Ca FR Cyber Security Modernization Aoda
Ca FR Cyber Security Modernization Aoda
Ca FR Cyber Security Modernization Aoda
Approche intégrée de
cybersécurité pour votre stratégie
de migration infonuagique
Pourquoi les programmes de migration infonuagique devraient inclure
une stratégie infonuagique axée sur la cybertechnologie
Au sujet du Centre de recherche intégrée de Deloitte
Le Centre de recherche intégrée de Deloitte propose de nouvelles perspectives sur des enjeux
commerciaux critiques qui touchent plusieurs secteurs et fonctions, de l’évolution rapide des
technologies émergentes au facteur constant du comportement humain. Nous traitons de sujets
transformateurs de façon inédite, en offrant de nouvelles façons de penser dans une variété de
formats, comme des articles sur des recherches, de courtes vidéos, des ateliers en personne et des
cours en ligne.
Introduction 2
Annexes 17
Notes de fin 18
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
Introduction
D
E PLUS EN PLUS, LES ORGANISATIONS DU spécialistes de la sécurité, de leur donner des objectifs
monde désireuses d’acquérir l’agilité et la communs et d’adopter un programme de modernisation
résilience qu’exige une approche moderne des TI ouvrant la porte à un dosage équilibré d’agilité, de
abandonnent leur infrastructure existante sur site au sécurité et de confiance des consommateurs.
profit du nuage. Trop souvent cependant, cette migration
et la cybersécurité sont planifiées séparément et confiées Pour les organisations à la recherche de résilience
à différentes équipes qui se concentrent chacune de leur commerciale et technologique qui souhaitent resserrer
côté sur les différentes étapes de ce qui devrait pourtant la sécurité et procéder à une migration infonuagique
être un seul et même processus. Selon certaines qui inspire confiance, l’adoption réfléchie du concept
estimations, la cybercriminalité coûtera 6 000 milliards de « sécurité dès la conception » peut être essentielle.
de dollars américains par an d’ici la fin de l’année1. Le principe de la sécurité dès la conception procure
La migration infonuagique s’accompagne donc aux organisations les avantages suivants :
d’importants enjeux de cybersécurité. Par ailleurs, malgré
• intégration de méthodes novatrices et avant-gardistes
les avantages inhérents de l’infonuagique et même si
comme la détection intelligente des menaces;
« la sécurité et la protection des données » constituent
une des deux principales raisons avancées pour justifier • atteinte de l’équilibre requis entre le besoin
cette migration2, de manière générale, les organisations de rapidité et la nécessité de réduire les risques liés
semblent ne pas investir suffisamment dans une stratégie à la technologie, aux menaces internes et à la chaîne
d’approvisionnement;
intégrée de cybersécurité et d’infonuagique. Selon une
enquête sur l’avenir de la cybersécurité effectuée en 2019 • soutien aux développeurs et aux ingénieurs tout
par Deloitte et Touche S.E.N.C.R.L./s.r.l., en procurant à l’entreprise une fonction de
90 % des organisations répondantes consacreraient développement, de sécurité et d’exploitation
10 % ou moins de leur budget de cybersécurité à la (DevSecOps);
migration infonuagique, aux logiciels-services (SaaS),
• établissement d’une cyberapproche prospective
à l’analytique et à l’apprentissage machine3.
qui renforce les objectifs de l’entreprise en matière
de sécurité et de confiance.
En fait, de nombreuses organisations s’engagent
précipitamment dans leur migration infonuagique sans Le présent article confirme l’importance de l’approche
accorder l’attention requise aux questions de sécurité. de « sécurité dès la conception » (concentrée sur les
applications d’affaires essentielles à la mission de
Il s’agit d’une occasion pour une modernisation l’organisation), car celle-ci favorise une plus grande
infonuagique afin de rendre les entreprises et les collaboration entre les équipes d’infonuagique et de
technologies plus résilientes. Dans ce scénario, cybersécurité et accroît l’agilité, la sécurité et la confiance.
la cybersécurité est l’élément différenciateur qui donne
confiance au consommateur. À l’ère du numérique, En nous appuyant sur nos études, qui combinent une
une approche intégrée de cybersécurité procure aux analyse des données brutes, des recherches secondaires
organisations les outils nécessaires pour faire de la et des entretiens à l’interne avec neuf dirigeants de
sécurité l’élément de leur transformation qui suscitera Deloitte particulièrement versés dans les questions liées
la confiance accrue des consommateurs. aux stratégies d’infonuagique et de cybersécurité, nous
avons dressé à l’intention des organisations qui se lancent
Cette approche exige souvent de réunir au sein d’une dans une migration infonuagique une liste détaillée de
même équipe des spécialistes de l’infonuagique et des facteurs à prendre en considération.
