Migration vers le Cloud : ce que signifie la responsabilité partagée pour votre organisation
Pour les organisations engagées dans la transformation numérique, la migration vers le Cloud figure souvent en tête de liste des priorités. En effet, les piles et systèmes technologiques hérités sont souvent incompatibles avec les nouvelles technologies, voire totalement instables et considérés comme un point de défaillance unique en raison de leur incapacité à évoluer et de l’impossibilité de prendre en charge la sécurité pour des points aussi critiques que la correction des vulnérabilités. La souplesse offerte par le Cloud public/privé, ainsi que les nombreuses technologies sécurisées disponibles, peut s’ajouter aux avantages offerts par la migration vers le Cloud.
Pourtant, pour beaucoup, un tel changement est souvent semé d’embûches liées à la sécurité de vos données (et de celles de vos clients, utilisateurs et citoyens) dans le Cloud. Vous avez peut-être entendu des propos comme « le client est responsable de la sécurité et de la conformité dans le Cloud, tandis que le fournisseur de services Cloud (CSP) est responsable de la sécurité et de la conformité du Cloud ». C’est ce qu’on appelle un modèle de responsabilité partagée. Jetons cependant un coup d’œil sur ce que cette réalité signifie et comment elle s’applique à votre environnement Cloud.
Quelle est votre responsabilité ?
En tant que client, vos responsabilités dans le Cloud seront fonction des services/produits que votre organisation utilisera (ce point est essentiel, car les responsabilités varient entre les différents services et produits).
Par exemple, un hôpital qui a des exigences réglementaires/de conformité spécifiques peut également avoir besoin de pouvoir changer d’échelle tout en restant sécurisé et tout en effectuant des mises à jour en masse. Il devra non seulement sélectionner des services dont l’utilisation est certifiée en fonction de ses besoins internes, mais il lui faudra également envisager des services qui lui permettront de changer d’échelle en toute sécurité, de stocker ses mises à jour en masse, des listes de contrôle d’accès pour son trafic réseau, etc. Voilà un bref exemple de la façon dont la responsabilité peut être davantage transférée vers le client, compte tenu de la nature de ses exigences spécifiques. La stratégie globale de déploiement sur le Cloud varie selon les clients et elle permet à certains de transférer davantage la gestion des contrôles de sécurité vers le CSP. Cela dépend du modèle de service Cloud utilisé par votre organisation (par exemple, logiciel en tant que service, plate-forme en tant que service ou infrastructure en tant que service).
Les organisations doivent également comprendre ce qu’elles héritent du CSP et ce qui pourrait potentiellement relever d’un contrôle et/ou d’une responsabilité partagés. Notamment, si vous utilisez Amazon Web Services en tant que CSP, le client ne sera pas responsable d’éléments comme les emplacements périphériques, la création de zones de disponibilité (vous n’êtes pas responsable de la création physique de cet emplacement isolé ou de tout matériel qui y fonctionnera) ou des serveurs API si vous utilisez le plan de contrôle EKS, le réseau, etc.
En définitive, le client est responsable de ses propres données. Cela comprend le chiffrement : oui, le client est responsable de cette configuration, ainsi que de l’intégrité et des mécanismes d’authentification et d’autorisation qui seront utilisés pour l’accès, la sécurité et la gestion des données.
Bien qu’il ne s’agisse pas d’une liste exhaustive des responsabilités, vous trouverez ci-dessous quelques considérations que les organisations doivent comprendre pour évaluer leurs capacités globales de migration et de sécurité.
Quelle est notre responsabilité ?
Les fournisseurs de logiciels en tant que service sont responsables d’éléments comme les API et les middlewares, les virtualisations, la sécurité réseau, etc. Il est essentiel de comprendre que la plupart des applications que nous fournissons fonctionneront via Internet et donc, une grande part de la façon dont nous atteignons notre objectif d’assurer la sécurité et la conformité pour le client consiste à sécuriser notre plate-forme et à nous assurer que l’intégralité de la maintenance et de la gestion des applications qui sont utilisées par les clients est sécurisée, résiliente et hautement disponible pour l’utilisateur final. Le fait est que nous sommes TOUS responsables de la sécurité sur le Cloud.
Salesforce aidera-t-elle à identifier ce qui relève de la responsabilité du client ?
Il est important de savoir que les conseils concernant l’approche de programmation, la sécurité, la conformité et la gouvernance varient légèrement en fonction de votre propre modèle de sécurité Salesforce. Cependant, un point identique dans tous les modèles de sécurité est l’engagement de Salesforce à aider votre organisation avec les meilleures pratiques pour concevoir une architecture sécurisée, à négocier et concevoir des solutions pour répondre à des problèmes complexes et des exigences commerciales explicites, et à fournir des conseils sur les meilleures pratiques de développement d’applications et d’intégration (pour ne citer que quelques-uns de nos engagements).
Tout cela fait partie de notre engagement envers la réussite de nos clients. Nous sommes là pour vous aider à répondre aux exigences de base afin d’effectuer une évaluation interne de l’état de préparation à la migration, d’analyser les exigences commerciales et de sécurité et de vous conseiller sur la stratégie de migration, le calendrier, les obstacles à la sécurité, etc.
Une fois cela accompli (et plus encore) et quand nous serons d’accord sur le fait qu’une migration réussie est possible, nous irons plus loin dans l’identification des responsabilités du client, et ce, dès le départ. Nous proposons des contrôles de sécurité natifs personnalisables parmi lesquels des mécanismes d’authentification, des autorisations utilisateur, des listes d’adresses IP autorisées (pour n’en citer que quelques-uns). Nous proposons également de nombreux produits et fonctionnalités de base prêts à l’emploi qui peuvent se révéler utiles dans la gestion de votre activité. Encore une fois, en tant que client, votre responsabilité est de vous assurer que votre organisation est parfaitement prête et capable de respecter ses exigences en matière de responsabilité partagée pour chaque produit qu’elle sélectionne.
Nous souhaitons tous tisser des partenariats et des relations solides avec nos clients, leurs parties prenantes et les autres fournisseurs de services Cloud, c’est pourquoi chaque approche de vos besoins de migration vers le Cloud sera personnalisée pour vous convenir au mieux ! Si vous souhaitez en savoir un peu plus sur les notions de confiance et de sécurité ici chez Salesforce, consultez le module En savoir plus sur le modèle de responsabilité partagée sur la plate-forme gratuite d’apprentissage et de formation de Salesforce, Trailhead !