« Voici quelques étapes clés que les DG et DSI peuvent suivre pour piloter une transition sécurisée vers le cloud »

Préoccupation majeure pour de nombreuses entreprises, la transition vers le cloud requiert une approche structurée et collaborative. Dans cette interview, Didier Kla, Directeur Orange Business et Broadband, identifie quelques étapes clés que les DG et les DSI peuvent suivre pour piloter une stratégie sécurisée lors de cette transition.

Quelles sont les principales offres qui existent aujourd’hui sur le marché du cloud ?

Les principales offres sur le marché du cloud se répartissent généralement en trois catégories: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) et Software as a Service (SaaS).

Infrastructure as a Service (IaaS): Ces services fournissent des ressources informatiques virtualisées à travers Internet. Aujourd’hui, Orange Côte d’Ivoire propose les offres Flexible Engine et Colocation qui permettent de mettre à disposition un espace dédié à l’hébergement des équipements SI (voir les définitions ci-dessous).

Platform as a Service (PaaS): Ces services offrent des plateformes permettant aux développeurs de créer, tester et déployer des applications sans se soucier de la gestion de l'infrastructure sous-jacente. A l’heure actuelle, nous réfléchissons à comment développer une offre adaptée au marché ivoirien.

Software as a Service (SaaS): Ces services offrent des logiciels accessibles via Internet et hébergés dans le cloud, de sorte que les utilisateurs n'ont pas besoin de les installer ou de les gérer localement. Nous sommes heureux d’avoir pu développer notre offre en BAAS et de pouvoir travailler en partenariat avec Microsoft avec l’offre 365. Notre objectif est de proposer des offres adaptées au marché.

Zoom en détails express sur nos offres Cloud :

IAAS

• Flexible Engine : C'est la principale offre d'Infrastructure as a Service (IaaS) d'Orange Business Services. Elle est basée sur la technologie OpenStack et est destinée à fournir des ressources virtualisées (machines virtuelles, stockage, etc.) dans le cloud.
• Colocation est un service de mise à disposition au sein des Datacenters de Orange d’un espace dédié à l'hébergement des équipements SI propriété du client et bénéficiant des services d’énergie (alimentation des serveurs et climatisation) et d'un minimum de connectivité internet de débit partagé auxquels s’ajoutent les composants de sécurité propres aux environnements Data Center (Sécurité physique & logique). SAAS/BAAS
• Flexible Backup, ou Backup as a Service (BaaS), est une solution de sauvegarde des données qui permet aux entreprises de stocker leurs données de manière sécurisée en dehors de leurs locaux. Cette technologie est essentielle pour garantir la continuité des activités, car elle protège les données contre les pertes, les pannes matérielles et les sinistres.
• Microsoft 365 est une solution complète de gamme de logiciels bureautiques Microsoft disponibles en mode Cloud accessible depuis n'importe quel appareil (PC, tablette, smartphone) et permettant à nos clients d'améliorer l'efficacité de leurs équipes grâce à des fonctionnalités de communication, de collaboration et de stockage ainsi qu’une meilleure maîtrise du budget du système d'information

Selon les résultats de l'étude Cloud Radar 2023, 67 % des entreprises ont augmenté leurs dépenses liées au cloud cette année ; 80 % ont même l'intention d'augmenter ces dépenses l'année prochaine. C'est dire que le marché du cloud est en pleine croissance dans le monde. Quelles en sont les raisons ?

Le Cloud est en pleine expansion dans le monde pour différentes raisons qui principalement sont les suivantes:

• Flexibilité et évolutivité : Les services de cloud computing permettent aux entreprises de s’adapter rapidement aux changements de la demande et de l’évolution des besoins. Les entreprises peuvent facilement augmenter ou diminuer leur capacité de stockage et de traitement en fonction des besoins, sans avoir à investir dans des infrastructures coûteuses.
• Réduction des coûts : les services de cloud computing permettent aux entreprises de réduire les coûts liés à l’achat, à la maintenance et à la mise à niveau des infrastructures informatiques. Les entreprises peuvent également économiser sur les coûts énergétiques, car elles n’ont pas besoin d’alimenter et de refroidir leurs propres centres de données.
• Sécurité : les fournisseurs de services de cloud computing offrent souvent des niveaux de sécurité plus élevés que ceux que les entreprises peuvent se permettre d’offrir elles-mêmes. Les fournisseurs peuvent investir dans des technologies de sécurité avancées et embaucher des experts en sécurité pour protéger les données des clients.
• Accès à la technologie : les services de cloud computing permettent aux entreprises d’accéder à une technologie avancée qu’elles ne pourraient pas se permettre d’acheter ou de développer elles-mêmes. Les entreprises peuvent utiliser des technologies telles que l’intelligence artificielle, l’apprentissage automatique et l’analyse prédictive pour améliorer leurs opérations.  
• Mobilité : les services de cloud computing permettent aux employés d’accéder aux données et aux applications depuis n’importe où, à tout moment, ce qui améliore la productivité et la flexibilité.
•  Pressions réglementaires : dans certains secteurs, les réglementations peuvent encourager ou exiger une certaine forme de migration vers le cloud, en particulier lorsque cela peut améliorer la sécurité et la conformité des données.

