La sécurité dans le cloud est également l'affaire des utilisateurs, par Edouard Camoin, VP Résilience chez 3DS OUTSCALE et de Matthieu Bonenfant, Chief Marketing Officer chez Stormshield
Alors que la transformation numérique des entreprises s'accélère, poussée notamment par le besoin accru de services en ligne pendant la pandémie, le cloud public reste l'option phare pour digitaliser les opérations. Or, l'externalisation dans le cloud n'a rien d'une logique « click and forget » : le client doit rester sur le pont et assumer plusieurs responsabilités de sécurité, sans quoi il s'expose à de sérieux incidents.
Trois millions de dollars en moyenne portés par les entreprises victimes d'un malware, et 51 % d'entreprises attaquées : le cybercrime se porte bien.
Une des raisons vient de la migration massive des entreprises vers le cloud dans le contexte de la crise sanitaire. Ainsi, entre 2019 et 2020 en France, le marché des services de cloud computing a enregistré une hausse de 17 %, et celui du IaaS et du PaaS, prisé pour fournir des solutions en ligne de visioconférence, de collaboration, de e-commerce et de streaming, a augmenté sur la période de 25 %. Mais en déplaçant les données et applications dans le cloud, les entreprises créent aussi une surface d'attaque bien plus vaste pour les malfaiteurs.
C'est pourquoi, à l'heure où la cybersécurité doit garder un train d'avance sur les cybercriminels, la sécurité ne peut pas faire figure de parent pauvre dans la démarche cloud de l'entreprise.
Matthieu Bonenfant, Chief Marketing Officer chez Stormshield
Dans le cloud, la sécurité se joue à tous les étages
Qu'on le veuille ou non, le cloud ne permet pas une externalisation totale de la sécurité des actifs informatiques migrés. Le client aura toujours une part de responsabilité. L'ignorer revient à mettre la sécurité sous le tapis et à s'exposer à de nombreux incidents de sécurité et attaques - vol ou perte de données, non-respect de la confidentialité, interruption des opérations, pour n'en citer que quelques-uns.
Matthieu Bonenfant souligne : « Et la confiance que l'on porte à son environnement cloud doit se jouer à tous les niveaux : du fournisseur de service externalisé jusqu'aux applications et solutions de sécurité gérées directement par le client. Les qualifications de l'ANSSI concernant les prestataires de service d'informatique en nuage (SecNumCloud) ou les produits de sécurité permettent de développer cette confiance. »
Il importe en premier lieu de bien cerner que la sécurité dans le cloud exige des protections à tous les niveaux de l'infrastructure :
- Infrastructure physique, sous-jacente au cloud : serveurs, baies de stockage, switchs, systèmes de supervision ;
- Infrastructure virtuelle : instances de calcul, stockage, VPC, réseaux virtuels ;
- Applications et micro-services qui vont s'exécuter dans le cloud ;
- Identités des utilisateurs et des administrateurs dont il faut gérer les profils et comptes d'accès pour utiliser applications et données ;
- Données stockées dans l'infrastructure cloud, qu'elles soient non structurées ou structurées en base de données
Client/fournisseur : qui sécurise quoi dans le cloud ?
Il n'existe pas de réponse unique et applicable à tous les cas de figure. Tout dépend en effet du modèle proposé par le fournisseur de cloud. C'est pourquoi l'entreprise doit bien comprendre ce que son fournisseur prend en charge en matière de sécurité, et ce qu'il lui revient de sécuriser elle-même. À commencer par les grands principes qui suivent :
Dans le cas du IaaS, le fournisseur de cloud est uniquement responsable de l'infrastructure physique sous-jacente au cloud, et de sa sécurité. Le client est donc en charge de la sécurité à tous les autres niveaux. Le PaaS ajoute la sécurité de l'infrastructure virtuelle aux responsabilités du fournisseur, alors que le client se charge des identités et des données. Enfin dans un modèle SaaS, la majorité de la responsabilité de sécurité revient au fournisseur, toutefois, le client doit toujours garder la main sur les identités et ses données.
En synthèse, le client sera toujours responsable de ses données, des comptes utilisateurs et administrateurs et des identités, à minima. Il doit vérifier avec chaque fournisseur quelles autres responsabilités de sécurité lui reviennent selon le contrat. Et d'autant plus si l'entreprise suit une stratégie de cloud hybride et/ou multi-cloud, associée éventuellement à de l'edge-computing, et dans laquelle interviennent plusieurs fournisseurs et types de cloud.
