Protection des données : pourquoi ne faut-il pas compter sur votre fournisseur de services cloud ?

De plus en plus d'entreprises dans le monde entier migrent vers le cloud. Mais est-ce vraiment le meilleur environnement pour stocker les informations critiques ? Est-il vraiment assez sécurisé pour y placer des données et applications stratégiques, ayant besoin d'un haut niveau de protection ?
Pour de nombreuses organisations, la première réponse est "oui". Une récente étude réalisée par Dimension Research, à la demande de StorageCraft, a révélé que 71% des sondés français estiment que les données sauvegardées dans le cloud public sont plus sécurisées que celles sur site. De plus, il ressort également que plus de la moitié des entreprises françaises (59 %) considèrent qu'il est de la responsabilité de leur fournisseur de services cloud de restaurer les données et les applications en cas de sinistre.
Mais ces convictions sont-elles correctes ? Les entreprises peuvent-elles se fier uniquement aux fournisseurs de services cloud pour la protection de leurs données ?

En effet, les principaux fournisseurs tels qu'Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform sécurisent généralement les infrastructures et les services de base. Mais il est essentiel de comprendre que lorsqu'il s'agit des données, cette responsabilité est entièrement entre les mains des clients. Les entreprises qui négligent cette protection sont donc beaucoup plus exposées à de graves pertes.

Pourtant, un trop grand nombre d’entre elles pensent encore à tort qu'il ne s'agit pas de leur responsabilité. Elles sont convaincues que leur fournisseur de services cloud se chargera de résoudre les problèmes à leur place et de restaurer les données en cas de sinistre.

Mais ce n’est malheureusement pas le cas. Prenons, par exemple, les données générées dans une application cloud comme Microsoft Office 365. Certes, Microsoft garantit le service, mais pas la sécurité des informations que vous générez lorsque vous l'utilisez.

Office 365 dispose de systèmes de protection de base, tels qu'une corbeille disponible 30 jours qui permet aux utilisateurs de récupérer et de restaurer les données récemment supprimées. Cette fonctionnalité est importante car il arrive que celles-ci soient accidentellement effacées ou supprimées puis que les utilisateurs réalisent qu'ils en ont besoin pour des raisons juridiques. Après ce délai de 30 jours, les fichiers disparaissent toutefois pour de bon. De son côté, Microsoft l'indique clairement dans ses conditions générales de service : « Nous nous engageons à maintenir les services en ligne opérationnels ; toutefois, tous ces derniers subissent des interruptions et des pannes occasionnelles pour lesquelles Microsoft n'est pas responsable. En cas de panne, il est possible que vous ne puissiez pas récupérer votre contenu ou les données que vous avez stockées. Nous vous recommandons donc de sauvegarder régulièrement Votre Contenu et Vos Données stockés sur les services ou stockés à l'aide d'applications et de services tiers. »

Cette fausse idée sur la responsabilité est en quelque sorte compréhensible. L'étude précédemment citée a en effet révélé que les PME sont beaucoup plus sujettes à croire en la capacité de leur fournisseur de services cloud à les soutenir en cas de perte de données. Par exemple, 52 % des entreprises de taille moyenne pensent que leur fournisseur est responsable de la restauration des données, contre seulement 43 % des grandes entreprises.

Nombre de ces PME sont convaincues que les fournisseurs les plus avancés et dont le chiffre d'affaires avoisine les billions de dollars, comme Google, Microsoft et Amazon, disposent de capacités à toute épreuve en matière de protection des données. Elles pensent donc ne pas avoir à s'inquiéter. Bien que cela soit généralement vrai, elles ne réalisent pas que la perte et la restauration de ces informations sont des questions distinctes qui relèvent de leur propre responsabilité.

Les entreprises ayant adopté une stratégie "cloud first" sont également convaincues que leurs données sont plus sécurisées dans un cloud public que dans des installations sur site. L'étude a révélé que 76 % estiment qu’elles sont mieux protégées dans le cloud, contre seulement 37 % des entreprises disposant d'un stockage sur site.

Le degré de confiance envers le cloud varie également en fonction de la culture. Par exemple, 71 % des entreprises françaises estiment que les données sauvegardées dans un cloud public sont plus sécurisées que dans les locaux, contre 37% des allemandes. De même, l'étude a révélé que 59 % des entreprises françaises pensent que la restauration relève de la responsabilité de leur fournisseur de services cloud, contre seulement 41 % des allemandes.

Au risque de trop généraliser, il est possible de conclure que les Allemands ressentent davantage le besoin de contrôler leurs propres données, tandis que les entreprises françaises ont une attitude plus laxiste vis-à-vis de leur restauration, en confiant ces problèmes à leurs fournisseurs de services cloud.
Mais aucune entreprise, peu importe sa localisation, ne doit avoir un faux sentiment de sécurité. La vérité est que, qu'il s'agisse d'un problème de violation de données, d'une faille de sécurité ou même d'une suppression accidentelle, c'est à elle qu'il incombe de restaurer ses systèmes.

Ainsi, la question que toutes les organisations doivent se poser est la suivante : lorsqu'un incident se produit, comment récupérer vos données ? Ensuite, demandez-vous quel niveau de risque vous pouvez tolérer et quel type de données vous pouvez donc stocker dans le cloud. S'il s'agit d’informations critiques, pouvez-vous vous permettre de les perdre ? Votre entreprise fonctionnera-t-elle exactement de la même manière sans celles-ci et, si ce n'est pas le cas, quel sera l'impact ?

Une fois que les entreprises comprennent qu'elles ne peuvent pas uniquement compter sur leur fournisseur de services cloud, elles comprennent le type de capacités de restauration des données dont elles disposent et ce qu'elles doivent améliorer pour rester protégées.

La bonne nouvelle est qu'il existe des solutions simples et économiques qui permettent aux entreprises de gérer simplement, mais efficacement, leurs besoins en matière de stockage et de sauvegarde des données, que ce soit sur site ou dans le cloud. Au lieu de se méfier de leur fournisseur de services cloud, les entreprises peuvent simplement mettre en place une stratégie de restauration efficace. L'ajout de cette couche de protection supplémentaire, mais hautement nécessaire, aux données stockées dans le cloud fait la différence lorsqu'une entreprise est confrontée à un sinistre et doit se remettre le plus rapidement possible.