Architectures multicloud : une nouvelle donne en matière de cybersécurité

Le recours au multi-cloud s’opère selon des modalités différentes en fonction des politiques de gestion des données propres à chaque entreprise. S’il est particulièrement courant d’avoir recours à des fournisseurs séparés pour les besoins en matière d’infrastructure, de plates-formes et d’applications, beaucoup d’organisations sont désormais utilisatrices de multiples services Iaas, PaaS et SaaS simultanément.

Un choix qui correspond à la volonté de prévenir une trop forte dépendance à un fournisseur mais qui s’explique surtout par l’adaptabilité technique qu’il permet. En optant pour des services dédiés pour chaque besoin et à des fournisseurs spécialisés dans chaque tâche, les administrateurs réseaux peuvent concevoir des architectures informatiques parfaitement accordées aux besoins métiers et toujours dimensionnées de façon optimale. Financièrement, c’est également un moyen de tirer parti de la concurrence âpre que se livrent les fournisseurs cloud pour profiter des meilleurs prix accessibles pour chaque service.

Ces avantages opérationnels indubitables posent cependant de nombreux problèmes, et en particulier celui de la complexification considérable des effort de cybersécurité. Dans un contexte de hausse significative des cyberattaques, liée notamment aux tensions géopolitiques et aux opportunités nouvelles fournies par la digitalisation des entreprises, l’accumulation des services cloud est aussi synonyme de multiplication des failles de sécurité potentielles. L’interconnexion entre services cloud propre aux architectures multicloud peut ainsi mener à la circulation incontrôlée de données sensibles et de données personnelles dont le traitement est désormais strictement réglementé.

Une révision intégrale des politiques de sécurité

Pour les entreprises conscientes de ces enjeux, l’adoption progressive du modèle multi-cloud doit donc s’accompagner régulièrement d’une révision intégrale des politiques de sécurité et de traitement des données. Du fait de l’évolution constante des solutions cloud, la conformité technique, légale et réglementaire de l’ensemble des services doit faire l’objet d’une réévaluation à intervalles réguliers tenant compte des usages et du caractère critique des données échangées.

Une attention toute particulière doit notamment être portée à la sécurisation des API du fait d’importantes différences de maturité entre les fournisseurs à ce sujet. Malgré la forte complexité qui caractérise le schéma de circulation des données au sein d’environnement multi-cloud, l’objectif doit être de parvenir à une vision unifiée de l’écosystème applicatif pour en déduire un plan de sécurité adapté. Une tâche dans laquelle la coopération rapprochée des partenaires de l’entreprise et de ses fournisseurs cloud est indispensable.

Un levier d’optimisation

Cette procédure de réévaluation constante de l’infrastructure et de sa sécurisation ne doit pas être conçue comme une simple mesure de précaution. Au-delà de la cybersécurité, la superposition d’outils parfois redondants et la complexification des architectures informatiques peuvent parfois grever la productivité des services informatiques comme des équipes métier.

Parce qu’elle apporte une meilleure compréhension de l’environnement applicatif de l’entreprise, une prise en charge rigoureuse des enjeux du multi-cloud peut donc également constituer le point de départ d’une optimisation des processus de sécurité comme des processus métier.