Edouard Camoin, VP Résilience chez 3DS OUTSCALE
Les bonnes pratiques sécuritaires pour le cloud
Le précepte à garder en tête : le client reste le premier responsable de la sécurité dans les clouds qu'il utilise et doit être proactif en la matière. À tous les niveaux de sécurité du cloud, l'entreprise doit veiller à garder un maximum de visibilité sur ce qui se passe - « Elle doit collecter et exploiter les traces telles que logs d'activité, d'accès, fonctionnement des applicatifs. Avec cette vision holistique, l'entreprise garde le contrôle et assure, le cas échéant, la réversibilité de la sécurité dans le cloud » détaille Edouard Camoin.
Autre bonne pratique : raisonner en mode « Security by design », autrement dit intégrer la sécurité dans le projet cloud dès le départ. Il faut anticiper et s'organiser. Ce qui implique de définir les critères de sécurité pour définir les applications et données éligibles au cloud, décider qui fait quoi en matière de sécurité, à quel moment l'embarquer, anticiper les ressources à allouer, prévoir des sauvegardes, plan de continuité et de reprise intégrant pleinement les caractéristiques de sécurité des clouds utilisés par l'entreprise. De quoi éviter de colmater au prix fort des brèches ultérieures, et surtout d'éviter des crises. Le tout sans oublier la formation et la sensibilisation. En effet, « trop d'opérationnels font encore leur choix de technologie cloud, la négocie en interne et se penchent sur la sécurité à la dernière étape : la pire approche de sécurité dans le cloud ! » regrette Edouard Camoin.
Pour choisir ses fournisseurs de cloud et mettre en place un environnement fiable, l'entreprise doit intégrer la notion de confiance dans ses critères de sélection. Travailler avec des fournisseurs de cloud qualifiés SecNumCloud et des technologies de sécurité qualifiées par l'ANSSI permet d'aller dans ce sens. De plus, l'évaluation des fournisseurs demande une attention particulière au périmètre de sécurité réellement garanti derrière une certification affichée : l'entreprise doit s'assurer que les engagements de sécurité sont clairement exprimés dans les clauses contractuelles.
Puisque la proactivité du client est essentielle pour la sécurité dans le cloud, l'entreprise doit être prête à prendre les devants pour se couvrir d'un point de vue sécurité, même s'il est pris en charge par le fournisseur. « Par exemple, conserver la clé de chiffrement de ses données, ou même, ne pas laisser le fournisseur se charger des opérations de chiffrement. Et lorsque la sécurité incombe directement au client, il doit utiliser au maximum des technologies de protection tierces, compatibles avec divers environnements cloud, dont il aura la pleine maîtrise », recommande Matthieu Bonenfant. Ce faisant, l'entreprise assure la cohérence des politiques de sécurité sur l'intégralité de son système d'information (y compris en cloud hybride ou multi-cloud) et facilite la réversibilité de la sécurité en cas de changement de fournisseur cloud.
Les entreprises ont une part de responsabilité en matière de sécurité dans le cloud : leurs données et leur souveraineté dans le cloud ne peuvent plus attendre !
À propos de 3DS OUTSCALE :
3DS OUTSCALE, partenaire stratégique et filiale Cloud de Dassault Systèmes, propose depuis 2010 aux startups, éditeurs de logiciels, entreprises et organisations publiques, des services de Cloud Computing de type IaaS robustes, sécurisés et sur-mesure, déployés sur des infrastructures industrielles de confiance.
À propos de Stormshield :
Partout dans le monde, les entreprises, les institutions gouvernementales et les organismes de défense ont besoin d'assurer la cybersécurité de leurs infrastructures critiques, de leurs données sensibles et de leurs environnements opérationnels. Les technologies certifiées de Stormshield, répondent aux enjeux de l'IT et de l'OT afin de protéger leurs activités.
Et vous ?
Qu'en pensez-vous ?
Etes-vous du même avis, ou pensez-vous que la sécurité des données dans le cloud doit incomber uniquement au fournisseur ?
Quelle est l'approche adoptée par votre organisation en ce qui concerne la sécurité des données dans le cloud ?
Voir aussi :
98 % des entreprises sont victimes d'au moins une violation de données dans le cloud, contre 79 % l'année dernière, tandis que 67 % font état de trois violations ou plus, selon une étude de Ermetic
Une entreprise sur trois souffre d'un faux sentiment de sécurité quant au contrôle de l'accès à ses données sur le cloud, selon un rapport de CloudSphere
Les entreprises doivent mieux cerner leur responsabilité en matière de sécurité des données dans le cloud, d'après un nouveau rapport de StorageCraft
Partager