2
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
3
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
4
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
Un nouveau modèle
opérationnel de modernisation
infonuagique pour une
sécurité dès la conception
D
ANS DE NOMBREUSES organisations, intégrée du centre d’excellence et du fournisseur de
les cyberentités sont isolées du reste de services d’infonuagique; de la fixation de balises dans
l’organisation et affichent souvent une l’infrastructure de TI comme telle; et de la gestion des
transparence minimale ou incomplète, d’où une possible processus de développement, de sécurité et d’exploitation
perte de confiance. Au fil de la migration infonuagique, au moyen de la combinaison applicable de talents et de
cet enjeu gagnera vraisemblablement en importance technologies en place.
et viendra compliquer la situation.
5
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
De plus, dans un univers où les menaces de cybersécurité sécuriser les solutions d’infrastructure-service (IaaS)10.
ne cessent d’évoluer, les fournisseurs de services Pourtant, malgré ce penchant des organisations à s’en
d’infonuagique sont susceptibles d’avoir une remettre au fournisseur de services d’infonuagique pour
connaissance plus pointue des nouveaux produits sécuriser les centres de données et l’infrastructure, ce
de sécurité et des considérations relatives à leur mise modèle de responsabilité partagée comporte des limites
en œuvre ainsi que des innovations à intégrer dans le inhérentes. Il incombe notamment malgré tout à
modèle opérationnel. Voici quelques exemples survenus l’organisation de sécuriser ses propres données et
en 2020 : applications dans le nuage. Une équipe intégrée
d’infonuagique et de cybersécurité permet de plus
• L’armée de l’air américaine a créé le premier point
facilement tracer la ligne là où se termine la
d’accès natif en nuage accrédité qui permet à
l’organisation de se brancher directement au nuage responsabilité de l’organisation et où commence celle du
sans passer par un point d’accès partagé7. fournisseur (et vice versa) et d’orienter l’approche
retenue pour la surveillance continue.
• Un spécialiste de l’hyperéchelle a lancé l’informatique
confidentielle, un système qui permet aux
Contrairement à ce qui se produit dans un
organisations de stocker des données dans leur
environnement de services sur site, dans le nuage,
mémoire à l’état chiffré8.
l’infrastructure physique est louée et les modèles
• Des organisations ont eu recours à « des processus opérationnels partagés peuvent varier en fonction de
d’affaires en tant que service » pour épurer des plusieurs facteurs. Par exemple, dans 40 % des États
données confidentielles ou des données permettant américains, on a adopté un modèle fédéré en vertu
d’identifier une personne. duquel le chef de la sécurité de l’information supervise
Par ailleurs, une plus grande sensibilisation aux les politiques de l’entreprise et les organismes dirigent les
exigences de communication de l’information sur services partagés; 10 % des États américains ont plutôt
la conformité lorsqu’on négocie des contrats avec adopté un modèle décentralisé en vertu duquel le chef de
un fournisseur de services d’infonuagique peut l’information informe les organismes d’État individuels
aider à déterminer si les données partagées le seront à la des politiques11. Ce fut notamment le cas dans le cadre de
fréquence requise pour produire les rapports. À cette fin, l’initiative de cybercommande de la ville de New York, où
un organisme public envisageait de communiquer de le chef adjoint de la sécurité de l’information du projet et
l’information sur les mesures correctives prises et ainsi le responsable de la gestion des menaces de l’agence ont
démontrer sa conformité continue, mais l’entente sur les adopté la technologie infonuagique pour accéder aux
niveaux de service (ENS) ne prévoyait pas la données de sécurité d’un dispositif gouvernemental
communication de données à la fréquence requise. Pour branché au réseau de la ville12.
résoudre ce problème, les responsables ont été en mesure
d’extraire les données du code source et de les intégrer à
un processus manuel de communication de l’information.
Toutefois, ce processus aurait pu être plus fluide s’il avait
été mis au point à l’étape de la conclusion du contrat9.
Pour éviter les problèmes de cette nature, il importe
d’évaluer les besoins de communication de l’information
et d’adapter les ENS en conséquence ou de trouver des
solutions de communication de l’information de rechange.
