e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message



Accédez au menu
Contactez-nous

Externaliser ses données, quelle stratégie adopter ?

Retour aux articles

Externaliser ses données dans le Cloud en toute sécurité !

Quelle stratégie adopter ?


Catégorie : Articles

Date de publication : 3 juillet 2018 - Dernière mise à jour : 5 juillet 2018

Rédacteur : Berangere Thevenet


L’externalisation des données fait souvent suite à un souhait d’optimisation des coûts en entreprise. Elle revient à confier des services informatiques à un prestataire externe. Cette démarche n’est pas sans risque selon le niveau de criticité des données externalisées (Par exemple : Données présentes dans un CRM, une messagerie mail, …).

Durant ce trimestre, nous vous accompagnons sur comment opter pour la stratégie la plus adaptée à votre contexte ? Et nous vous présentons des solutions complémentaires voire alternatives lorsque l’externalisation des données sensibles est incontournable.

Retour sur les notions de base …

Différentes approches s’offrent aux entreprises : Cloud public, Cloud privé et les solutions hybrides. Un retour sur ces différentes notions semble indispensable pour mieux cerner les enjeux de chacune. L’externalisation de ses activités sous-entend, dans la plupart des cas, que l’on souhaite stocker, accéder et échanger des données informatiques dans des solutions externes à l’entreprise. Il est souvent trop coûteux de les internaliser. Les investissements sont conséquents au niveau du matériel mais également dans le suivi du bon fonctionnement des équipements et de leur monitoring afin de s’assurer de la disponibilité de ses services.

Depuis quelques décennies, la tendance est à l’acquisition d’espaces dans des datacenters où l’optimisation des coûts est assurée par la mutualisation de l’infrastructure pour tous. On parle alors de Cloud public ou privé. La différence majeure entre ces deux approches est au niveau des espaces. L’un est partagé avec plusieurs entreprises et l’autre est dédié à une seule.

Le Cloud public est une infrastructure partagée pour plusieurs entreprises. Ce partage permet non seulement d’optimiser les coûts mais aussi d’offrir une « scalabilité » optimale. L’accès à ses services se fait depuis internet. Par exemple, les cloud publics permettent d’héberger plusieurs sites web des entreprises sur un même serveur. Ils sont normalement cloisonnés même si de nombreux « pentest » (Test d’intrusion) démontrent la limite de ces solutions. Il n’est pas rare d’accéder à l’ensemble des sites stockés sur un serveur.

Le Cloud privé quant à lui profile deux approches: une internalisation de son infrastructure au sein de son entreprise ou une location d’un espace dédié dans un datacenter externe. Dans le second cas, l’espace loué appartient à l’entreprise. L’avantage de cette configuration est d’optimiser les coûts au niveau de l’infrastructure. Généralement, les accès se font depuis un tunnel VPN (Réseau sécurisé) et seulement les utilisateurs connus peuvent accéder au service. Le Cloud privé est le modèle qui séduit le plus les entreprises. Il permet un contrôle plus complet de ses données et de l’infrastructure mise à disposition.

Et enfin les solutions hybrides proposent un mixte entre le cloud public et privé. Selon les données et les besoins dans un service ou une application, la combinaison des solutions permet d’obtenir un bon rapport qualité prix tout en assurant un niveau de sécurité acceptable pour les données dîtes sensibles. On retrouve notamment cette approche pour les microservices. Les applications étant scindées en plusieurs petits services, cela permet une granularité au niveau de l’hébergement de chacun d’entre eux. Pour les plus sensibles, on préférera un Cloud privé.

Comment choisir la solution la plus adaptée ?

Chaque approche est adaptée à un contexte de sorte qu’une solution n’est pas meilleure qu’une autre. L’important est de faire le bon choix. Et pour cela, la solution miracle n’existe pas. Seule une démarche méthodique dans ses projets permet d’aider à la prise de décision.

Commencez par établir un état des lieux de tous vos services externalisés. Pour chaque, vous devez maîtriser la solution retenue et vérifier qu’elle soit bien adaptée au niveau de la criticité des données exploitées par le service.

En parallèle de votre état des lieux, définissez vos données dîtes sensibles pour votre entreprise. La création d’une échelle de criticité de vos données permet de définir le niveau d’acceptabilité en termes de sécurité de vos données.