L’expansion du cloud est cependant marquée par la domination des géants de la Tech. En 2022, les entreprises américaines Amazon, Microsoft et Google ont capté environ les deux tiers du chiffre d'affaires mondial des services d'infrastructure cloud estimé à 217 milliards de dollars selon Synergy Research Group. En quoi cette suprématie peut être problématique pour les entreprises africaines ?

La domination des géants technologiques américains, tels qu'Amazon, Microsoft et Google, dans le secteur du cloud peut être un frein pour les entreprises africaines mais en aucun cas un réel problème. En effet, les préoccupations majeures sont :

• Dépendance vis-à-vis des fournisseurs: La dépendance vis-à-vis d'un nombre limité de grands fournisseurs peut rendre les entreprises africaines vulnérables à des changements de tarification, des modifications des conditions de service ou d'autres décisions prises par ces fournisseurs.
• Transfert de données et souveraineté: La majorité des centres de données de ces grands fournisseurs sont situés en dehors de l'Afrique. Cela soulève des questions sur la souveraineté des données, car les données sensibles des entreprises africaines sont stockées à l'étranger, où elles peuvent être soumises à des lois et réglementations étrangères.
• Adaptation culturelle et locale: Les solutions proposées par les géants américains peuvent ne pas être parfaitement adaptées aux spécificités culturelles, linguistiques ou réglementaires des pays africains.
• Risques liés à la concurrence: Si une entreprise africaine opère dans un secteur similaire ou concurrentiel à l'un de ces géants technologiques, il peut y avoir des préoccupations quant à la sécurité et la confidentialité des données hébergées sur leurs plateformes cloud.

C’est pourquoi, le groupe Orange investit chaque jour dans la recherche et le développement afin de proposer aux entreprises africaines des offres Cloud totalement adaptées à la réalité et aux besoins du marché.

La complexité du cloud augmente également avec l'arrivée de technologies telles que l'IA générative, l'IoT, etc. Quelles problématiques de sécurité sont soulevées par ces avancées technologiques ?

L'intégration de technologies avancées comme l'intelligence artificielle (IA), l'IA générative et l'Internet des Objets (IoT) au sein des infrastructures cloud introduit une série de nouvelles préoccupations en matière de sécurité. Voici quelques-unes des principales problématiques de sécurité soulevées par ces avancées technologiques :

• Intégrité des modèles d'IA: Les attaques adverses peuvent cibler des modèles d'IA pour les tromper ou les détourner. Un modèle compromis peut produire des résultats erronés ou malveillants.
•  Confidentialité des données: Avec l'IoT collectant des données depuis de nombreux endroits et appareils différents, il y a un risque accru de collecte et de transmission de données sensibles ou personnelles sans le consentement approprié.
• Problèmes liés à l'évolutivité: La capacité à traiter un grand nombre d'appareils IoT et les vastes ensembles de données nécessaires pour l'IA peut introduire des défis en termes d'authentification, d'autorisation et d'audit.
• Conservation des données: la question de la durée de conservation des données, en particulier des données sensibles ou personnelles, est un défi, car la conservation de données inutiles augmente le risque en cas de violation.

De façon plus générale, quels sont aujourd’hui les principaux enjeux de sécurité autour du cloud ?

