Quels risques accompagnent l’adoption du cloud par votre entreprise ?

Auteur : Proximus NXT

01/04/2021

Cloud

Chez Proximus NXT, le risque est un sujet récurrent dans les échanges avec les clients qui migrent vers le cloud — la discussion revient toujours aux mêmes thématiques et les clients expriment des craintes similaires. Comme toute évolution de solution ou transformation, le passage au cloud comporte certains risques, qu’ils soient liés à la transformation elle-même, à la conception ou encore à la technologie. Mais quels sont précisément ces risques, et comment les réduisons-nous chez Proximus NXT à un niveau acceptable ?

« Sur le plan technique, les principaux risques à traiter sont la perte de contrôle des données, le verrouillage fournisseur (vendor lock-in), la dépendance, la transparence des solutions et bien sûr la sécurité ! » explique Amaury Fonteyn, Head of Pre-sales Unit chez Proximus NXT.

L’approche du risque IT au Luxembourg

Au Luxembourg, le risque est un principe fondamental dans tout projet. Les régulateurs locaux, comme la CSSF, disposent de circulaires spécifiques sur le sujet. De notre côté, nous abordons le risque de manière systémique, en nous appuyant sur plusieurs frameworks afin d’identifier, mesurer, contrôler et traiter tout risque potentiel.

Dans ce contexte, le contrôle s’effectue à plusieurs niveaux. Les secteurs régulés représentant une part importante du marché, de nombreux acteurs, dont les PSF de support, ont intégré les exigences de la CSSF comme standard. Certains, comme Proximus NXT, ont également adopté des référentiels complémentaires tels que l’ISO 27001, reconnu internationalement comme une référence en matière de sécurité.

Les principaux risques du cloud – et comment les maîtriser

La sécurité

Le risque principal identifié lors d’une analyse cloud est généralement la sécurité. Elle est partagée entre plusieurs acteurs :

le fournisseur, qui met en place des mesures de sécurité (chiffrement, isolation des environnements, firewalling, etc.)
le client et l’intégrateur, responsables des couches de sécurité additionnelles et de l’utilisation correcte des services

Dans des environnements IaaS comme Microsoft Azure, Google Cloud ou Amazon Web Services, le client construit sa solution sur l’infrastructure du fournisseur, ce qui peut introduire des failles malgré une base sécurisée.

Chez Proximus NXT, ces risques sont encadrés par une politique de sécurité composée de plus de 150 règles appliquées à chaque environnement client et déployées sur l’ensemble des fournisseurs cloud utilisés.

Le verrouillage fournisseur (vendor lock-in)

Un autre risque important concerne la dépendance à un fournisseur et la stratégie de sortie. Que faire si un fournisseur arrête son service ou modifie ses conditions de manière imprévue ?

La réponse repose sur une stratégie de sortie claire, testée et documentée, définissant comment et dans quels cas une entreprise peut migrer vers un autre fournisseur.

La transparence des solutions

Avec le cloud public, la question de la transparence est souvent sous-estimée. Les entreprises ne savent pas toujours comment les services sont construits ni quels composants sont utilisés en arrière-plan.

Il est donc essentiel de comprendre l’architecture, de demander des informations complémentaires et, dans certains cas, de réaliser des audits du fournisseur. Proximus NXT dispose d’un droit d’audit auprès de Microsoft, Google et Amazon pour ses clients, afin d’assurer une meilleure transparence des services utilisés.

« Aucun changement ne se fait sans risque — notre objectif est de le réduire et de le maîtriser suffisamment pour le rendre acceptable pour nos clients et pour nous-mêmes », explique Audric Lhoas, Cloud Product Manager chez Proximus NXT.

Conclusion

L’adoption du cloud implique des risques qui doivent être anticipés dès le départ, de manière proactive plutôt que réactive.

You want to know more about Proximus NXT’ cloud solutions and how we manage risks? Visit https://www.proximusnxt.lu/en/solutions/cloud

Contactez-nous