Avant, les choses étaient simples: l'entreprise gérait son IT et était elle-même responsable de sa sécurité. Dans le nuage, il en va autrement. "Dans le cas de SaaS, seule la protection des données est de la responsabilité du client", déclarait l'analyste Rik Turner, actif chez le spécialiste de la sécurité IT britannique Ovum, lors d'une présentation pour NetEvents plus tôt cette année à Barcelone. "Dans le cas de PaaS, le client doit en outre se charger de la sécurité de l'application. Et davantage encore dans le cas d'IaaS, comme celle du middleware et du système d'exploitation. Seule la protection de la virtualisation, des serveurs, du stockage et du réseau incombe au fournisseur."

Aussi longtemps que tout le monde est au courant de cette responsabilité partagée, il n'y a aucun problème. Il semble cependant que dans la pratique, il en aille autrement. "Le succès de SaaS - pensons à Salesforce ou à Google Docs - est dû à sa facilité d'emploi", explique Rik Turner. "Le métier a même commencé à s'en servir, souvent à l'insu du département IT." C'est dans ce contexte que les cloud access security brokers sont entrés en scène. Ce sont des acteurs qui, dans le cadre SaaS, devaient assurer la sécurité nécessaire. Entre-temps, les entreprises observent comment des départements business opèrent avec les machines virtuelles, containers et autrs applications sans serveur. Ou, mieux, elles ne s'en rendent pas compte. "La vitesse à laquelle cela se passe, fait qu'il est malaisé de prévoir la sécurité qui convient."

Chaos dans le 'polynimbus'

Mais quel est donc alors le véritable défi à relever? "Les entreprises utilisent le nuage comme une excuse", explique Jan Guldentops de l'entreprise de consultance IT belge BA Test Labs. "Elles éprouvent des difficultés en matière de sécurité et se tournent vers le nuage dans l'espoir de les résoudre. Cela ne fonctionne évidemment pas ainsi." Selon Guldentops, la question principale repose dans le fait que la sécurité est aujourd'hui encore et toujours bolt-on et pas by design. "Dans la réalité, les implémentations cloud se soldent surtout par du chaos. Le 'polynimbus' (multi-nuage, ndlr.) est une réalité, mais en même temps, il n'y a que peu d'entreprises qui savent vraiment ce qu'il en est."

"C'est exact", affirme Peter Galvin, chief strategy & marketing officer de la firme britannique nChipher Security. "Les entreprises ne veulent plus investir dans un centre de données propre et considèrent le nuage comme une alternative. Il en résulte pas mal de 'Shadow IT', justement parce qu'il est si facile de démarrer avec SaaS. Les entreprises ne pensent alors manifestement plus qu'elles doivent encore protéger leurs données." Il est en effet étonnant d'observer que des organisations évoquent toujours plus souvent leur priorité au nuage (cloud first), sans s'arrêter aux implications sur le plan de la sécurité. "Les entreprises savent parfaitement qu'elles devraient miser plus sur, disons, le cryptage et les réseaux 'zero-trust'", ajoute Peter Galvin. "Sauf que dans la pratique, tel n'est pas le cas."

Eternel

Au contraire: ces entreprises investissent une fois encore dans un pare-feu. "Les gens aiment se bercer d'illusions", prétend Jan Guldentops. "Régulièrement, ils s'achètent une nouvelle boule magique, du moins c'est ce qu'ils pensent. En général, ils s'accrochent à une ancienne technologie." Car même si cette technologie a déjà failli dans le passé, beaucoup d'entreprises croient apparemment qu'elles sortiront de la zone à risque avec la nouvelle version de celle-ci. Ou à tout le moins pour quelque temps. Car c'est évidemment le principal défi à relever par tout un chacun: les risques changent en permanence - et donc aussi les solutions. "Ce qui passe aujourd'hui pour être un solide cryptage, pourra, qui sait, être aisément 'craqué' d'ici cinq ans", insiste Jan Guldentops. Voilà qui démontre une fois de plus que la sécurité est un éternel combat. "Et en fin de compte, ce sera l'échec, quelle que soit la sophistication des moyens de sécurité."