Cloud - mais en toute sécurité


Les PME allemandes hésitent à placer leurs précieuses données ERP dans le cloud. Les craintes d'accès non autorisés, qui pourraient permettre à la concurrence d'avoir un aperçu des données décisives pour l'entreprise, sont trop grandes. C'est pourquoi de nombreux fournisseurs de logiciels proposent souvent des solutions sur site en plus de celles basées sur le cloud.
"Le thème du cloud est en général encore partiellement associé à une image négative en Allemagne, bien que de nombreuses entreprises aient déjà fait le premier pas vers le cloud en l'externalisant il y a longtemps".
sait Nikolaj Schmitz, CIO chez G.I.B.
Cloud privé, public et hybride
Depuis de nombreuses années, les grandes entreprises en particulier font appel aux services de centres de données. Il convient toutefois de faire une distinction, car tous les clouds ne se valent pas.
Dans le cas d'un cloud privé, des systèmes ERP dédiés sont mis à la disposition de chaque client. Il est le seul à avoir un accès exclusif à son système quasi privé.
"Tant que l'on parle de cloud privé, à part les possibilités supplémentaires de provisionnement, je ne vois pas de grande différence avec l'externalisation classique".
dit l'expert en informatique Schmitz.
Il en va autrement du cloud public. Ici, un grand nombre d'utilisateurs ont accès à des applications standardisées, utilisées par exemple pour les notes de frais, la gestion des événements ou des talents, ce qui signifie que tous les utilisateurs partagent un système.
L'inconvénient du cloud public est qu'il ne permet généralement pas de reproduire des processus complexes et hautement spécifiques aux clients, comme dans le domaine de la logistique. Si, par exemple, lors de l'enregistrement d'entrées de marchandises pour des commandes de sous-traitance, une confirmation de l'opération d'ordre de fabrication qui en est à l'origine doit être effectuée, les applications standard ne peuvent généralement pas le faire.
C'est pourquoi les applications dans le cloud public sont souvent utilisées uniquement comme complément aux systèmes informatiques existants, afin de ne pas devoir réaliser de telles applications supplémentaires à grands frais dans le système sur site. On parle dans ce cas d'un cloud hybride.
Conséquences de l'arrêt Safe Harbor
Qu'elle soit publique, privée ou hybride, l'externalisation des données comporte certains risques. Pour les minimiser, l'UE a adopté en 2000 une directive sur la protection des données.
L'UE a conclu avec les États-Unis l'accord dit de la "sphère de sécurité", dans lequel les États-Unis ont accepté de reconnaître les dispositions de la directive.
La Cour de justice de l'Union européenne (CJUE) vient de déclarer cet accord invalide. Une preuve que les données stockées sur des serveurs américains ne répondent pas aux normes de sécurité de l'UE.
"Actuellement, les fournisseurs américains sont obligés d'autoriser les autorités d'investigation à accéder aux données de leurs clients".
explique Schmitz.
C'est le cas même si les serveurs des entreprises américaines se trouvent dans un autre pays européen.
C'est pourquoi l'expert en informatique conseille de miser sur des fournisseurs allemands lors de l'externalisation des données. Même les centres de données situés dans un environnement européen proche offrent en général une protection suffisante pour les données externalisées.
Cela ne dispense toutefois pas les entreprises de procéder à un examen approfondi des certifications de sécurité d'un fournisseur de cloud ou d'un centre de données. Ces certifications doivent être contrôlées par des organismes externes lors d'audits réguliers.
Sécurité des lignes de données
Le risque d'un accès non autorisé à des informations internes à l'entreprise ne réside toutefois pas seulement dans le stockage des données, mais aussi dans leur acheminement.
"Le cryptage lors de la transmission des données est essentiel".
déclare le responsable informatique Schmitz.
Ce domaine a beaucoup évolué au cours des dernières années. Ainsi, le protocole SSL utilisé depuis longtemps est actuellement remplacé par TLS. Il s'agit en quelque sorte d'une évolution de SSL, qui permet toutefois de combler des lacunes de sécurité connues.
Autre avantage de TLS : le protocole offre la possibilité d'implémenter tout protocole supérieur basé sur TLS. L'indépendance des applications et des systèmes est ainsi garantie.
En outre, les entreprises utilisent des tunnels VPN pour assurer une transmission sécurisée de leurs données sensibles entre leur propre infrastructure informatique et des prestataires de services externes.
Cependant, l'option de certains fournisseurs selon laquelle les données ne quittent pas la partie allemande d'Internet va trop loin pour Schmitz.
"De mon point de vue, cela va partiellement à l'encontre de l'idée fondamentale d'Internet".
ajoute l'expert en informatique. De toute façon, dans un monde économique de plus en plus global, cette pensée territoriale ne devrait pas être une solution pour les entreprises qui se développent à l'international.
Risques liés aux applications web
Les entreprises qui étendent leurs activités à d'autres pays ont besoin de mettre en réseau leurs sites d'exploitation à l'étranger ou d'offrir à leurs collaborateurs un accès simple et rapide aux informations importantes.
Pour ce faire, ils misent sur des applications web qu'un grand nombre d'utilisateurs, répartis dans le monde entier, peuvent utiliser sur différents terminaux.
"De nombreuses entreprises ne peuvent plus se passer d'applications web aujourd'hui".
sait Schmitz.
Ils sont par exemple souvent utilisés pour fournir un service et une assistance aux clients ou pour connecter les fournisseurs aux systèmes ERP. Ici aussi, il existe des mesures de sécurité, du cryptage au monitoring des accès en passant par l'utilisation de pare-feu, qui permettent de minimiser le risque de piratage.
En outre, divers contrôleurs externes proposent leurs services pour tester sous toutes les coutures la sécurité des systèmes correspondants, parfois avec des méthodes de piratage.
Toutefois, la grande diversité des terminaux utilisés pour les applications web est particulièrement délicate.
"Mais même dans cet environnement, il existe des solutions qui permettent une gestion centralisée et transparente".
explique Schmitz.
Par exemple, des paramètres de sécurité uniformes peuvent être déployés à partir d'un point central pour tous les terminaux en service.
En outre, les entreprises misent ici également sur des tunnels VPN ou cryptent l'accès des terminaux à l'application web interne. La connexion aux systèmes internes est en outre généralement sécurisée par une procédure d'authentification à plusieurs niveaux.
Économiser au mauvais endroit
Pour ses solutions logicielles Dispo-Cockpit Forecast et Dispo-Cockpit Vendor Managed Inventory, G.I.B utilise également les solutions d'externalisation d'un partenaire qui a prouvé qu'il disposait des compétences nécessaires en matière de sécurité informatique.
Les accès aux applications web du G.I.B se font exclusivement via des connexions cryptées.
"De plus, l'accès aux applications est réduit au minimum nécessaire grâce à des pare-feux appropriés".
explique Schmitz.
Tous les accès sont en outre surveillés afin d'identifier rapidement les attaques et de mettre en place des contre-mesures.
Certes, une protection à 100 % n'existe pas et un niveau de protection élevé comme celui du G.I.B est lié à un certain effort et aux coûts qui y sont liés.
Cependant, il n'est pas recommandé d'économiser sur les mesures de sécurité, car la perte ou l'utilisation abusive des données pourrait s'avérer beaucoup plus coûteuse - sans parler de la confiance que les partenaires commerciaux peuvent rapidement perdre dans une entreprise qui n'offre pas une sécurité suffisante des données.