Cloud et continuité d’activité. Il en sera question à la Business Continuity Convention 2020, le 12 mars prochain. Sujet souvent relégué, devenu pourtant crucial.

A mesure que les services cloud se développent, l’exigence de continuité, en cas de défaillance ou de sinistre pour les applications critiques de l’entreprise, s’intensifie. Avec l’émergence des environnements «multi-cloud», c’est un nouveau challenge à relever. Que faire ? Comment agir quand les «hyperscalers» subissent des interruptions de service importantes, forcément pénalisantes ? Il faut, en effet, admettre que des événements rares mais à impact très lourd peuvent arriver et provoquer un véritable désastre au niveau d’une plateforme cloud. La question n’est pas «si» mais «quand» cela va se produire…

A l’ère du cloud, la continuité d’activité se trouve donc face à un nouveau challenge. La question sera évidemment soulevée lors de la Business Continuity Convention 2020 de Mark-Com Event, qui se tiendra au Cercle de Wallonie à Namur le 12 mars prochain. De fait, l’explosion du phénomène d’externalisation des systèmes et des données ainsi que la multiplication des incidents impactant ces services doivent conduire l’entreprise à se saisir du sujet de la cyber-résilience.

Les questions de disponibilité et d’intégrité des systèmes sont essentielles

Le recours au cloud modifie profondément les usages et les politiques de sécurité des systèmes d’information. Et pour cause : la dépendance des entreprises aux fournisseurs de cloud et donc au niveau de service qu’ils proposent n’a jamais été aussi grande. En même temps, force est de reconnaitre le nombre de grands fournisseurs est extrêmement réduit. Ce qui renforce encore un peu plus le sentiment de dépendance. De là, une nouvelle forme de fragilité.

Les spécialistes de la sécurité constatent aussi une évolution des menaces. En particulier une augmentation significative des attaques ayant des impacts sur l’intégrité des systèmes et des données, avec des effets destructeurs, de propagations latérales et de dommages collatéraux.

Un niveau de complexité élevé, inédit et difficile à maîtriser

Au-delà des vulnérabilités sans cesse découvertes, ces systèmes atteignent des dimensions considérables, avec en outre un niveau de complexité élevé, inédit et difficile à maîtriser. Ces architectures peuvent désormais facilement basculer dans des états instables et simultanément créer des pannes sur tout un ensemble d’entreprises clientes colocataires.

La taille, la complexité et les interdépendances rendent les réparations difficiles à orchestrer dans des délais satisfaisants et compatibles avec les besoins opérationnels… quelles que soient les promesses inscrites dans les contrats. Lorsque le déséquilibre de ces systèmes s’installe, les moyens de secours sont insuffisants face au risque réel. Et il devient long et complexe de rétablir le fonctionnement nominal. On se souvient tous d’une panne prolongée de la messagerie Office 365. Et de cette autre de Gmail, qui a également connu un incident d’ampleur. Or l’état vulnérable de ces systèmes ultraconcentrés se conjugue avec la cybercriminalité, car à la complexité et la vulnérabilité intrinsèques des architectures s’ajoutent les risques liés aux cyberattaques et à l’espionnage industriel.

Développer la résilience 

Pour les entreprises qui ont opté pour une stratégie «cloud first, le risque systémique est très élevé. Le risque n’est plus interne. Il s’est déplacé et est monté d’un cran au niveau des fournisseurs de cloud. Il convient maintenant à chaque entreprise de l’adresser en développant sa résilience. Concrètement, en limitant les solutions trop monolithiques, en cassant les trop fortes dépendances à un nombre restreint d‘acteurs, en introduisant certaines solutions de repli alternatives. Bref, en créant des zones de respiration des systèmes d’information…

La continuité d’activité devient une question de cyber-résilience. Il s’agit donc de l’aborder de façon plus globale. Et la considérer comme un chantier essentiel à l’aulne des évènements récents, qu’ils soient liés à la cybercriminalité ou aux défaillances à répétition des fournisseurs. Ce besoin impérieux nécessite une vision à long terme. Tout montre, en effet, que les choix d’aujourd’hui impacteront durablement leur développement de demain.