Modèle de responsabilité
partagée
Dans une étude du secteur, 66 % des dirigeants interrogés
ont déclaré utiliser des fournisseurs de services
d’infonuagique pour assurer la sécurité de base, 73 % ont
dit estimer qu’il incombe surtout aux fournisseurs publics
de services d’infonuagique de sécuriser les solutions SaaS
et 42 % ont affirmé qu’il incombe aussi à ces derniers de
6
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
• plus de la moitié des demandes de brevet portaient sur des technologies de sécurité infonuagique de base
mettant l’accent sur le chiffrement des données, les authentifications, les jetons, les modules de contrôle
et de stockage et autres;
• les organisations s’intéressent de plus en plus à différentes technologies de pointe comme l’intelligence
artificielle (IA), l’apprentissage-machine, les mégadonnées et les chaînes de blocs pour améliorer la sécurité
infonuagique;
• outre les brevets technologiques, les organisations se concentrent aussi sur la conception de processus liés
au déploiement, à la surveillance, à la programmation et aux approvisionnements.
Si environ 1 500 brevets ont été accordés dans le domaine de la sécurité infonuagique en 2018 et en 2019,
ce nombre a chuté à 500 l’année dernière, probablement à cause de la pandémie15. Il s’ensuit que la création
d’équipes intégrées dotées d’une structure solide (modèle opérationnel, processus et contrôles) pourrait être
aujourd’hui plus cruciale que jamais.
« Tous les renseignements sur les brevets de sécurité infonuagique sont extraits du site de l’indice Derwent World Patents
par l’entremise de Quid (https://quid.com). Le but de cette analyse est de définir les thèmes généraux qui s’imposent
dans le domaine de la sécurité infonuagique. L’analyse de Deloitte ne portait pas sur la nature des brevets pris
individuellement. ».
7
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
greffés à ces processus afin de mettre en œuvre des flux avant la mise en service, ce qui réduit les
de travail structurés, d’automatiser les tâches de sécurité interventions subséquentes. Cet aménagement des
et de détecter et de contrer les menaces. tâches force l’adoption d’un modèle très différent
d’utilisation et d’intégration des talents.
• Compétences/talents. Les technologies existantes
s’appuient sur des dispositifs virtuels comme ceux • Microservices. À mesure que les organisations
proposés par les fournisseurs de pare-feux pour modernisent leurs applications existantes pour créer
sécuriser les systèmes, tandis que pour les des services point à point plus agiles, les modèles
technologies infonuagiques, il est essentiel de opérationnels s’appuyant sur les microservices
comprendre les configurations de sécurité. La infonuagiques devraient prendre en compte les
migration infonuagique exige donc un nouveau limites des fournisseurs et les enjeux liés à la
modèle d’utilisation des talents qui s’éloigne du cadre portabilité et à l’interopérabilité d’un fournisseur à
habituel « développement, mise en œuvre, l’autre. Les organisations peuvent envisager la mise
déploiement et mise en place de la sécurité ». en place d’une couche d’intergiciel agnostique ou d’un
Pour améliorer la sécurité en amont, il faut qu’elle modèle de déploiement de microservices qui aidera le
soit envisagée dès le départ afin de disposer des bases client à régler certains problèmes multinuages et
et des configurations requises et créer l’architecture autres enjeux liés aux systèmes de l’entreprise.
8
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
Cadre de contrôle
de la sécurité infonuagique
A
U SEIN DE la haute direction, le passage de À titre d’exemple d’approche axée sur l’infrastructure,
l’infrastructure sur site à l’infonuagique exige une organisation de gestion d’actifs passant d’une
habituellement l’adoption d’une mentalité plus plateforme infonuagique privée à une plateforme
axée sur la sécurité. Il faut passer de la gestion d’une publique a intégré des centaines de contrôles dans
infrastructure physique à la surveillance de l’accès à sa plateforme d’infonuagique au niveau du code
« un environnement apatride à traitement réparti ». avant même de donner un accès administratif
Plus important encore, le cadre de contrôle devrait régler aux développeurs. Ces contrôles ont servi de balises
les points suivants : réseau, plateforme et infrastructure; et permis la création d’un environnement de
sécurité des utilisateurs et des données; et sécurité développement sûr et conforme18.
des applications fondamentales.
Adoptant plutôt une approche axée sur les processus,
une autre organisation de services financiers a supprimé
Réseau/plateforme/ ou fortement restreint l’utilisation des clés utilisées
9
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
de base
• Gestion de la surface d’attaque — gérer
Avant de transférer les données ou les charges de travail la vulnérabilité par le recours à des services
dans le nuage, les équipes de cybersécurité et personnalisés qui rehaussent la qualité des
d’infonuagique devraient s’assurer que les contrôles programmes de gestion de la vulnérabilité et des
minimaux ci-dessous ont été mis en place. surfaces d’attaque. Les organisations se concentrent
sur l’identification et l’évaluation des biens sur
• Protection des charges de travail — mettre le nuage tout au long de leur cycle de vie et aux
en place les balises de base et les configurations différentes couches de l’architecture. Par exemple,
minimales nécessaires pour protéger le déploiement. les usines intelligentes peuvent concevoir leur flux de
Par exemple, une organisation peut recourir à des données sur le nuage et aux différents paliers afin de
modèles préétablis pour les applications fondées sur déterminer la sécurité mise en place dans l’ensemble
la fonction ou sur des conteneurs. de l’écosystème.