Par exemple, vous pouvez considérer que toutes les données au-dessus de 7/10 seront très sensibles demandant une protection optimale.

À ce niveau, profitez de votre mise en conformité à la RGPD (GDPR) pour définir les moyens à mettre en œuvre pour la protection de vos données sensibles et personnelles.

Lorsque vous maîtrisez vos services informatiques externalisés, votre échelle de criticité, vous pouvez d’ores et déjà définir les services les plus sensibles et déterminer pour chaque, les îlots demandant une protection plus élevée. Les solutions hybrides sont alors la bonne option.

Notez tout de même que d’autres cas de figures existent et font face aux réalités du moment. Par exemple, nous constatons une explosion de l’externalisation des messageries notamment avec l’offre de Microsoft Office 365. Cette offre permet une réelle économie des coûts et séduit de nombreuses entreprises alors qu’elle externalise leur messagerie dans un Cloud Public. Le niveau de sécurité n’est pas aussi élevé que dans une solution en cloud privé.

Ici, nous vous préconisons d’appliquer notre méthodologie :
Commencez par un état des lieux : Microsoft Office 365 est un service de messagerie externalisé dans un Cloud Public.
Définissez le niveau de sensibilité de vos mails d’entreprise : le contenu est-il sensible ? En cas de fuite des données, quelles conséquences pour l’entreprise ?

Le plus souvent, les mails quotidiens ne sont pas réellement sensibles. seuls certains pôles comme la direction, les ressources humaines, le business, la recherche et le développement, … peuvent contenir des informations extrêmement sensibles. Difficile de surfer contre la vague lorsque la tendance est à l’externalisation des messageries. De ce constat, des solutions émergent pour compléter ce manque de sécurité tout en optant pour ces nouveaux modèles, tel que l’offre de Totemail qui sera abordé ce trimestre par l’un de nos ingénieurs.

Et enfin d’autres aspects, trop souvent oubliés, sont également à prendre en considération comme le pays d’origine de son Cloud provider. Prenons l’exemple des dernières directives américaines sur le droit de l’accès aux données avec le Cloud Act. Nicolas Vernaz, directeur de la société Redstone Consulting, expose son point de vue et les conséquences possibles de ces nouvelles réglementations au niveau de la protection des données d’entreprise.

Le pays d’origine de son cloud provider peut-il avoir des conséquences sur la protection de ses données ?

Avis d’expert – Nicolas Vernaz

"Pendant que le monde avait les yeux tournés sur le Règlement Général sur la Protection des Données Européen (RGPD), les Etats-Unis ont validé le Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Ce nouveau texte, qui vient compléter le Stored Communications Act (SCA), est une réponse au cas de Microsoft Irland, qui, en 2013, a refusé que le FBI accède à des données de ses serveurs en Europe, sous prétexte que le SCA n’était pas valide hors USA.

Principalement, il stipule que les entreprises américaines doivent fournir des données stockées sur tout serveur qu'ils possèdent et exploitent sur demande ; même si ce serveur est en dehors des USA. Le Cloud Act favorise les échanges directs entre les pays et les USA pour faciliter ces transferts de données, sans devoir passer par des MLAT (traité d'entraide judiciaire) qui étaient très compliqué à mettre en place.

Le Cloud Act fournit également des mécanismes pour les entreprises ou les tribunaux pour rejeter ou contester ces demandes si les droits de confidentialité du pays étranger dans lequel les données sont stockées sont bafouées.

Ces changements peuvent donc toucher toute organisation qui a une présence aux USA.
Dans ce cas :
Informez-vous ! Votre direction doit être consciente de l'existence de la loi CLOUD Act et de ses implications potentielles pour votre entreprise,
Menez systématiquement une analyse de risque appropriée avant de transférer des données sur un nouveau système ou vers/depuis les USA. Ceci y compris pour l'utilisation de services de messagerie basés sur le cloud. Si des données sensibles ou confidentielles sont communiquées, envisagez d'utiliser un service de messagerie électronique crypté.
Évaluez une stratégie de cloud hybride, qui définit clairement quelles données peuvent être stockées dans les services de cloud public, et ce qui devrait être stocké dans les centres de données exploités par les opérateurs de services gérés européens."

Pour en savoir +

Abonnez-vous
à nos newsletters