De plus en plus d'entreprises adoptent une approche multicloud dans le cadre de leurs efforts de transformation numérique pour soutenir les équipes distribuées travaillant dans des modèles hybrides et distants. Et tout comme les environnements de travail hybrides sont là pour rester, l'approche multicloud s'est imposée. Gartner prévoit que les revenus mondiaux du cloud atteindront 474 milliards de dollars en 2022, avec 90% des entreprises travaillant déjà vers une stratégie multicloud.
Lorsqu'elle est correctement exploitée, une stratégie multicloud peut rendre de nombreux processus plus efficaces. Il offre également une plus grande résilience aux pannes et une plus grande flexibilité des fournisseurs qu'une stratégie de cloud unique. Les avantages supplémentaires incluent :
- Éviter la dépendance vis-à-vis d'un fournisseur avec un seul fournisseur de cloud. Une organisation ayant une empreinte mondiale et des données spécialisées peut sélectionner l'emplacement du centre de données ayant le moins d'impact sur son activité. Par exemple, Microsoft Azure est actuellement leader au Moyen-Orient du point de vue de l'emplacement des centres de données.
- La possibilité de tirer parti des fonctionnalités distinctes offertes par chaque fournisseur de cloud, telles que des solutions de base de données uniques dans Google Cloud ou la possibilité de gérer vos ressources sur site et dans le cloud de manière beaucoup plus transparente dans Microsoft Azure.
- Meilleurs coûts et résilience de l'entreprise, avec des services spécifiques moins chers grâce à un fournisseur spécifique et des protections contre les interruptions de service. Les deux nécessitent de concevoir vos services pour tirer parti des avantages, mais une fois établie, votre organisation peut récupérer son investissement sur deux à trois ans, ce qui se traduit par des économies de coûts à long terme.
Cependant, ces avantages ont un coût. Il peut être difficile de s'assurer que l'infrastructure de données et de cloud est sécurisée et alignée sur vos obligations et vos contrôles lorsque des environnements disparates sont hébergés par plusieurs fournisseurs. Raconter une histoire unifiée autour des données, de la configuration et de la sécurité dans ces environnements peut être presque impossible.
Les RSSI qui adoptent une approche de données multicloud doit se concentrer sur deux principales préoccupations en matière de sécurité : gérer les risques posés par les fournisseurs et leurs différents modèles d'exploitation cloud, et démontrer la valeur de leurs contrôles et stratégies de sécurité face à l'augmentation des coûts d'exploitation dans un monde multicloud.
Gestion des risques dans les clouds
L'impact et la fréquence des cyberattaques ont augmenté parallèlement à l'attention croissante portée aux stratégies multicloud. Les attaques de rançongiciels, les violations de données et les pannes informatiques majeures ont dominé Baromètre des risques Allianz cette année pour la deuxième fois seulement dans l'histoire de l'enquête, les dirigeants les classant comme plus inquiétants que les perturbations de la chaîne d'approvisionnement, les catastrophes naturelles et la pandémie. Les entreprises ont raison de s'inquiéter : des organisations du monde entier expérimentées 50 % de cyberattaques hebdomadaires en plus en 2021, par rapport à 2020.
Les chefs d'entreprise prennent conscience de l'importance des cyberattaques, mais la plupart sont sous-informés des risques posés par leurs partenaires fournisseurs. Dans PwC's "Enquête mondiale sur la confiance numérique 2022», 57 % des chefs d'entreprise ont déclaré qu'ils anticipaient une augmentation des attaques contre les services cloud, mais seulement 37 % ont déclaré comprendre les risques liés au cloud. L'approche et les modèles d'exploitation de la sécurité varient selon les fournisseurs de cloud, et la protection contre les risques est une responsabilité partagée qui ne fait que se complexifier à mesure que vous ajoutez des services cloud communs qui utilisent différentes approches, telles que la gestion des identités et des accès (IAM) ou des serveurs virtualisés.
Par exemple, différents fournisseurs de cloud ont leur propre approche de l'accès basé sur les rôles. Amazon Web Services gère l'identité en attachant des politiques IAM directement à un serveur virtuel, ce qui permet au serveur d'effectuer des actions. L'offre de Google Cloud, en revanche, se concentre sur la création de comptes de service (utilisateurs), puis sur la connexion de ces comptes au serveur afin qu'il puisse interagir avec une autre ressource. Ces petites différences s'additionnent à l'échelle de l'entreprise, ce qui complique la sécurité pour garantir le moindre privilège et d'autres exigences de sécurité dans les deux clouds.