10
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
Considérations relatives
à la gestion des risques du
programme de cybersécurité
et d’infonuagique
L
A MIGRATION INFONUAGIQUE peut atténuer Risques technologiques
certains risques de sécurité liés à une infrastructure
gérée sur place grâce au chiffrement, au système Même si certains de ces risques peuvent représenter une
d’ouverture de session, au réseau privé, à la surveillance, nouveauté pour une équipe de migration infonuagique,
à la protection contre les attaques par déni de service les organisations sont toujours aux prises avec un certain
distribué, à l’automatisation des correctifs et à d’autres nombre de risques technologiques qu’elles doivent
éléments intégrés dans l’environnement infonuagique. atténuer dans le cadre de leurs programmes de
Toutefois, de nombreux systèmes et applications cybersécurité infonuagique et c’est à ce point que
implantés dans ce nouvel environnement n’ont pas été l’intégration des équipes de cybersécurité et
initialement conçus pour fonctionner en ligne. Pour d’infonuagique peut contribuer à l’obtention d’un résultat
éviter des déceptions sur ce plan, avant que la migration plus sûr, plus agile et plus fiable (figure 1).
infonuagique ne commence, les organisations devraient
procéder à une évaluation de la maturité des risques de La compréhension des risques technologiques peut jouer
cybersécurité21 pour bien comprendre les risques un rôle crucial et bien des organisations convaincues
précis liés aux différentes technologies et à la que leurs systèmes sont bien protégés pourraient être
réglementation, les risques internes, les risques surprises. Ainsi, une institution financière ayant décidé
liés à la chaîne d’approvisionnement et les de procéder à une vérification de routine a constaté
correctifs recommandés22. que globalement, ses systèmes comportaient plus de
100 000 vulnérabilités intégrées, ce qui représentait une
très grave menace sur le plan de la sécurité et exigeait
la mise en place immédiate de correctifs au chapitre
des applications, des bases de données, des intergiciels
et du code. Ce risque explique en partie la décision de
11
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
FIGURE 1
Les systèmes existants n’ont pas été Voir la migration infonuagique comme
conçus dans la perspective de plans une occasion de mettre à jour le plan
Continuité modernes de continuité des activités de continuité des activités et de reprise
des activités et de reprise après sinistre. après sinistre et se procurer une capacité
et reprise infonuagique additionnelle afin de pouvoir
après sinistre basculer vers une copie de sûreté en cas
de catastrophe conformément aux principes
des plans modernes de reprise après sinistre.
Peut ouvrir un point d’accès à des agents Mettre en œuvre des solutions de
malveillants23. Selon une étude surveillance de la conformité pour détecter
de l’industrie sur les atteintes aux les nouvelles configurations et notamment
données signalées à l’échelle mondiale l’ouverture non autorisée d’un port qui
de janvier 2018 à décembre 2019, les pourrait exposer le réseau à certaines
erreurs de configuration infonuagiques menaces.
Risque d’erreur ont causé 196 atteintes aux données et
de configuration l’exposition de plus de 33 milliards de
dossiers, ce qui a coûté une somme
estimée à près de 5 000 milliards de
dollars américains24. Ce risque d’erreur de
configuration touche indifféremment les
services de stockage, de base de données
et autres s’appuyant sur l’infonuagique25.
cette institution d’effectuer une migration infonuagique Autre exemple : dans Deloitte Insights | deloitte.com/insights
une organisation du secteur des
et est un bon exemple des risques liés aux plateformes et produits de consommation qui utilisait un système
applications existantes sur site mentionnés à la figure 126. d’exploitation périmé, un centre de traitement de
Si l’équipe de la migration infonuagique avait choisi de données a été visé par un rançongiciel au moment même
simplement déplacer l’infrastructure sans d’abord où un correctif logiciel était mis en service dans un
chercher à comprendre ses vulnérabilités, l’organisation environnement de développement. Les vulnérabilités de
aurait pu simplement transférer sur le nuage les risques sécurité existantes qui auraient pu être en quelque sorte
déjà existants. couvertes par les pare-feux et le périmètre sont devenues
actives au moment du passage à l’infonuagique, car elles
n’avaient pas été corrigées. Si l’organisation avait mieux
12
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
orchestré les travaux des équipes de cybersécurité et compréhension des cadres existants de gestion des
d’infonuagique et avait mis en place les contrôles données, des risques pertinents et des caractéristiques
appropriés, cet incident (qui peut avoir des conséquences que doivent posséder les solutions technologiques pour
désastreuses sur la confiance des consommateurs) aurait améliorer le processus de sélection des fournisseurs,
peut-être pu être évité. la négociation des ententes de niveau de service
et la passation des marchés.
