[Tribune] Cloud : la difficile question de la sécurité informatique

Commodité du partage des données, flexibilité, performance, temps réduit de mise en place, accessibilité publique des services… pour la plupart des entreprises, le Cloud est devenu une option de choix dans la gestion de leurs systèmes d’information. Les CSP – Cloud Service Providers – sont ainsi les garants de la mise en place d’une infrastructure robuste et résiliente. Mais, la question de la cybersécurité demeure et prend même une place prépondérante dans les critères de sélection d’un service Cloud.

Xavier-Filiu,-Cybersecurity-Manager-de-T-Systems-France

Xavier Filiu, Cybersecurity Manager de T-Systems France

DSI et décideurs se doivent de privilégier des architectures « security by design » évolutives, et des compétences opérationnelles à la pointe des principes de sécurité et de protection des données. Un véritable défi dans l’environnement numérique mouvant dans lequel nous évoluons ! Xavier Filiu, Cybersecurity Manager, T-Systems France, nous livre son analyse.

Sécurité : qu’est-ce qui menace le Cloud ?

Les cyberattaquants de tout type d’organisation – criminelle, gouvernementale ou simple amatrice – exploitent en permanence des vulnérabilités plus ou moins connues sur le marché. Leur niveau d’expertise, d’ingéniosité, et leur course à l’exploit sont tels qu’il est indispensable pour les entreprises d’armer solidement la cyberdéfense de leurs systèmes d’information. La robustesse de ces derniers, tout comme les environnements dans lesquels ils évoluent, doivent être testés et surveillés régulièrement par des experts en cybersécurité pour assurer la résilience de l’ensemble.

Le paradigme et l’avenir du Cloud passent ainsi par la confiance que ses utilisateurs lui témoigneront. Et donc par l’assurance d’une sécurité établie, maitrisée et contrôlée, que ce soit sur des plateformes de type IAAS (Infrastructure as a service), PAAS (Platform as a service) ou même SAAS (Software as a service).

A lire aussi : Selon Oracle et Capgemini, les clouds verticaux interrogent avant tout le rôle que les DSI veulent jouer à l’avenir

Tour d’horizon des trois principaux paramètres qui caractérisent la menace pour le Cloud.

  • La surface d’exposition 

Avec le Cloud, les frontières extérieures de l’entreprise ont évolué et sont plus difficiles à définir, ce qui génère de nouveaux risques. Les pirates informatiques peuvent par exemple accéder à des informations publiques d’infrastructures, et il n’est pas rare que des données soient publiées involontairement, via les API (Application Programming Interface) notamment. Les architectures Cloud nécessitent donc une gestion de la sécurité personnalisée, pour mettre en place une protection périmétrique propre à chaque application.

  • La gouvernance de la technologie Cloud

Il est courant que les ressources soient partagées dans le Cloud entre différents clients : nous parlons ici de mutualisation ou de fédération d’outils. Cela permet, entre autres, d’offrir aux utilisateurs une grande évolutivité et de meilleures performances. Mais le manque de transparence peut rendre difficile l’application des politiques de conformité internes de l’entreprise. Il n’est ainsi pas toujours aisé d’appliquer des réglementations locales et/ou européennes, de gérer les différentes catégories de protection des données ou les directives relatives aux mots de passe. Or, les services Cloud doivent s’adapter aux méthodologies agiles de leurs clients, et la sécurité se doit d’être alignée avec ces prérogatives.

  • Les questions de confiance et de responsabilité

La responsabilité partagée est la devise du Cloud. Dans un modèle IAAS, les utilisateurs sont responsables des applications et des données qu’ils opèrent dans le Cloud, tandis que le CSP prend la responsabilité de la sécurité de la plateforme elle-même. Cet accord s’effectue dans le cadre d’une collaboration pour un service spécifique. Au-delà, le service fourni par le CSP apparaît comme une « boîte noire » pour le client. Ce dernier n’a ainsi aucune visibilité sur les forces  et faiblesses des solutions Cloud utilisées, notamment dans des environnements complexes. La question de la confiance entre le fournisseur et son client devient ici primordiale.

Guidelines pour sécuriser son Cloud

Dans tout univers numérique, s’il y a bien une règle d’or à appliquer, c’est celle-ci : la sécurité doit s’envisager dès le début du projet. L’utilisation du Cloud ne fait pas exception. Voici les 4 aspects à prendre en considération pour construire sa stratégie globale.

  • Ne négligez pas la dimension hautement stratégique de la sécurité.
    Concepts de gestion des risques, de continuité des activités, de plan à long terme du cycle de vie des systèmes hébergés…, la sécurité doit donc faire partie des réflexions fondamentales.
  • N’oubliez pas que les failles peuvent intervenir à tous les niveaux.
    Au sein même des processus Cloud, mais aussi entre le ou les Cloud(s) et le système d’information interne.  Il convient de mettre en place un système de gestion de la conformité continue, sur la base des normes et règlements ISO, LPM, NIST, SOX[1]… Cela doit inclure la réponse aux incidents Cloud, l’intégration des aspects de sécurité dans les approches agiles DevOps, l’expertise des scenarii de tout type d’attaques, et la modélisation proactive des menaces Cloud.  

  • Contrôlez régulièrement vos architectures Cloud.
    En plus de connaître les spécificités des différents modèles de service (IAAS, PAAS, et SAAS), les aspects de sécurité doivent être intégrés notamment dans les projets de migration vers le Cloud comme le « lift and shift » ou la réarchitecture.
  • Appuyez-vous sur des technologies et des outils pertinents.
    Les solutions natives de sécurité fournies par les CSP doivent d’abord être utilisées de manière appropriée. Tous les écarts sont ensuite couverts par des solutions de sécurité supplémentaires créées par des fabricants spécialisés – en particulier dans un environnement multicloud hybride (outils XDR / Extended Detection & Response).

La question de la sécurité est ainsi indissociable des services fondamentaux que doit apporter une solution de Cloud, que cette dernière soit publique ou privée, car elle est forcément en interconnexion avec le monde extérieur. Assurer un très haut niveau de sécurité et être capable de contrôler son efficacité en permanence, sont assurément le nouveau ciment permettant aux services Cloud de rassurer les utilisateurs dans leurs démarches d’ouverture et de partenariat avec leurs tiers. C’est une des conditions sine qua non pour le Cloud puisse déployer tout son potentiel ! 

 

[1] ISO: Organisation internationale de normalisation / LPM: Loi de Programmation Militaire / NIST: National Institute of Standards and technology / SOX: Loi Sarbanes Oxley