Selon les analystes, le marché de l’IaaS1 croît plus vite que celui du SaaS2 et est en plein essor : +36,8% pour Gartner3, +30,1% pour IDC4 et +35% pour Forrester4 sont prévus en 2017. Toutefois, les services IT des entreprises restent prudents lors de l’acquisition d’un service cloud dans le domaine de l’IaaS. 47% des professionnels en France ont ralenti leur adoption du cloud par manque de compétences pour en administrer la sécurité6, crainte confirmée par les récentes cyberattaques.
Pour autant, une nouvelle génération d’outils de surveillance renforce la sécurité du cloud et la confiance dans l’IaaS. Cela est d’autant plus important que la sécurité occupe de plus en plus un rôle stratégique en aidant les RSSI7 à réduire les délais de commercialisation des produits et à assurer la confidentialité des données des clients et des collaborateurs.
Ainsi, une question se pose : quels sont les points à vérifier pour bien choisir son fournisseur IaaS ?
Protéger son infrastructure
L’infrastructure doit être protégée contre les intrusions — intervenants non habilités par exemple — et être auditable. Il doit aussi être possible de proposer une Hybridation, autrement dit, la possibilité de raccorder son cloud privé à son infrastructure IaaS. Un accès à celle-ci permet de garantir un niveau sécurité/performance élevé.
Garantir la sécurité de ses données
L’authentification administrateur doit se faire à travers un VPN8 avec une double identification. En cas de défaillance matérielle, la disponibilité et les performances doivent être assurées en continu — grâce aux fonctionnalités de l’hyperviseur VMWare par exemple.
Pour garantir la sécurité et la disponibilité des données, il existe de nombreux dispositifs : des protections contre les attaques DDoS9 au niveau du backbone opérateur, un pare-feu managé, une charge répartie sur plusieurs serveurs frontaux, une RAM toujours disponible en cas de surcharge, une sauvegarde complète quotidienne des VM sur une infrastructure dédiée, etc.
L’étanchéité des données entre clients hébergés doit être assurée et garantie par l’hébergeur. Toujours dans ce cadre, l’effacement des données doit être certifié en fin de contrat par un outil spécialisé, avec une mise à disposition de rapports d’exécution.