La gestion des risques technologiques exige d’en venir
à un équilibre approprié entre la compréhension
fondamentale de la technologie actuelle et à venir Risques internes et
(une des forces de l’équipe de migration infonuagique)
risques liés à la chaîne
et la formulation de conseils sur la manière souhaitable
d’atténuer les vulnérabilités par une démarche de sécurité d’approvisionnement
inspirée des pratiques dominantes dans les quatre
catégories de risques avant la migration, voire avant Finalement, un programme de gestion des risques
le choix du fournisseur de services infonuagiques. de cybersécurité et d’infonuagique devrait prendre
en compte les menaces internes et la chaîne
d’approvisionnement de l’organisation comme des
Risques liés à la vecteurs de risques afin d’en arriver à un juste équilibre
Les grandes organisations multinationales présentes La gestion des cyberrisques exige des organisations
dans de nombreux pays et actives dans les secteurs public qu’elles aient une capacité d’analyse de leur
et privé sont souvent appelées à composer avec un grand environnement interne et externe afin de détecter les
nombre de règlements sur les données et la technologie risques et les vulnérabilités possibles de leurs chaînes
tandis que les organisations plus petites peuvent malgré d’approvisionnement. Elles peuvent confier cette tâche
tout devoir prendre en compte certaines combinaisons à une équipe intégrée de cybersécurité et d’infonuagique
de règlements régissant les données dans un secteur ou possédant la visibilité et la transparence voulues ainsi
une région donnée et concevoir leur propre stratégie que la capacité de communication, de collaboration et
de stockage de données sur le nuage et les contrôles d’exécution voulue pour appliquer un programme de
connexes afin de contrôler les risques. conformité intégré (de même que l’outillage pertinent
Toutefois, avec la mondialisation des données, même nécessaire) de l’ensemble de la chaîne
« les plus petites organisations » peuvent être assujetties d’approvisionnement. Pour en savoir davantage sur cette
à la réglementation transfrontalière. question, nous vous invitons à consulter le document
(en anglais seulement) de Deloitte Consulting LLP
Un examen des exigences liées au risque de intitulé Looking beyond the horizon: Preparing today’s
réglementation effectué par une équipe combinée supply chains to thrive in uncertainty.
de cybersécurité et d’infonuagique peut améliorer la
13
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
FIGURE 2
Quatre exemples de risques de réglementation à prendre en compte dans la mise sur pied
d’un programme de cybersécurité et d’infonuagique
Les organismes publics désireux d’utiliser les Attestation du modèle de cybersécurité (CMMC)
technologies modernes d’infonuagique sont La Federal Information Security Management Act
assujettis à des exigences additionnelles de et la Federal Information Security Modernization Act
sécurité et de protection des renseignements des États-Unis se concentrent sur les normes et les
fédéraux30. Les fournisseurs de solutions lignes directrices destinées à moderniser les pratiques
infonuagiques doivent s’assurer que leurs fédérales de sécurité et de gestion du risque de
solutions sont conformes à ces exigences avant cybersécurité des chaînes d’approvisionnement.
Administration d’offrir leurs services à des organismes fédéraux31.
américaine – Certains cadres imposent des restrictions Le programme américain de gestion des risques
additionnelles, notamment sur les données fédéraux et d’autorisation permet aux organismes
cadres gouvernementaux d’utiliser les technologies modernes
particuliers exportées à l’extérieur des États-Unis
qui doivent faire l’objet d’une segmentation d’infonuagique tout en s’assurant que l’information
additionnelle et de contrôles de sécurité. fédérale est en sécurité et protégée32.
L’International Traffic in Arms Regulations (ITAR)
Le Defense Federal Acquisition Regulation Supplement
(DFARS) qui est lié au traitement, au stockage et à la
transmission de renseignements protégés de la défense
et autres.
14
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
F
INALEMENT, LE TYPE de programme d’infonuagique œuvre de programmes d’infonuagique et certaines
aura une incidence sur le modèle opérationnel et sur considérations de complexité élevée, moyenne ou faible
le programme qui suivra. Le graphique ci-dessous dont doit tenir compte l’équipe intégrée de cybersécurité
décrit en détail quatre scénarios courants de mise en et d’infonuagique (figure 3).
