Sécurité du cloud
Gros plan sur la sécurité du cloud : stratégies, architectures et modèles de contrats pour protéger les données sensibles des entreprises dans un monde numérisé
Les données sont un outil de l'économie numérique moderne, ou le nouvel or des entreprises (secteur privé), mais aussi pour le gouvernement (secteur public). Dans le monde numérisé d'aujourd'hui, il y a toujours de nouveaux ensembles de données qui se retrouvent en grand nombre sur Internet. Certains d'entre eux concernent des données personnelles qui reflètent une identité numérique. Le véritable art dans une entreprise est de filtrer soigneusement ces données et surtout de les stocker. Dans ce travail rapide, il s'agit de montrer les données dans un cloud et leur traitement dans une perspective d'entreprise. En outre, ce travail rapide montre quels types de contrats, d'architectures et de mesures de sécurité appropriées contre les cyber-attaques l'industrie met en place afin de disposer d'une base solide pour son propre traitement des données. Avant d'entrer dans le vif du sujet de la sécurité du cloud, il faut d'abord connaître quelques données de base sur ce que l'on appelle le "cloud computing", son fonctionnement et la structure d'un cloud : "Le cloud computing est un modèle de traitement des données qui permet d'accéder facilement, à tout moment et partout, à un pool partagé de ressources informatiques configurables (par ex. réseaux, serveurs, systèmes de stockage, applications et services) via un réseau. Ceux-ci peuvent être mis à disposition rapidement et avec un minimum de frais administratifs ou d'interaction avec le fournisseur de services. Le cloud peut être utilisé dans trois variantes (Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (Saas)). Le type de cloud diffère selon le mode de déploiement (cloud privé, cloud communautaire, cloud public, cloud hybride)" [1]. Dans le domaine du cloud computing, il existe différents types de mise à disposition de la manière dont les fournisseurs de cloud mettent les services de cloud à la disposition de leurs utilisateurs. Il existe quatre modèles principaux associés au cloud computing : 1. cloud publicLe cloud public permet à tous les utilisateurs d'accéder à des ressources informatiques telles quematériel (système d'exploitation, CPU, mémoire) ou logiciel (serveur d'applications, base de données) sur la base d'un abonnement ou d'un paiement à l'utilisation. Les cas d'utilisation pratiques sont le développement et le test d'applications de tâches critiques et non critiques, comme par exemple le partage de fichiers et les services de messagerie. 2. cloud privéLe cloud privé est généralement utilisé explicitement par une seule organisation et peut être géré en interne ou par un fournisseur de services informatiques externe. Bien que les clouds privés soient souvent plus chers que les clouds publics en raison des investissements dans l'achat et la maintenance, ils répondent plus efficacement aux préoccupations des organisations en matière de sécurité et de protection des données. 3. cloud hybride (forme mixte d'un centre de données physique ou d'un cloud privé externe et/ou d'un cloud public).Le cloud hybride utilise à la fois des infrastructures de cloud privé et public. Les entreprises choisissent ce modèle pour étendre rapidement leur infrastructure informatique en cas de besoin. Ainsi, un commerçant en ligne peut par exemple utiliser les ressources du cloud public pendant les vacances pour compléter ou décharger les capacités de son cloud privé. 4. cloud communautaireLe cloud communautaire soutient ensemble plusieurs organisations qui utilisent des ressources informatiques. Il s'agit par exemple d'universités qui collaborent dans des domaines de recherche spécifiques ou d'acteurs gouvernementaux tels que les services de police au sein d'un comté qui partagent des ressources. L'accès à un cloud communautaire est limité aux membres de la communauté. Les coûts pour l'utilisateur final sont traditionnellement faibles pour les clouds publics, sans nécessiter encore de gros investissements. Les clouds privés, en revanche, nécessitent certesinvestissements, mais ils offrent des avantages par rapport aux coûts d'exploitation de la propre infrastructure.des économies de base. Les clouds privés garantissent aussi plus de sécurité et de protection.soutien de la conformité que les clouds publics. C'est pourquoi certaines organisations utilisent des clouds privés pour les données et les applications critiques ou plus sensibles, et des clouds publics pour les tâches de base comme le développement d'applications, les environnements de test et les services de messagerie.[2] Une solution cloud hybride est idéale pour réduire ou diversifier les risques d'une cyberattaque. Elle offre un plus grand contrôle sur sa propre sécurité par rapport à l'utilisation pure d'un cloud public. De plus, une infrastructure cloud hybride offre la possibilité de mettre en place des normes de sécurité individuelles et d'installer des logiciels sur des serveurs.configurer des serveurs privés sur mesure. Cette répartition permet d'augmenter la fiabilité des systèmes et de mieux évaluer les problèmes du système. De plus, l'efficacité des coûts est plus élevée que l'achat et la maintenance de serveurs sur place.[3] Modèles d'architecture de services cloudFace à ces avantages d'une solution cloud hybride, qui vont d'un contrôle de sécurité accru à une fiabilité améliorée, il est important de comprendre les différentes architectures de services cloud. Ces architectures, à savoir Infrastructure as a Service (IaaS), Platform as a Service (PaaS) et Software as a Service (SaaS), offrent différents niveaux de fourniture de services et définissent différentes responsabilités en matière de conformité. 1) Infrastructure as a Service (IaaS)Les fournisseurs IaaS fournissent l'infrastructure de base de calcul, de stockage et de réseau ainsi que l'infrastructure de base.hyperviseur pour la virtualisation. Les utilisateurs sont responsables de la création et de la gestion des instances virtuelles, de l'installation des systèmes d'exploitation, de la mise à disposition des applications et des données ainsi que de toute la configuration. L'IaaS est intéressant aussi bien pour les petites que pour les PME. La facilité d'utilisation d'une infrastructure cloud qui n'est pas exploitée en propre représente une alternative économique à l'achat de son propre matériel. Exemples : DigitalOcean, AWS, Azure, Google Compute Engine. 