour garantir le contrôle de l'accès en ligne.
2. Sécurité des données - Les fournisseurs cherchent à protéger les données en transit et "au repos", avec plusieurs couches de cryptage sophistiqué de bout en bout. Ainsi, en cas de violation, les informations très sensibles ont plus de chances de rester en sécurité. En effet, ces couches de cryptage peuvent être mises en œuvre pour les logiciels internes, mais non sans coûts initiaux importants.
3. Contrôles de surveillance - Ces dispositions permettent de détecter les menaces et d'alerter les personnes concernées pour contrôler la situation.

Le grand avantage pour les entreprises est que les fournisseurs de services en nuage prennent en charge toutes les dispositions ci-dessus sans frais supplémentaires, car la fourniture d'un environnement de travail sûr et fiable est au cœur même de leurs services.

Même avec toutes ces couches de sécurité supplémentaires, il y a encore quelques mesures que vous pouvez prendre en interne pour protéger davantage votre organisation.

Que pouvez-vous faire ?

Qu'on le veuille ou non, les statistiques disent que le plus grand risque pour la sécurité des applications en nuage, ce sont les clients eux-mêmes : "jusqu'en 2022, au moins 95% des défaillances de la sécurité du cloud seront la faute du client.". La plupart des violations devraient concerner des informations privilégiées telles que des mots de passe.

En réponse à cette question, Jay Heiser, vice-président de la recherche chez Gartner, déclare que les DSI doivent changer leur façon de poser des questions et passer de "le nuage est-il sûr" à "l'informatique en nuage".Est-ce que j'utilise le "nuage" en toute sécurité ?

Si vous envisagez de passer d'un système sur site à un système en nuage, commencez par prendre le temps d'examiner les politiques de sécurité du fournisseur, ainsi que celles du fournisseur de nuage qui héberge le service.

Tirez également parti des couches de sécurité qui vous sont proposées. Cela peut être aussi simple que de mettre en place des politiques de mot de passe pour le personnel et d'utiliser des outils de sécurité dans l'application, comme l'authentification à deux facteurs ou l'authentification en ligne. la ségrégation des tâches; une approche "mur à mur" que de nombreux fournisseurs proposent dans le cadre de leurs services.

En résumé...

Il est vrai qu'un grand nombre d'applications basées sur le cloud computing ont connu des problèmes de démarrage à leurs débuts, ce qui a donné lieu à des rumeurs de manque de fiabilité qui pèsent encore aujourd'hui sur les salles de réunion.

Mais la technologie a beaucoup évolué depuis lors et constitue sans doute la meilleure option pour les entreprises modernes.

Non seulement elle offre aux entreprises et aux organismes du secteur public une sécurité accrue et de solides mécanismes de reprise après sinistre par rapport aux serveurs sur site, mais elle peut offrir bien plus d'avantages en termes d'intégration, d'application des données en temps réel et de réduction des coûts.

Bien entendu, toutes les applications en nuage ne se valent pas, alors faites vos recherches et choisissez judicieusement votre fournisseur de logiciels. Un bon fournisseur travaillera toujours avec une société d'hébergement réputée et disposera de ses propres mesures de sécurité robustes pour protéger votre organisation.

Tant que vous disposez d'un fournisseur fiable et d'une main-d'œuvre qualifiée, les logiciels basés sur le cloud computing constituent, sans aucun doute, l'option la plus sûre pour votre équipe chargée des finances et de la trésorerie.