Face à l’adoption massive du Cloud et son impact sur la sécurité et la continuité de service, le CESIN s’émeut du manque de cyber-résilience des entreprises aux approches « cloud first »…

Le temps est maussade sur les grands clouds depuis quelques jours. Nombreux sont les utilisateurs de Gmail et d’Office 365 à connaître des soucis de connexion ou de disponibilité de leur messagerie. Du coup, certaines entreprises ont vu leur activité plus ou moins perturbée, voire paralysée, par ces dysfonctionnements dont l’origine n’est pas clairement définie. Attaques cybercriminelles ou dysfonctionnements des infrastructures ? Peu importe, pour le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) ces incidents sont une piqure de rappel sur le manque de cyber-résilience des approches « cloud first »…

Pour Alain Bouillé, Président du CESIN, « les entreprises qui ont opté pour une stratégie « Cloud first » ne pouvaient plus assumer des infrastructures concentrées en propre. Mais leur risque s’est déplacé et est monté d’un cran au niveau des fournisseurs de cloud. Il convient maintenant à chaque entreprise de l’adresser en développant sa résilience, en limitant les solutions trop monolithiques, en cassant les trop fortes dépendances à un nombre restreint d‘acteurs, en introduisant certaines rusticités et solutions de repli alternatives, en créant des zones de respiration des SI et en conservant la maîtrise de quelques éléments fondamentaux, nécessaires à une reconstruction, afin de ne jamais se retrouver en total déséquilibre. »

Bref, faire reposer des workloads entiers exclusivement sur un même provider cloud pose des problèmes de redondance et résilience. Bien sûr le cloud est une excellente solution de PCA/PRA pour des infrastructures « on-prem’ ». Mais si tout est dans le cloud, « comment maintenir son activité si le fournisseur n’est pas opérationnel ? ». C’est la question que le CESIN aimerait voir toutes les entreprises se poser. Après tout, comme le souligne Allain Bouillé, les infrastructures cloud deviennent de plus en plus complexes, gigantesques mais également vieillissantes au fil du temps qui passe.

Le CESIN n’apporte aucune réponse pratique. S’il est de plus en plus facile (notamment via les containers) de prévoir des scénarios hybrides offrant une bonne résilience pour les workloads, il est plus compliqué de mettre en place une résilience lorsque le système d’authentification cloud tombe en panne ou pour la messagerie. Sans être aussi alarmiste que les communiqués du CESIN, il est important que les entreprises anticipent de tels scénarios et évaluent l’impact qu’ils peuvent avoir sur leur activité.