4 risques cachés de votre stratégie cloud d’entreprise

Blauner souligne les nombreuses tentatives infructueuses d’externalisation des données lors des attentats du 11 septembre, qu’il a revu lors de l’ouragan Sandy en 2012 et de nouveau au cours des premières semaines de la COVID aux États-Unis. « Cela ne fonctionnera que pour les premières entreprises » qui décident de transférer davantage de données dans le cloud.

Les entreprises s’attendent à pouvoir « se remettre dans un environnement cloud en cas de crise ». Et puis le 11 septembre s’est produit et tout le monde a déclaré l’état d’urgence en même temps. Si vous n’étiez pas l’un des premiers à le déclarer, [the cloud vendor] a dit : « Nous sommes pleins » », dit Blauner.

La solution à ce problème, dit Blauner, est que les DSI établissent leur position d’urgence en matière de produit minimal viable (MVP). Il entend par là que les entreprises doivent identifier leurs services les plus essentiels – ceux « sans lesquels vos clients ne peuvent pas survivre » – afin qu’en cas d’urgence, seuls ces services émergents soient déplacés vers le cloud. Si toutes les entreprises font cela, l’industrie pourrait survivre à la prochaine crise.

Lorsque Blauner travaillait chez Citi, par exemple, ce MVP était les transferts de fonds internationaux. « Si nous n’avions pas protégé cela, nous aurions pu assister à un effondrement économique mondial. Vous ne pouvez pas effectuer de transferts d’argent en Corée du Sud sans Citi », déclare Blauner. « Pour chaque entreprise dans le monde, il existe une telle chose. »

Risques de sécurité et inefficacités auto-infligés

Charlie Winckless, analyste principal de l’équipe de sécurité du cloud de Gartner, convient que l’évolutivité en cas de crise est une préoccupation, mais il voit un problème différent de la solution typique des responsables informatiques : couvrir leurs paris sur le cloud en concluant des accords avec un grand nombre d’environnements cloud dans le monde.

« Les DSI estiment qu’en utilisant plusieurs fournisseurs de cloud, ils pensent que cela améliore la disponibilité, mais ce n’est pas le cas. Tout cela ne fait qu’accroître la complexité, et la complexité a toujours été l’ennemie de la sécurité », explique Winckless. « Il est bien plus rentable d’utiliser les zones du fournisseur de cloud. »

En outre, les entreprises ne bénéficient souvent pas des avantages financiers et d’efficacité promis par le cloud, car elles ne souhaitent pas faire suffisamment confiance aux mécanismes de l’environnement cloud – c’est du moins ce que soutient Rich Isenberg, associé du cabinet de conseil McKinsey qui supervise leur stratégie de cybersécurité.

Le problème des entreprises informatiques est qu’elles ne font pas confiance à l’automatisation et à la technologie du cloud. Ils veulent que leur propre équipe gère tout. Les cloud incluent les outils et l’automatisation natifs du cloud, mais [the CIOs] sont toujours attirés par l’approche à l’ancienne consistant à utiliser leur équipe », explique Isenberg. Ces dirigeants « dépendent de leurs équipes de sécurité et d’accès et disposent de leurs outils préférés auprès de leurs fournisseurs préférés ».

Cela signifie que de nombreuses tâches cloud sont effectuées deux fois et c’est pourquoi les gains d’efficacité ne se matérialisent parfois pas. La plupart des responsables informatiques « pensent que ce seront les failles majeures qui menaceront leur emploi, mais la réalité est que la menace vient du [executives] je ne suis pas en avance sur la technologie numérique », déclare Isenberg. Si les dirigeants « n’adoptent pas le cloud natif [tools] et l’automatisation, alors, oui, cela deviendra le travail de quelqu’un d’autre.»

Le cloud est également tellement intégré dans tous les systèmes d’entreprise aujourd’hui, qu’il s’agisse d’IaaS, de PaaS et de SaaS, qu’une stratégie cloud doit être l’hypothèse par défaut. Isenberg dit : « Vous y êtes chaque fois que vous le savez ou non, ou que vous le voulez ou non. »