Selon le Portrait des TI dans les moyennes et grandes entreprises, réalisé par NOVIPRO et Léger, 42 % des entreprises québécoises ne trouvent pas l’infonuagique assez sécuritaire.
C’est peut-être une question de terminologie : le mot « nuage » donne en effet une impression de légèreté, de volatilité, et conséquemment de non-fiabilité. Or, rien n’est moins vrai.
« Un centre de données s’apparente plutôt à une ferme avec des milliers de serveurs entreposés dans des conditions idéales — et contrôlées — pour assurer le bien-être des données », résume Amine Boubekri, spécialiste en solutions infonuagiques chez E-SPACE, une filiale de NOVIPRO.
En d’autres mots, mettre ses données dans le cloud, c’est confier leur entreposage à une entreprise… dont c’est la spécialité !
L’infonuagique et la sécurité
« Les gens trouvent qu’il est sécurisant d’avoir leurs serveurs directement devant les yeux, dit Amine Boubekri. Ils sont inquiets de ne pas connaître l’emplacement physique de leurs données. »
Ils seraient peut-être rassurés en visitant un centre de données : ils y trouveraient des dispositifs physiques (des capteurs d’empreinte, des caméras, des gicleurs, etc.), des logiciels (pare-feu, antivirus, etc.) et des infrastructures aux conditions optimisées (contrôleurs de température, etc.) favorisant la sécurité des données. Dans certains cas, des systèmes de relève sont en place pour transférer les données d’un serveur à l’autre, voire d’un centre de données à l’autre, s’il advenait un problème ou un sinistre.
C’est le genre d’information utile pour le cloud privé, plus axé sur la sécurité dans les centres de données. Le cloud public lui, ne fait généralement aucune mention directe des mécanismes de sécurité en place.
« Financièrement parlant, il est très difficile pour une PME de se permettre toutes ces précautions afin de protéger ses données, poursuit le spécialiste en infonuagique. Chacun son domaine ! » Faux.
Le choix du fournisseur
Mais si l’infonuagique est dite « sécuritaire », pourquoi les brèches informatiques font-elles si souvent les manchettes ?
Il est vrai que la qualité des fournisseurs de solutions infonuagiques varie. Selon ses besoins en matière de sécurité, il est donc impératif de valider la solidité des infrastructures et la fiabilité du fournisseur. Transparence et traçabilité sont les assises essentielles de tout partenariat en infonuagique.
Enfin, il est sage de s’informer sur les aspects juridiques qui influencent les façons de faire. On ne suit après tout pas les mêmes règles partout !
Rappelons-nous toute l’encre qui a coulé à propos du USA Patriot Act et de cette liberté que s’est accordée le gouvernement américain d’avoir accès à toutes les données emmagasinées ou ayant circulé entre ses frontières… Fait intéressant : le Canada est un pays reconnu pour sa rigueur en ce qui a trait à la confidentialité des données. Un fournisseur de solutions infonuagiques canadien n’a donc pas d’autre choix que d’encadrer son expertise d’une solution de sécurité robuste pour garantir la disponibilité, l’intégrité et la confidentialité des données dont il a la responsabilité. C’est la loi.
La sélection d’un partenaire technologique respectant ces exigences en matière de sécurité est sans contredit la décision la plus importante qu’une entreprise doit prendre pour profiter des avantages de l’infonuagique en réduisant les risques au minimum. S’ensuit une utilisation responsable de la technologie…
Les comportements avant la technologie
« Il n’y a rien de plus important qu’une politique de sécurité, car la plus grande menace vient de l’intérieur », résume Amine Boubekri.
En effet, les données ont beau être bien gardées dans une forteresse quasi impénétrable, si un employé part avec un document confidentiel et y travaille dans un lieu public, en utilisant la connexion Internet gratuite d’un café par exemple, il peut y avoir une brèche de sécurité. On peut aussi penser aux mots de passe peu sécurisés, aux visites sur des sites web malveillants, aux courriels d’hameçonnage, aux téléphones intelligents professionnels utilisés à des fins personnelles…
Certaines entreprises en viennent d’ailleurs à bannir des sites comme Facebook, alors que d’autres optent pour une sensibilisation des usagers envers une utilisation sécuritaire du nuage. L’important, c’est que le message soit compris de tous les usagers du système, qu’ils soient employés, fournisseurs ou clients.
En effet, comme l’indique Amine Boubekri : « En matière de cybersécurité, une politique interne bien diffusée est encore plus performante que la toute dernière technologie… »