2. plateforme en tant que service (PaaS)Les fournisseurs PaaS étendent la pile d'applications plus que IaaS, en ajoutant des systèmes d'exploitation et des middleware (par exemple, des bases de données). Les utilisateurs se concentrent davantage sur le développement d'applications. La plate-forme gère l'infrastructure sous-jacente. Exemples : AWS Elastic Beanstalk, Google App Engine. 3. logiciel en tant que service (SaaS)Les fournisseurs SaaS proposent une pile d'applications complète. Les utilisateurs peuvent accéder à l'application entièrement hébergée via un navigateur web. La gestion des charges de travail et des ressources informatiques est entièrement sous le contrôle du fournisseur SaaS, tandis que les utilisateurs ont explicitement le contrôle des données créées par l'application. Exemples : aBusiness Suite, Salesforce, Dropbox, Google Workspace.[4] Le cloud dans le droit des contratsJusqu'à présent, les contrats SaaS n'ont pas encore été explicitement traités juridiquement par le législateur. Jusqu'à présent, un contrat SaaS ne peut être classé juridiquement que comme un contrat mixte, qui comprend des aspects de contrats de services, de contrats d'entreprise et de contrats de location. Le domaine juridique applicable dépend donc de la section de service du contrat. L'élément central d'un contrat SaaS se situe principalement dans le droit de la location, car la mise à disposition de logiciels se compare le mieux à la mise à disposition de biens dans le droit de la location. Comme le logiciel n'est pas considéré comme un "bien" au sens du droit de location, l'opinion qui prévaut actuellement est que les contrats SaaS constituent une mise à disposition limitée dans le temps pour utilisation. Ceci est en harmonie avec les règles et l'objectif poursuivi par le droit de location.[5] Les contrats PaaS se caractérisent principalement par des accords de niveau de service (SLA), qui définissent les conditions d'utilisation.Définir les services minimums et définir les droits et les obligations des deux parties. La protection des données et la sécurité des données jouent un rôle important, car les services PaaS traitent souvent des données sensibles. Le contrat doit contenir des dispositions claires sur la protection des données.protection des données personnelles. En outre, il est inévitable de définir dans le contrat qui détient la propriété intellectuelle des applications créées, l'utilisateur conservant généralement la propriété des applications et le fournisseur la propriété de la plate-forme.[6] ConclusionQu'il s'agisse d'une start-up, d'une entreprise de capital-risque, d'une PME ou d'une entreprise plus importante, la sécurité du cloud est d'une importance capitale pour chaque entreprise. Il ne s'agit pas seulement de savoir avec quels fournisseurs de cloud on travaille en tant qu'entreprise.mais aussi les conditions générales qui sont fixées. En fin de compte, la sécurité n'est pas uniquement de la responsabilité du fournisseur de services de la technologie cloud en soi, mais les collaborateurs d'une entreprise jouent un rôle tout aussi important dans l'aspect sécurité d'un cloud. Il est essentiel d'investir régulièrement dans la formation et la sensibilisation des employés afin de s'assurer qu'ils possèdent le savoir-faire nécessaire pour gérer les politiques et les procédures de sécurité. Cependant, pour exploiter tout le potentiel d'un cloud, les entreprises devraient investir à la fois dans la maintenance de leurs propres systèmes ou de ceux de partenaires externes, et dans le recrutement de nouveaux collaborateurs informatiques. De cette manière, une entreprise peut garantir la sécurité du système, et donc augmenter la satisfaction des clients, ce qui augmente la réputation de l'entreprise à long terme. L'un des principaux problèmes lors du choix d'un fournisseur de cloud externe a toujours été le fait qu'il n'est pas toujours facile de trouver un bon fournisseur.dépendance vis-à-vis des fournisseurs étrangers et de leurs réglementations en matière de protection des données. Les entreprises relèvent ce défi par des mesures telles que l'examen approfondi des politiques de protection des données, des approches hybrides du cloud pour minimiser les risques, des évaluations des mesures de sécurité et des certifications des fournisseurs, des évaluations de l'impact de la protection des données, un suivi et des audits réguliers ainsi que la préparation à d'éventuelles violations de la protection des données. Les stratégies varient en fonction de la taille et du secteur de l'entreprise, mais elles ont toutes pour objectif de garantir la conformité en matière de protection des données et de minimiser les risques potentiels liés à l'utilisation de services cloud externes. Répertoire des sources Cloud Computing Comprendre le cloud - sais-tu ce qu'est un cloud public et ce qu'est un cloud hybride ? (2023) Qu'est-ce que l'IaaS ? Définition et ce qu'il faut savoir Platform as a Service (PaaS) (2022) Ce à quoi tu dois faire attention lors de la rédaction de contrats SaaS (2022) Contrats Platform as a Service (contrats PaaS) : Un guide (2023) [1] cf. https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing [3] cf. https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist/ (2023) [4] cf. https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/ et https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS (2022) [5] cf. https://www.top.legal/wissen/saas-vertraege (2022) [6] cf. https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html (2023) Sécurise ce qui compte Protège tes serveurs. 24 heures sur 24.Articles pertinents pour le sujetQuel type de sauvegarde est le meilleur choix pour mes données ?L'importance de la sauvegarde des données dans la vie réelle Pourquoi des processus commerciaux optimisés sont-ils importants pour ton entreprise ? Cet article couvre les sujets suivants :Le cloud computing |
|