FIGURE 3
15
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
O
N NE PEUT s’attendre à ce que les développeurs cybersécurité et de l’infonuagique. La migration
de nuages deviennent du jour au lendemain des vous offre une occasion de repenser vos modèles, vos
spécialistes de la sécurité ni à ce qu’ils soient outils et vos capacités en matière de sécurité. La mise
constamment au fait de l’évolution de toutes les menaces. en place d’un cadre de contrôle infonuagique
En revanche, ils peuvent travailler au sein d’équipes commence par une bonne compréhension des besoins
intégrées de cybersécurité et d’infonuagique qui mettront de données et englobe l’adoption de contrôles sur
à profit les modèles opérationnels cibles et qui l’accès des utilisateurs et les identités; sur le réseau,
privilégieront la prévention, les microservices, la gestion l’infrastructure et les applications; et sur les
des risques ainsi que les contrôles et qui assureront la applications de base. Les organisations peuvent
conformité aux points cruciaux du cycle de la migration procéder à une évaluation globale des risques
infonuagique tout en adhérant aux principes de la présents dans leur environnement technologique,
sécurité dès la conception. Voici, en terminant, quelques réglementaire et de cybersécurité; mettre en œuvre
réflexions susceptibles de guider ces équipes dans leur les contrôles nécessaires pour combler les lacunes
périple de modernisation de l’infonuagique et dans leur et atténuer les risques; et procéder à la migration
migration, d’accroître la résilience organisationnelle et des charges de travail pour sécuriser les zones
technologique, de rehausser la sécurité et de renforcer la d’accueil infonuagiques.
confiance des clients :
• Approches novatrices de gestion de la
• Développement d’un modèle opérationnel conformité. De nouvelles approches et de nouveaux
de modernisation qui réunira les nouvelles processus novateurs d’automatisation et d’allégement
approches et technologies novatrices. du fardeau de la surveillance moderne de la
Ce modèle doit inclure de nouveaux modèles de conformité émergent constamment. Tenez-vous
gestion des talents; des activités de développement, au courant des plus récents outils et processus.
de sécurité et d’exploitation (DevSecOps);
et des microservices. Il doit aussi tenir compte En réunissant toutes ces composantes à l’intérieur
des responsabilités précontractuelles et prévoir d’un centre d’excellence en migration infonuagique doté
la répartition des rôles et des responsabilités à d’une équipe intégrée de professionnels possédant
l’intérieur d’un modèle de responsabilité partagée. des compétences en cybersécurité et en infonuagique,
L’investissement dans la sécurité du fournisseur les organisations seront mieux placées pour répondre au
de services d’infonuagique peut vous donner accès besoin d’étendre le « cycle de vie » et pour hiérarchiser
à une sécurité supérieure à celle dont vous bénéficiez les risques de sécurité et les atténuer au moyen des outils
à l’heure actuelle. de gouvernance, de gestion du risque et de conformité
requis. Au bout du compte, la migration infonuagique est
• Développement d’un cadre de contrôle qui l’occasion idéale non seulement de renforcer la résilience
vous permettra de passer à l’étape suivante de l’entreprise et de sa technologie, mais aussi d’accroître
grâce à une approche mieux intégrée de la la sécurité, voire la confiance des consommateurs.
16
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
Les répondants qui affirment que leur organisation a bien ou très bien utilisé
les technologies avancées pour
Moyenne : 53 %
67 %
DEVENIR PLUS 66 %
RÉSILIENTE
ET AGILE 75 %
36 %
Moyenne : 49 %
PRÉDIRE LES 61 %
TENDANCES, 62 %
LES MENACES
70 %
ET LES RISQUES
POTENTIELS FUTURS 33 %
0 10 20 30 40 50 60 70 80
Remarques : Des stratégies matures axées uniquement sur l’infonuagique ont été déterminées en fonction de ceux qui ont
répondu « Bien » ou « Très bien » à la question Dans quelle mesure croyez-vous que votre organisation a bien fait la transition
de ses systèmes d’affaires vers l’infonuagique pour soutenir le télétravail (p. ex. outils de collaboration, RPV, centres de données,
serveurs, etc.) de juillet à septembre 2020?
Des stratégies matures axées uniquement sur la cybersécurité ont été déterminées en fonction de ceux qui ont répondu
« Bien » ou « Très bien » à la question Dans quelle mesure croyez-vous que votre organisation a bien géré l’évolution de la
détection des menaces liées à la cybersécurité, des mesures correctives et de la prévention de juillet à septembre 2020?
Et l’infonuagique + la cybersécurité ont été déterminés en combinant ceux qui ont répondu « Bien » ou « Très bien »
à ces deux questions.