La sécurité du cloud est au cœur des préoccupations de nombreuses entreprises à mesure que l'adoption du cloud s'accélère. Les enjeux de sécurité autour du cloud sont nombreux et couvrent un large éventail de domaines. Voici quelques-uns des principaux enjeux :

• Conformité et réglementation: Les entreprises doivent s'assurer que leurs déploiements dans le cloud respectent les réglementations en vigueur, qu'il s'agisse du RGPD en Europe, du CCPA en Californie ou d'autres réglementations spécifiques à une industrie.
• Sécurité des données: Assurer la confidentialité, l'intégrité et la disponibilité des données est essentiel. Cela couvre le chiffrement (au repos et en transit), la gestion des clés, la prévention des pertes de données et la protection contre les attaques de type ransomware. 
• Surveillance et détection des menaces: La mise en place d'outils de surveillance pour détecter les activités anormales ou malveillantes en temps réel est essentielle pour réagir rapidement aux incidents de sécurité.
• Récupération après incident: Avoir un plan solide pour la reprise après sinistre et la continuité des activités est crucial pour minimiser l'impact d'un incident de sécurité.

En pratique, comment les directeurs généraux et les directeurs de système d’information peuvent piloter une stratégie sécurisée lorsqu’un projet de transition vers le cloud est abordé ?

La transition vers le cloud est une étape majeure pour de nombreuses entreprises. Pour s'assurer que cette transition se fait de manière sécurisée, les directeurs généraux (DG) et les directeurs des systèmes d'information (DSI) doivent adopter une approche structurée et collaborative. Voici quelques étapes clés qu'ils peuvent suivre pour piloter une stratégie sécurisée lors de cette transition.

• Évaluation initiale et cartographie des risques:
  • Identifiez les données et applications critiques.
  • Évaluez la sensibilité et la réglementation associée à ces données.
  • Établissez un état des lieux des risques associés à la transition.
• Définir une gouvernance claire:
  • Mettez en place une équipe projet dédiée comprenant des experts en sécurité, des architectes cloud et des représentants métier.
  • Établissez des responsabilités claires concernant la sécurité dans le cloud.
• Choisir un fournisseur de cloud adapté:
  • Évaluez la maturité en matière de sécurité du fournisseur.
  • Examinez les certifications et audits de sécurité du fournisseur.
  • Négociez des accords de niveau de service (SLA) solides.
• Mise en place de politiques et de standards de sécurité:
  • Définissez des politiques de sécurité spécifiques au cloud.
  • Adoptez des standards et des meilleures pratiques reconnus, tels que ceux définis par le Cloud Security Alliance (CSA).
• Formation et sensibilisation:
  • Assurez-vous que le personnel comprend les enjeux et les meilleures pratiques de sécurité dans le cloud.
  • Organisez des formations régulières et des simulations d'incidents.
• Plan de réponse aux incidents:
  • Élaborez un plan de réponse spécifique aux incidents liés au cloud.
  • Effectuez des tests réguliers du plan de réponse.

Dès lors, quel rôle peut jouer un opérateur télécoms afin d’accompagner les entreprises pour s’assurer que l’intégrité, la sécurité et la confidentialité des données sont garanties par les services cloud utilisés ?

Un opérateur télécoms peut jouer un rôle significatif dans l'accompagnement des entreprises vers une adoption sécurisée du cloud. Grâce à leur expertise en matière de connectivité, d'infrastructure et de sécurité, ils peuvent offrir une gamme de services et de solutions adaptées aux besoins des entreprises. Voici quelques rôles clés qu'un opérateur télécoms peut jouer : 

• Conseil et expertise :
  • Évaluation des besoins: Aider les entreprises à définir leurs besoins en matière de sécurité et de conformité.
  • Recommandations: Fournir des recommandations sur les meilleures pratiques et les configurations sécurisées.
• Solutions de connectivité sécurisée :
  • Connexions dédiées: Offrir des liaisons privées directes aux services cloud, comme le Direct Connect d'Amazon AWS, pour éviter le trafic Internet public.
• VPN et solutions de chiffrement: Proposer des solutions de connexion chiffrée pour garantir la confidentialité des données en transit. Centres de données et hébergement :
  • Infrastructure sécurisée: Les opérateurs télécoms possèdent souvent leurs propres centres de données, qui peuvent offrir un niveau de sécurité physique et numérique élevé.
  • Services d'hébergement hybride: Pour les entreprises qui souhaitent une combinaison de cloud public et privé, les opérateurs peuvent proposer des solutions hybrides.
• Sensibilisation et formation :
  • Organiser des ateliers, des formations et des simulations pour sensibiliser les clients aux menaces et aux meilleures pratiques en matière de sécurité.
• Support et réponse aux incidents :
  • Proposer une assistance 24/7 pour répondre aux incidents de sécurité.
  • Collaborer avec des partenaires spécialisés en réponse aux incidents pour offrir un soutien expert en cas de violation de données.

Par Anselme AKEKO