4 risques qui peuvent se cacher dans une stratégie cloud d’entreprise

Blauner se souvient de nombreuses tentatives infructueuses d’externalisation des données lors des attentats du 11 septembre, qu’il a également revisitées lors de l’ouragan Sandy en 2012 et à nouveau au cours des premières semaines du COVID aux États-Unis. « Cela ne fonctionnera que pour les premières entreprises » qui décident de transférer davantage de données dans le cloud.

Les entreprises s’attendent à pouvoir « s’échapper vers un environnement cloud en cas de crise ». Mais avec le 11 septembre, lorsque tout le monde a déclaré l’état d’urgence en même temps, ceux qui n’étaient pas parmi les premiers à demander de l’aide auront – facilement – ​​obtenu la réponse : « Nous sommes complets » », ajoute Blauner.

La solution à ce problème, selon le responsable, est que les DSI établissent leurs produits minimaux viables (MVP) d’urgence. Il veut dire par là que les entreprises doivent identifier leurs services les plus essentiels – ceux « sans lesquels les clients ne peuvent pas survivre » – afin que, lorsqu’une situation critique survient, eux seuls soient migrés vers le cloud. Si toutes les entreprises faisaient cela, l’industrie pourrait survivre à la prochaine crise.

Lorsque Blauner travaillait chez Citi, par exemple, ce MVP transférait des fonds internationaux. « Si nous n’avions pas protégé cela, nous aurions pu assister à un effondrement économique mondial. Il n’est pas possible d’effectuer des transferts d’argent vers la Corée du Sud sans Citi », souligne-t-il. « Pour chaque entreprise dans le monde, il existe quelque chose comme ça. »

Risques de sécurité et inefficacités auto-infligées

Charlie Winckless, analyste principal de l’équipe de sécurité du cloud de Gartner, convient que l’évolution en cas de crise est une préoccupation, mais il voit également que cela prend forme comme quelque chose de différent de la solution typique des responsables informatiques : couvrir leurs paris sur le cloud en signant des accords avec un un grand nombre d’environnements cloud dans le monde.

« Les DSI pensent qu’en faisant appel à plusieurs fournisseurs de cloud, ils peuvent améliorer la disponibilité du cloud, mais ce n’est pas le cas. Au contraire, cela ne fait qu’augmenter la complexité, qui a toujours été l’ennemi de la sécurité », explique Winckless. « Il est beaucoup plus pratique d’utiliser les zones du fournisseur de cloud. »

Les entreprises ne parviennent souvent pas à récolter les avantages financiers et d’efficacité promis par le cloud parce qu’elles ne veulent pas faire confiance aux mécanismes de l’environnement cloud, comme l’explique Rich Isenberg, associé du cabinet de conseil McKinsey qui supervise ses stratégies de cybersécurité.

La réaction du service informatique d’entreprise « est qu’ils ne font pas confiance à l’automatisation et à la technologie cloud. Ils veulent que leur équipe s’occupe de tout. Les cloud incluent des outils et une automatisation natifs du cloud, mais [i CIO] ils continuent de s’intéresser à l’approche à l’ancienne consistant à utiliser sa propre équipe », souligne Isenberg. Ces dirigeants « dépendent de leurs équipes de sécurité et de gestion des accès, et ils disposent de leurs outils et fournisseurs préférés ».

Cela signifie que de nombreuses tâches cloud sont effectuées deux fois, ce qui explique pourquoi les gains d’efficacité ne se concrétisent parfois pas. La plupart des responsables informatiques « pensent que de grandes violations menaceront leur emploi, mais la réalité est que la menace est [dirigenti] qui ne sont pas à la pointe du numérique », poursuit le dirigeant. S’ils « n’adoptent pas les outils et l’automatisation cloud natifs, alors oui, cela deviendra le travail de quelqu’un d’autre ».

Le cloud est également tellement intégré dans tous les systèmes d’entreprise aujourd’hui – qu’ils soient IaaS, PaaS et SaaS – qu’une stratégie cloud doit être l’hypothèse par défaut. Isenberg dit : « Vous y êtes quand vous le savez ou non, ou quand vous le voulez ou non. »