Je peux à peine me rappeler la dernière fois que j’ai installé un serveur physique pour une entreprise. De nos jours, la plupart des compagnies ont transféré la majorité de leurs services et informations aux services d’informatiques en nuage. Il y a plusieurs raisons pour ça, allant des coûts à la commodité — par exemple éviter d’acheter du matériel qui deviendra obsolète ou perdra de la valeur, diminuer les couts de maintenance et d’énergie ou simplifier le travail de l’équipe de TI. Un autre avantage, pour les petites entreprises, est la capacité d’ajouter un serveur ou un service spécifique en appuyant sur une touche.

Bien que ces – plus si nouvelles – solutions ont rendu la vie bien plus facile aux petites entreprises comme aux plus grandes, elles ont aussi entrainées de nouvelles discussions et éléments à considérer en matière de sécurité.

Si vous avez migré vos services et informations dans le nuage, ou si vous prévoyez le faire, voici quelques points à garder en tête pour éviter les mauvaises expériences.

  1. Connaissez votre fournisseur de service

Avec tous les services d’informatique en nuage disponibles sur le marché de nos jours, la première étape est de décider à qui faire confiance pour les informations et les systèmes de votre entreprise.

Avant de prendre cette décision, il ne suffit pas de considérer les services et les plateformes que les nombreux fournisseurs offrent. Il est essentiel d’aussi prendre en compte leur réputation et de lire attentivement les termes de leurs contrats. Les compagnies assument-elles la responsabilité des informations dont elles disposent? Quelles mesures sont mises en place? Est-ce qu’elles disposent d’attestations de sûreté? Ont-t-elles connu des incidents par le passé? Si oui, de quelles façons elles ont géré ces situations?

Une entreprise de services plus prestigieuse peut être plus coûteuse que les entreprises plus petites et moins connues. Cependant, nous devons être conscients que les tâches de maintenance requises pour maintenir la sécurité de l’infrastructure demandent du temps et de l’énergie, ce qui se traduit souvent par des coûts plus élevés pour le consommateur. Rappelez-vous : quand on parle de sécurité, ce qui semble bon marché peut s’avérer au final très couteux.

  1. Comprenez votre entreprise et vos besoins

Nous avons appliqué ce conseil à de multiples autres circonstances : l’élaboration d’une politique de sécurité, la certification d’un standard, des modèles de sauvegarde et l’implantation de nouvelles technologies. Le principe est que vous devez toujours réfléchir, avant de prendre n’importe quelle décision d’importance, aux effets qu’elle aura sur votre entreprise, en plus de prendre en compte les objectifs de votre entreprise.

Si vous avez besoin d’une connexion rapide, sans ralentissement ni latence entre votre bureau et les services en nuage, vous risquez d’être déçu. Peut-être que l’habileté de stocker des fichiers dans le nuage et y accéder de partout semble une solution alléchante, mais quand il est question d’interrogations de base de données, le délai de réponse peut avoir un impact sur votre entreprise.

Si vous traitez de grands volumes d’information en temps réel, il serait peut-être opportun d'envisager des options d’optimisation avant d’opter pour ces services en nuage.

  1. Chiffrez vos informations

Chiffrez les données stockées dans le nuage ainsi que celles en transit : en fait, chiffrez tout ce qui peut l’être! Ce cela peut représenter un plus gros effort et complexifier les opérations; ce qui est sûr néanmoins, c’est que cela ajoute de nouvelles couches de sécurité à l’ensemble de vos données confidentielles.

Rappelez-vous que si vous décidez d’opter pour les services en nuage et d’y placer vos données, vous allez aussi déléguer, en grande partie, la protection de cette information. Aussi sécuritaire et fiable que votre fournisseur puisse être, ce n’est pas une bonne idée d’en dépendre complètement. Ce n’est jamais excessif de chiffrer vos données critiques, afin qu’en cas de brèche de sûreté, vos données ne se retrouvent pas exposées.

  1. Contrôlez l’accès au nuage

Bien que vos données et applications ne se retrouve plus sur les lieux physiques de votre organisation, cela ne signifie pas que vous puissiez simplement vous laver les mains de toutes vos tâches de gestion. Votre prestataire de service peut vous fournir un éventail de services de contrôles de sécurité, et assurer la protection de votre infrastructure; mais si vous laissez la porte ouverte, tous ces efforts seront en vain.

Restreignez l’accès à vos informations, comme vous le feriez si elles se trouvaient à vos bureaux. Séparez les fonctions et restreignez la connexion des usagers. En fait, il est vivement recommandé d’utiliser des mesures de sécurité supplémentaires, comme l’authentification à deux facteurs, au démarrage d’une session sur une plateforme dans le nuage.

  1. Sauvegardez vos informations

Aujourd’hui, les copies de sauvegarde comptent parmi mesures de protection les plus basiques, mais fondamentales, de n’importe quel système de sécurité. Alors que ce service est généralement inclus dans les contrats et fait partie des tâches exécutées par le fournisseur, nous devons garder en mémoire qu’il ne s'agit pas seulement de sauvegarder les données – mais aussi de pouvoir les récupérer.

Pour cette raison, on recommande que vous restauriez régulièrement les copies de sauvegarde de vos données. Ainsi, vous pourrez non seulement vous assurer que le fournisseur respecte cet aspect du contrat, mais aussi que l’information sera complète et accessible lorsque vous en aurez besoin.

  1. Lisez attentivement les termes et modalités de service

Read the terms and conditions of service carefully.

Accordez une information particulière aux sections abordant le traitement de l’information, la vie privée et la responsabilité par rapport à l’information stockée dans le nuage. Vous ne seriez pas la première personne à rencontrer des phrases comme : « Vous nous accordez le droit d’accéder, retenir, utiliser et divulguer les informations de votre compte et vos fichiers en vue de vous supporter et de résoudre vos problèmes techniques » ou « Nous ne garantissons pas que vos fichiers ne seront pas détournés, perdus ou endommagés, et ne pourrons être tenus responsables des dommages si cela se produisait. »

Vérifiez aussi le délai de réponse et l’accord de service promis par le fournisseur et assurez-vous que ceux-ci correspondent à votre calendrier et aux engagements que vous avez avec vos clients. Évitez d’avoir ces surprises si un incident se produit ou au moment de faire une plainte.

  1. Rappelez-vous : Le nuage aussi peut être infecté

C’est une erreur courante de penser que les logiciels malveillants ne peuvent pas affecter l’équipement dans le nuage. En fait, nous avons vu un nombre de variantes du logiciel malveillant Crisis, qui infecte l’équipement fonctionnant sous VMWare. Tout comme on trouve du code malveillant conçu pour attaquer les plateformes de virtualisation, comme Venom, nous devons aussi prendre en compte les menaces connues qui continuent de se répandre à travers les systèmes d’exploitation.

Garder votre infrastructure dans le nuage ne vous exempte pas de l’importance d’utiliser une bonne solution de sécurité globale, incluant la protection des serveurs et services, ainsi que pour l’équipement qui permet l’accès à cette infrastructure.

Bien sûr, le nuage peut offrir de grands avantages à votre entreprise, en fonction des caractéristiques de votre entreprise et des types de services et des informations que vous déciderez de migrer sur cette plateforme. Peu importe les circonstances, n’oubliez pas ces conseils, afin de garder vos informations en sécurité et de vous assurer une migration aussi sécuritaire que possible.