Google Cloud et sécurité : tour d’horizon

De plus en plus d’entreprises adoptent le cloud computing et stockent des données sensibles et des actifs critiques dans le cloud. Nombreuses sont celles qui ne font pas encore confiance aux technologies modernes ou du moins pas totalement. Elles craignent la perte de souveraineté de leurs données et redoutent un manque de protection contre les cyberattaques. De plus, elles s’inquiètent des sanctions si les lois, règlements et normes éthiques ne sont pas respectés dans le cloud. Pourtant, les mesures de sécurité et les exigences de conformité des fournisseurs leaders comme Google Cloud sont d’un niveau si élevé que les entreprises ne peuvent rivaliser qu’avec des solutions sur site et en investissant énormément de temps et d’argent.

Transfert réglementé des responsabilités en matière de sécurité

Un des principaux avantages de Google Cloud représente également la plus grosse résistance pour de nombreuses entreprises : les clientes et clients transfèrent la responsabilité d’une partie de leur infrastructure IT au fournisseur. Certaines entreprises se sentent ainsi « captives » et ne font que peu confiance à la sécurité et la conformité du fournisseur de cloud. Ces idées préconçues n’ont cependant pas de fondement solide. En effet, Google investit énormément dans la sécurité et la maintient en permanence à jour et à un haut niveau. Google soutient également les efforts de conformité des organisations par le biais de certifications et de contrôles effectués par des tiers.

Google offre des produits de sécurités intégrés au cloud pour protéger les données des entreprises des accès non autorisés – par exemple le chiffrement de données, un Virtual Private Cloud, l’accès aux logs et la protection des applications web et des API. De plus, Google Cloud propose différents modèles de responsabilité partagée : dans le cas d’un produit SaaS (Software as a Service) les clientes et clients délèguent plus de responsabilités que dans le cadre d’une offre d’IaaS (Infrastructure as a Service) ou de PaaS (Platform as a Service). Ainsi, les entreprises peuvent décider de la part de responsabilité en matière de sécurité qu’elles externalisent et la part d’accès et de contrôle qu’elles gèrent elles-mêmes.

Les scénarios hybrides sont également possibles avec Google Cloud. Avec « Anthos », Google propose un environnement Kubernetes cohérent qui permet d’exécuter des applications tant dans l’environnement local que dans le cloud.

Confidential Computing, Zero Trust et IAP

Google Cloud applique déjà des stratégies de sécurité avancées afin de proposer une protection maximale aux entreprises. Parmi ces stratégies : Le Confidential Computing, le Zero Trust et la solution IAP (Identity-Aware Proxy).

1. Confidential Computing

Avec le Confidential Computing, Google propose une technologie pour ses clients ayant des exigences particulièrement élevées en matière de sécurité : les données sont cryptées dans la mémoire vive, tant lors de leur stockage que de leur transmission et de leur traitement.

Le Confidential Computing de Google comprend toute une série de produits, entre autres :

• Confidential VMs : crypte les données actives pendant leur traitement
• Confidential Space : regroupe et analyse les données sensibles tout en préservant leur confidentialité
• Confidential Dataflow : prend en charge les analyses en continu et les applications d’apprentissage automatique
• Confidential Dataproc : permet le traitement d’une grande quantité de données (Big Data)

2. IAP

Identity-Aware Proxy (IAP) est un service global. Il permet aux clients de créer un niveau d’autorisation central pour les applications, l’accès se fait via HTTPS. Seul(e)s une utilisatrice ou un utilisateur ayant le bon rôle défini par la gestion des identités et des accès peuvent alors accéder aux applications. Grâce à l’IAP, les entreprises contrôlent l’accès au niveau des applications et ne se fient pas uniquement aux pare-feux au niveau du réseau.

3. Zero Trust

Le modèle Zero Trust ne considère par défaut aucune personne ni aucun appareil comme digne de confiance, même s’ils se trouvent déjà dans le réseau de l’entreprise. Toute demande d’accès est traitée comme si elle provenait d’un réseau non fiable et doit d’abord être contrôlée, authentifiée et vérifiée. Ainsi, Google impose une authentification et autorisation stricte des identités dans l’intégralité du réseau.

Centre de ressources pour la conformité

Les entreprises peuvent personnaliser Google Cloud en fonction de leur secteur d’activité tout en répondant aux exigences de conformité de leur secteur et de leur pays. C’est ici qu’entre en jeu le centre de ressources pour la conformité (Compliance Resource Center).

Dans le centre de ressources pour la conformité, il est possible de filtrer selon les pays, régions, branches et certains thèmes – par exemple la sécurité. Vous aurez alors un aperçu de toutes les directives et lois pertinentes et pourrez accéder à des informations plus détaillées les concernant. Vous pourrez également consulter les mesures mises en place par Google pour s’y conformer et découvrir les produits spécifiques disponibles pour vous aider. Ainsi, en ce qui concerne la Suisse, Google est conforme aux directives FINMA, ISAE 3000 Type 2 Report et revFADP.

Vers plus de sécurité avec Google Cloud

Pour assumer leur propre part de responsabilité en matière de sécurité, les entreprises ont besoin de professionnels spécialisés qui maîtrisent les techniques adéquates pour surveiller et améliorer l’infrastructure et sécuriser les données dans Google Cloud.

En tant que partenaire de formation officiel de Google Cloud, nous vous proposons des formations adaptées à votre niveau et à vos objectifs professionnels.