Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Du Cloud (et le reste) pour de mauvaises raisons

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Du Cloud (et le reste) pour de mauvaises raisons

Le blogger Chris Hoff introduit la notion de « MBO cloud« . A première vue pourtant le terme MBO n’a pas grand chose à voir avec le Cloud Computing : il signifie « Management By Objectives » et se traduirait plus par « bonus sur objectif » que par un quelconque terme d’architecture IT.

Mais Hoff explique qu’il rencontre désormais régulièrement un certain nombre d’entreprises qui lancent un projet IT à bas coût (un rack, des serveurs, du NAS, XEN et un front-end web…) et appellent ça « leur Cloud« . Mais en se penchant sur les détails du projet pourtant, aucun besoin n’a été identifié au préalable, et surtout, il ne s’agit pas franchement d’une infrastructure Cloud : il n’y a pas de provisionning, pas de re-facturation à l’usage, pas d’application métier, pas de « multitenancy », pas de portail self-service…

Alors pourquoi font-elles ça ? Selon un RSSI rencontré par Chris Hoff ce serait essentiellement parce que quelque part dans les objectifs d’un cadre supérieur quelconque il est indiqué qu’il doit « concrétiser une stratégie vis-à-vis du Cloud Computing« . Et l’équation est simple : pas de concrétisation, pas de bonus. Dès lors on habille des habits du Cloud un projet facile et rapide, sans s’encombrer de trop de réflexion de peur de rater l’échéance de la prime.

La réflexion de Chris Hoff est très pertinente et pousse à se poser la question des autres mauvaises raisons pour lesquelles l’entreprise peut lancer un tel projet, parfois même très structurant (le Cloud, mais puisque nous sommes dans les colonnes de SecurityVibes, aussi des chantiers tels la gestion des identités ou le DLP).

L’on pense bien entendu d’emblée à l’effet de mode (dont la presse – mea culpa – est souvent l’instrument !). Mais quid également de la peur généralement infondée de rester à la traîne de la concurrence si l’on ne lance pas tel ou tel projet ? Ou encore de l’ambition personnelle d’un RSSI qui souhaite ajouter une ligne à son CV en plaidant pour un projet pas forcément nécessaire pour l’entreprise ? Ou à ces projets d’image qui ne trouvent guère d’utilité une fois sommairement mis en oeuvre, mais qui plaisent à la Direction ?

Connaissez-vous d’autres exemples de telles (mauvaises) motivations ? Et surtout, en tant que responsable de la sécurité de tous les projets, bons comme mauvais, comment pouvez-vous éviter que de telles réalisations bâclées ne viennent compromettre la sécurité de l’ensemble ? Quel pouvoir doit avoir le RSSI pour peser dans ces décisions ? Quelles sont vos astuces pour identifier de tels « faux » projets ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.