Source : Analyse par Deloitte des données de l’étude sur la résilience de 2021
17
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
Notes de fin
1. Steve Morgan. « Cybercrime To Cost The World $10.5 Trillion Annually By 2025 », Cybercrime Magazine,
13 novembre 2020.
2. Karthik Ramachandran et David Linthicum. Why organizations are moving to the cloud, Deloitte Insights,
5 mars 2020.
4. Analyse des données d’une enquête menée auprès de 2 260 hauts dirigeants et hauts fonctionnaires de 21 pays
par KS&R Inc. en juillet, août et septembre 2020 aux fins d’une étude sur la résilience publiée par Deloitte
Mondial en 2021 et intitulée Bâtir une organisation résiliente : rapport de Deloitte Mondial sur la résilience en 2021,
https://www2.deloitte.com/global/en/insights/topics/strategy/characteristics-resilient-organizations.html.
5. Les organisations ayant déjà un programme d’infonuagique arrivé à maturité ont en général répondu
« bien » ou « très bien » à la question à savoir comment leur organisation avait fait ou était en train de
faire « la transition de ses systèmes d’exploitation vers le nuage pour appuyer le télétravail (p. ex. outils
de collaboration, RPV, centres de données, serveurs, etc.) » et celles qui sont reconnues comme ayant un
programme de cybersécurité arrivé à maturité sont celles ayant répondu « bien » ou « très bien » à la question
à savoir dans quelle mesure leur organisation était arrivée à « gérer la détection, la correction et la prévention
des cybermenaces en constante évolution » pendant la période de juillet à septembre 2020.
6. Expérience de Deloitte.
7. Jason Miller. Air Force’s game-changing approach to cloud accreditation, Federal News Network, 30 juillet 2020.
8. Sunil Potti. Expanding Google Cloud’s Confidential Computing portfolio, Google Cloud Blog, 8 septembre 2020.
9. Expérience de Deloitte.
10. Help Net Security. Top security risks for companies to address as cloud migration accelerates, 11 juin 2020.
11. NASCIO et Deloitte. States at risk: The cybersecurity imperative in uncertain times, Deloitte Insights,
14 octobre 2020.
12. Ryan Johnston. Remote work marked ‘culmination’ of NYC Cyber Command’s cloud initiatives, agency heads said,
State Scoop, 7 octobre 2020.
13. Alicia Hope. « Almost All Cyber Attacks on Cloud Servers Involve Cryptocurrency Mining, a New Study Found »,
CPO Magazine, 25 septembre 2020.
14. Veronica Combs. 3 ways criminals use artificial intelligence in cybersecurity attacks, Tech Republic, 7 octobre 2020.
15. Analyse par Deloitte des données sur les brevets de 2018 à 2020 visant à trouver les mots-cibles centrés
sur l’infonuagique et la cybersécurité.
16. Vikram Kunchala et coll. DevSecOps and the cyber imperative, Deloitte Insights, 16 janvier 2019.
17. https://www2.deloitte.com/us/en/insights/focus/tech-trends/2021/zero-trust-security-framework.html/
19. David Linthicum et coll. The future of cloud-enabled work infrastructure, Deloitte Insights, 23 septembre 2020.
20. David Linthicum. Three cloud security problems that you can solve today, Deloitte On Cloud Blog,
20 septembre 2018.
18
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
21. Paul Klein et Roland Labuhn. Deloitte Tech Trends – Trend 7: Modernizing core technologies, Deloitte Insights,
3 février 2020.
22. Aaron Brown et coll. Achieving cyber governance risk & compliance in the cloud, Deloitte, 2019.
23. Accurics. State of DevSecOps Report for Summer 2020, 4 août 2020.
25. Ibid.
27. Alex Tolsma. GDPR and the impact on cloud computing, Deloitte, consulté le 7 janvier 2021.
28. Deloitte. GDPR and the impact on cloud computing, cybersécurité, confidentialité, Deloitte Pays-Bas.
31. Josh Fruhlinger. What is FedRAMP? How cloud providers get authorized to work with the U.S. government, CSO,
3 avril 2018.
33. Itir Clarke. What Is CASB (Cloud Access Security Broker)?, ProofPoint, 20 juin 2019.
34. Cloud Security Alliance. The Cloud Balancing Act for IT: Between Promise and Peril, janvier 2016.
35. Julie Bernard et Mark Nicholson. Reshaping the cybersecurity landscape, Deloitte Insights, 24 juillet 2020.
Remerciements
Les auteurs tiennent à remercier Douglas Bourgeois, Aaron Brown, Mark Campbell, Mike Kavis, Timothy Li,
Ryan Lindeman, Lauren Nalu et Tony Witherspoon pour leurs idées. Nous remercions spécialement
David Linthicum, Natasha Buckley, Monika Mahto, Lisa Beauchamp, Purnima Roy, Jayee Hegde,
Bhadra Gordon, Kavita Saini, Aparna Prusty et Kimberly Donohue pour leur perspective et leur soutien.