Étant donné que les services cloud ne sont pas conçus pour s'intégrer à leurs concurrents, apprendre à utiliser les outils de sécurité de chaque fournisseur de cloud n'est qu'un début. Les équipes informatiques devront centraliser leur surveillance de la sécurité avec un outil de gestion des événements d'information de sécurité (SIEM), ainsi que d'autres outils tiers pour accroître l'interopérabilité des services cloud. Ces systèmes supplémentaires nécessitent une formation et des ressources supplémentaires et peut-être même du personnel informatique supplémentaire pour garantir une expertise dans chaque plate-forme cloud. ainsi que comment ces plates-formes fonctionnent ensemble.
En plus de ces différences intrinsèques entre leurs services, la plupart des fournisseurs de cloud donnent la priorité à leurs propres offres de sécurité spécifiquement adaptées. Cela entraîne une multitude de complications qui nuisent à la sécurité du cloud. Par exemple, un pare-feu d'application Web (WAF) cloud peut être utilisé pour protéger votre réseau, mais il ne fonctionnera qu'avec un fournisseur de services cloud spécifique et ne peut pas être étendu à plusieurs offres cloud. La duplication de ces fonctionnalités pour différents fournisseurs nécessite soit la duplication d'équipes pour prendre en charge et gérer ces outils de sécurité clés, soit l'achat d'un service indépendant du cloud, ce qui ajoute encore un autre fournisseur à l'ensemble.
Ce risque et ce coût supplémentaires, généralement découverts tardivement dans le déploiement d'un modèle multicloud, peuvent repousser les délais, augmenter les coûts et déclencher des résultats d'audit. Le fait de ne pas planifier et atténuer ces risques peut exposer une entreprise à des pertes financières, à des mesures réglementaires, à des litiges et à des atteintes à sa réputation.
Communiquer la valeur avec la quantification des risques
Gartner estime que d'ici 2023, 30% de l'efficacité des RSSI dépendra de leur capacité à démontrer leur valeur. Alors que les stratégies de données multicloud deviennent la norme et que le coût des contrôles de sécurité au sein de cette stratégie augmente, la quantification des risques peut aider les dirigeants à communiquer leur valeur de manière cohérente en exprimant la posture de risque multicloud en valeurs monétaires claires.
Selon PwC, les organisations qui ont signalé l'amélioration la plus significative des résultats de la confiance des données avaient deux choses en commun : elles prévoyaient une augmentation de leurs dépenses en cybersécurité et elles intégraient l'informatique décisionnelle et l'analyse des données dans leurs modèles opérationnels, y compris la quantification des risques.
Pour évaluer les risques financiers d'une stratégie multicloud, les RSSI doivent prendre en compte les coûts de chaque plateforme mis en balance avec leurs risques perçus. Ces considérations doivent inclure les pratiques de gestion des données et de cybersécurité de tous les fournisseurs de cloud que vous envisagez, ainsi que tous les outils et plates-formes indépendants du cloud que vous utiliserez pour une surveillance conjointe.
Avec autant de facteurs en jeu, vous ne pouvez pas vous permettre de vous fier à des échelles de mesure imprécises et intuitives telles que « bas, moyen, élevé » et « rouge, jaune, vert ». L'expression des données sur les risques en termes financiers est un outil puissant car il offre un langage commun pour communiquer l'évolution des priorités en matière de risques, améliorer l'alignement entre les RSSI et le conseil d'administration et faciliter des décisions de gestion des risques mieux informées.
Voici un exemple : un CISO examine la valeur financière associée aux différents risques de l'architecture multicloud. En comparant les tactiques d'atténuation d'un incident de cybersécurité, ils constatent qu'un meilleur contrôle des privilèges administratifs réduit bien plus le coût financier de l'événement que la mise en œuvre d'un programme de formation en cybersécurité. Alors que le CISO comprend les détails techniques du cyber-risque dans l'architecture multicloud, le reste de la suite C bénéficiera de la clarté des valeurs monétaires associées à chaque risque et tactique d'atténuation. En permettant aux RSSI de faire valoir leur point de vue auprès de leurs collègues et du conseil d'administration, la quantification des risques apporte plus de transparence aux nombreux éléments mobiles d'une stratégie multicloud.
Selon Gartner, plus de 85 % des organisations fonctionneront en priorité sur le cloud d'ici 2025, et elles ne seront pas en mesure de réaliser pleinement leurs stratégies numériques sans utiliser les technologies natives du cloud. Un responsable de Gartner l'a dit ainsi : "Il n'y a pas de stratégie commerciale sans stratégie cloud."
Il est impératif que les chefs d'entreprise poursuivent des stratégies pour protéger leurs données et communiquer leurs priorités multicloud, en s'alignant dans toute l'organisation avec un langage de valeur commun.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
