Le Cloud ou le SAAS (Software As A Service) est une solution qui a permis de faciliter l’accès et de diminuer le coût d’un certain nombre de logiciels en libérant des contraintes d’intégration, d’installation et de maintenance. Le Cloud Computing reste d’ailleurs la solution la plus fiable en matière de protection des données, bien que des points de vigilance restent à observer pour assurer une sécurité totale.
Adopter une approche « secure-by-design »
L’approche « secure by design » est une mesure spécifiée et rendue obligatoire par la Réglementation Générale sur la Protection des Données (RGPD). Elle consiste à faire en sorte que la sécurité des données soit pensée dès la conception du système d’information. Pour les entreprises, il s’agit donc d’offrir une meilleure protection des droits des clients relatifs à leurs données, en encadrant notamment leur durée de conservation, leur traçabilité dans le cadre de la sous-traitance et la mise en place de nouveaux outils de « Data Loss Prevention ». Les entreprises qui ont pris en compte ces enjeux de conformité ont d’ailleurs une longueur d’avance sur leurs concurrents car la clientèle est de plus en plus sensible au cadre éthique et de confiance dans le traitement de leurs données.
En outre, les cyberattaques concernent aujourd’hui toutes les entreprises, quelle que soit leur taille et il est devenu impératif de se préparer à une fuite de données personnelles pouvant causer un arrêt de production IT. L’approche « Secure by design » est donc essentielle, surtout lorsque les produits de l’entreprise sont amenés à être connectés.
Sensibiliser et former les équipes de l’entreprise au Cloud et à la protection des données
La formation des collaborateurs est primordiale dans la protection des données, notamment sur le Cloud, car sans employés sensibilisés, il est impossible pour l’entreprise d’assurer une sécurité optimale. Une étude de PWC a, en effet, montré que les incidents qui touchent des entreprises avec une culture interne prenant en compte la sécurité leur coûtent quatre fois moins cher que pour les autres.
Ainsi, il faut sensibiliser les équipes par le biais de l’apprentissage et de formations par palier. Il faut y aller par étape, en expliquant pour commencer les objectifs de la démarche, les différents enjeux de la sécurité des données, les bonnes pratiques à adopter et enfin les différents automatismes à développer au fil du temps.
De plus, il faut prendre en compte les différences entre les cultures, les origines et l’âge des équipes à sensibiliser afin que les formations obtiennent les résultats escomptés. D’ailleurs, il se peut que les séances ne suscitent pas beaucoup d’enthousiasme au début et pour solutionner cela, il faut miser sur une campagne ludique, adaptée, flexible avec une durée suffisante pour l’atteinte des objectifs fixés.
Par ailleurs, en plus d’aborder les concepts classiques de la sécurité d’entreprise, il est aussi nécessaire de développer un programme spécifique à la culture interne de l’entreprise et adapté à son fonctionnement pour répondre à ses besoins spécifiques.
Enfin, il faut savoir que la sécurité est un domaine en constante évolution et il faut que le RSSI et son équipe restent à l’affût des nouveautés afin d’adapter les contenus de la formation interne.
Utiliser des solutions de sécurité en tant que service (SaaS)
Le logiciel en tant que service ou SAAS est un modèle de distribution de logiciel par le biais du Cloud. L’hébergement des applications se fait par le fournisseur de service. Il s’agit d’une solution aux multiples avantages, notamment en termes de coûts puisque qu’elle est généralement moins chère que les systèmes de sécurité on-premise. En effet, en optant pour une solution de sécurité en tant que service, l’entreprise ne doit plus implémenter que les logiciels nécessaires et y accéder facilement par le biais d’une connexion internet.
En outre, les Softwares as a Service ont l’avantage de supprimer les besoins en maintenance et en réparation et permettent de gagner de l’espace. A contrario, les solutions de sécurité on-premise nécessitent de la place pour les serveurs, le matériel informatique ainsi que le personnel, sans compter les différents câblages et le système de ventilation. Les SaaS ne nécessitent aucun espace physique supplémentaire et la sécurité des serveurs est sous la responsabilité des vendeurs.