19
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
20
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
21
Approche intégrée de cybersécurité pour votre stratégie de migration infonuagique
Leadership sectoriel
Robert Masse
Associé | Conseils en gestion des risques | Leader national de la sécurité de l’infonuagique | Deloitte Canada
+1 514 393 7003 | rmasse@deloitte.ca
M. Masse est associé et leader national de la Sécurité de l’infonuagique au sein des Conseils en gestion des risques
de Deloitte Canada.
Jean-François Allard
Associé | Conseils en gestion des risques | Leader national, Crises et résilience | Deloitte Canada
+1 514 393 7147 | jeallard@deloitte.ca
M. Allard est associé et leader national du groupe Crises et résilience des Conseils en gestion des risques
de Deloitte Canada.
Aaron Fleming
Directeur de service | Sécurité de l’infonuagique | Conseils en gestion des risques | Deloitte Canada
+1 416 521 4632 | aafleming@deloitte.ca
M. Flemming est directeur de service de la Sécurité de l’infonuagique au sein des Conseils en gestion des risques
de Deloitte Canada.
Naresh Kurada
Directeur de service | Sécurité de l’infonuagique | Conseils en gestion des risques | Deloitte Canada
+1 416 956 9194 | nkurada@deloitte.ca
M. Karuda est directeur de service de la Sécurité de l’infonuagique au sein des Conseils en gestion des risques
de Deloitte Canada.
Vikram Kunchala
Associé | Responsable de l’infonuagique | Responsable de la cybertechnologie
et des risques stratégiques pour les secteurs de consommation | Deloitte & Touche LLP
+1 713 982 2807 | vkunchala@deloitte.com
M. Kunchala est responsable de l’infonuagique pour la pratique des services de cyberrisques pour Conseil en
gestion des risques et Conseils financiers de Deloitte.
Bhavin Barot
Associé | Conseils en cybertechnologie | Deloitte Consulting LLP
+1 313 396 3472 | bbarot@deloitte.com
M. Barot est un associé de la pratique de conseils en cybertechnologie de Deloitte. Depuis plus de 20 ans,
il aide ses clients à améliorer leurs cyberprogrammes, à répondre aux normes de sécurité et à maintenir
une conformité continue.
22
Pourquoi les programmes de migration infonuagique devraient inclure une stratégie infonuagique axée sur la cybertechnologie
Amod Bavare
Associé | Responsable de la migration à l’infonuagique à l’échelle mondiale | Deloitte Consulting LLP
+1 713 982 3040 | abavare@deloitte.com
M. Bavare est associé du génie infonuagique chez Deloitte Consulting LLP, et il dirige les efforts de Deloitte dans
la migration et la modernisation de l’infonuagique à l’échelle mondiale dans tous les secteurs et les sous-secteurs.
Diana M. Kearns-Manolatos
Directrice principale | Spécialiste | Deloitte Services LLP
+1 212 436 3301 | dkearnsmanolatos@deloitte.com
23
Cette page a été intentionnellement laissée en blanc.
Cette page a été intentionnellement laissée en blanc.
Inscrivez-vous pour recevoir les mises à jour de Deloitte Insights, à l’adresse www.deloitte.com/insights.
Suivez @DeloitteInsight
Au sujet de Deloitte
Deloitte désigne une ou plusieurs entités parmi Deloitte Touche Tohmatsu Limited, société fermée à responsabilité limitée par
garanties du Royaume-Uni (DTTL), ainsi que son réseau de cabinets membres et leurs entités liées. DTTL et chaque cabinet
membre de DTTL sont des entités juridiques distinctes et indépendantes. DTTL (appelé également « Deloitte mondial ») n’offre
aucun service aux clients. Aux États-Unis, Deloitte désigne un ou plusieurs cabinets membres américains de DTTL ainsi que
leurs entités liées qui exercent leurs activités sous le nom de « Deloitte » aux États-Unis et leurs entités affiliées respectives.
Certains services peuvent ne pas être offerts aux clients d’attestation en vertu des règles et règlements qui s’appliquent aux
services d’experts-comptables. Pour obtenir une description détaillée de Deloitte Touche Tohmatsu Limited et de ses cabinets
membres, voir www.deloitte.ca/apropos.