close
Share with your friends
office 365

Vous faites le saut vers l’infonuagique?

Vous faites le saut vers l’infonuagique?

Articles « Repenser le risque »

Article coécrit par Peter Morin, directeur principal, Services-conseils en technologie; Sivan Vaisman, directeur principal, Enquêtes technologiques; et Jeff Dance, directeur, Cybersécurité KPMG au Canada.

Vous faites le saut vers l'infonuagique?
Aussi prometteur le modèle SaaS (logiciel en tant que service, ou software as a service) soit-il, il vous faut tout de même trouver le juste milieu entre des attentes élevées et la réalité du travail en ligne.

Pour plusieurs, la migration vers le nuage va de pair avec Office 365, la suite de productivité d'applications sur abonnement de Microsoft comme Outlook, Word, Excel, PowerPoint, SharePoint et OneDrive, soit la solution de Microsoft au stockage et au partage des données en nuage.

Tout comme dans le cas des autres solutions SaaS, Office 365 permet aux organisations de payer un abonnement pour avoir accès à ces applications et d'ajouter de nombreux modules complémentaires afin d'améliorer la fonctionnalité et d'atténuer les risques liés à la sécurité des données.

À lui seul, le prix de cette solution a incité de nombreuses organisations à transférer leur fonction TI vers le « nuage ». Cette stratégie est certes intéressante, mais tout transfert doit être fait en pleine connaissance des risques et des fausses idées concernant ces services en ligne.

Un horizon dégagé

Un des mythes les plus répandus sur le travail en nuage est qu'il permet aux organisations de se libérer des préoccupations en matière de confidentialité et de sécurité des données. Évidemment, des services comme Office 365 viennent avec des contrôles de sécurité standard et des modules complémentaires avancés. Mais, en fin de compte, il revient toujours à l'utilisateur d'adopter de saines pratiques à l'égard des données, de s'assurer que les bons contrôles de sécurité sont en place et fonctionnent de façon appropriée et de comprendre la pleine valeur que revêt chaque octet des données de l'entreprise, et parfois personnelles, qui est téléchargé et partagé dans le nuage.

Bref, si vous faites le saut vers l'infonuagique alors que vous avez de mauvaises habitudes à l'égard de la sécurité des données, ces mauvaises habitudes seront amplifiées dans le nuage.

Il peut être utile de savoir distinguer les services de stockage sur place des options infonuagiques. Traditionnellement, grâce à un serveur Microsoft Exchange sur place, bon nombre d'organisations disposent de plusieurs contrôles tels des VPN, des pare-feu et des procédés d'authentification à facteurs multiples pour conserver le caractère sécuritaire des transactions. Ce sont des contrôles de périmètre qui jouent un rôle d'arrière-scène et qui n'exigent que des efforts minimes, voire nuls, de la part de l'utilisateur final.

Dans le nuage, ces contrôles ne sont pas toujours garantis – et même lorsqu'ils sont déployés, il est peu probable que leur fonctionnement soit familier aux utilisateurs finaux. Qui plus est, les données se trouvent désormais dans un environnement public auquel peut accéder quiconque possède vos informations de connexion. Office 365 permet de répondre à pratiquement toutes ces préoccupations, mais la sécurité des données demeure l'affaire des organisations, qui doivent jouer un rôle plus actif pour en assurer la vérification continue.

La meilleure solution consiste à changer le point de vue en se concentrant sur le risque lié aux données plutôt que sur le risque associé à la sécurité du périmètre. Cette approche tient compte du fait que ces contrôles de périmètre ne peuvent être tenus pour acquis, et que l'organisation doit porter une attention accrue aux caractéristiques de sécurité qu'elle utilise, au contenu qu'elle partage en ligne et aux contrôles et processus spécifiques qui sont en place pour le protéger.

Après tout, il est possible d'être en sécurité dans le nuage – il suffit de demeurer vigilant.

Considérations relatives au nuage

La formation et les compétences axées sur l'infonuagique sont en plein essor. Pourtant, bon nombre d'organisations doivent encore saisir la pleine mesure de leurs responsabilités face à cet environnement virtuel et des risques qui y règnent. Voici six facteurs à prendre en considération avant d'opter pour Office 365.

  • Connaître ses données – Les données sont comme l'eau : personne n'en connaît la valeur jusqu'à ce qu'elle disparaisse ou qu'elle devienne contaminée. Voilà pourquoi il est important de recenser les données que vous avez l'intention de mettre en ligne, de bien les classer, d'en évaluer la valeur et de vous assurer que vos données critiques sont virtuellement mises sous clé.
  • Revoir son abonnement – Plusieurs niveaux d'abonnement sont offerts pour des services infonuagiques comme Office 365, chacun présentant des fonctionnalités et des caractéristiques de sécurité diverses. Les abonnements de base pourront sembler attrayants pour votre budget, mais ils n'offrent peut-être pas de fonctions plus avancées liées à la confidentialité et à la sécurité des données. Lorsque vous établissez un budget pour des services infonuagiques, tenez compte à la fois des frais fixes récurrents et du prix des produits et des services supplémentaires que vous devrez vous procurer pour assurer une réelle protection de vos actifs numériques.
  • Authentification à facteurs multiples – De nombreux cyberincidents peuvent être évités simplement par l'instauration de l'authentification à facteurs multiples. Microsoft offre cette fonctionnalité dans Office 365 et certaines solutions proposées par des tiers peuvent aussi être examinées. Les organisations pourraient choisir d'éliminer cette étape pour que leurs utilisateurs finaux aient plus facilement accès à leurs courriels, ce qui les rend encore plus vulnérables aux accès par des utilisateurs non autorisés.
  • Environnement mobile – Alors que l'empreinte numérique que laissent les sociétés est de plus en plus grande, un nombre croissant d'employés utilisent leur propre appareil pour accéder à leurs services infonuagiques. Ces réseaux mobiles doivent être pris en compte adéquatement, puisque tous les contrôles du monde ne vaudront rien du tout si l'environnement mobile n'est pas lui aussi sécurisé. À cet égard, Intune, solution de gestion infonuagique de Microsoft, est un outil qui peut s'avérer utile.
  • Ne pas se fier uniquement à la formation – Il ne peut pas nuire de responsabiliser les employés quant aux pratiques de sécurité des données, mais il s'agit rarement d'une solution à toute épreuve. On ne peut pas supposer que les utilisateurs finaux ont tous le même niveau de connaissance ou de compréhension de la sécurité, et vos employés ont mieux à faire que de se tenir au fait des développements en matière de sécurité des données. La meilleure approche est de compléter la sensibilisation à la sécurité des données par la mise en place de contrôles et de processus intégrés liés à la sécurité infonuagique qui fonctionnent sans qu'une intervention humaine soit nécessaire.
  • S'associer pour faire le saut – S'associer à un tiers consultant qui a l'expérience de l'infonuagique peut aider les organisations à traverser le processus de planification et de migration et les préparer à exercer leurs activités de façon sécuritaire et efficiente dans leur nouveau bureau virtuel.

Avec l'infonuagique, il est vrai qu'il vaut mieux prévenir que guérir. Avant de déménager dans le nuage, il vaut mieux se doter de mesures préventives non seulement pour éviter les efforts de rétablissement fastidieux et coûteux, mais aussi pour passer à l'ère numérique en disposant de solides assises.

avenir changeant

Accepter, adopter, utiliser

Accepter, adopter, utiliser

Faire place à la chaîne de blocs