Secu
Le cloud : véritable maillon faible pour la sécurité des entreprises ?
Par La rédaction, publié le 31 octobre 2022
La sécurité des services, infrastructures et données placées dans le cloud est l’un des grands défis et l’une des préoccupations phares des DSI. Mais comment aborder ce challenge ?
Par Andrianina Rakotomanga, consultant Sécurité Opérationnelle, Synetis
À l’heure où plusieurs entreprises sont en difficulté face à des attaques informatiques sur leur propre installation, la sécurité dans le cloud s’avère être encore trop souvent un enjeu sous-estimé par les entreprises et organisations – de par le caractère virtuel des ressources mises à disposition ainsi que certaines incompréhensions autour du sujet.
Or, l’investissement des compagnies autour de cette technologie continue de croître. Ces dernières font confiance au cloud computing, sans pour autant se soucier de sa sécurité. Le sujet peut sembler complexe, cependant, la sécurité dans le cloud n’est en fait qu’une extension de la sécurité d’un Système d’Information (SI) – à la différence près qu’il est accessible à distance.
Sécurité dans le Cloud : une nouvelle problématique… ou pas ?
IaaS, PaaS, SaaS… Ces acronymes – permettant de désigner des services cloud – peuvent paraître difficiles à cerner. Rassurez-vous, le cloud computing peut être défini simplement : vous (votre entreprise) ne disposez pas des ressources informatiques (physique, logistique ou encore humaine) nécessaires pour faire fonctionner certaines de vos applications ou votre SI ? Les fournisseurs de cloud s’en chargent alors pour vous ! Concrètement, le cloud computing permet de mieux gérer l’agrandissement de votre infrastructure IT. Cette méthode permet aux entreprises et organisations de développer leurs infrastructures en maîtrisant le coût – et ce de manière automatisée.
Le cloud computing n’est pas une nouvelle technologie en soi, mais un moyen de gestion et d’accès à distance des ressources IT. En effet, la différence entre un SI dit classique et cet environnement cloud est la virtualisation des infrastructures. On peut alors présumer que « la sécurité du cloud est équivalente à la sécurité informatique », dans le sens où il faut employer les mêmes méthodologies et bonnes pratiques pour sécuriser ces deux environnements sensibles.
À LIRE AUSSI :
Attention cependant, les fournisseurs de cloud ne vont pas faire tout le travail à votre place. Si de leur côté, l’accès au datacenter, ainsi qu’à la communication réseau dans leur environnement interne cloud, peut être considéré comme sécurisé (notamment pour des solutions IaaS et PaaS) en répondant à un certain nombres de réglementations et de conformité, la sécurité du cloud est une responsabilité partagée ! Pensez donc à bien sécuriser ce qui n’est pas du ressort du fournisseur.
Il faut également prendre en compte les différentes législations et réglementations en vigueur (RGPD, EAR, Cloud Act, ITAR, Common Criteria, etc.), afin d’avoir une vue complète sur la gouvernance, le stockage de la donnée et son utilisation dans le cloud. Si votre cloud stocke ou possède des ressources en Amérique du Nord – par exemple, il est possible qu’il soit soumis au « Cloud Act ». Cette loi très controversée a fait apparaître une tendance qui vise à faire appel à un principe de protection contre cette loi : l’External Key Management (EKM). En reprenant le contrôle de vos secrets, en chiffrant les clés de chiffrement (du fournisseur) via des clés que l’on peut contrôler ET posséder, le fournisseur de cloud n’aura plus la possibilité de déchiffrer vos données en cas d’application de cette loi.
Dans tous les cas, les enjeux de sécurité dans le cloud (data, réseaux, access management, etc.) restent les mêmes que pour votre environnement « local » – excepté quelques cas particuliers, tels que la protection de vos clés de chiffrement ou l’enjeu des applications développées en boîte noire par les fournisseurs de cloud.
À LIRE AUSSI :
Comment (vraiment) sécuriser votre cloud ?
Que vous utilisiez un cloud privé, public ou hybride, les méthodes de sécurisation de ces environnements sont semblables. Voici quelques conseils pour avoir une vue globale des mesures organisationnelles et techniques, et ainsi augmenter la sécurité de votre infrastructure cloud :
1- Revoyez-les bases
Faites en sorte de sécuriser votre cloud comme votre infrastructure : mettez en place une gestion des identités et des accès stricte (qui, quoi, où, pourquoi, comment accéder à vos données), vérifiez les cycles de vies de vos applications – ainsi que de vos données dans le cloud – afin d’éviter le phénomène de « zombie » (entité obsolète mais non bloquée ou supprimée du cloud), sécurisez les endpoints communiquant avec le cloud, revoyez la configuration de l’infrastructure cloud dans le but de coller aux exigences de sécurité, vérifiez la conformité et la sécurité des API servant à interagir avec le cloud et, bien évidemment, protégez vos données grâce au chiffrement.
2- Le chiffrement : le nerf de la guerre
Si les bases sont importantes, le chiffrement se place comme LA composante majeure de la sécurité informatique. L’utilisation d’algorithmes symétriques pour le chiffrement « at rest », le chiffrement de la mémoire vive ou le principe d’enclave sécurisée pour les données « in use » ainsi que du protocole TLS (HTTPS) pour le transfert de données « in transit » sont une base solide pour le chiffrement des données. En plus de devoir chiffrer vos données at rest, in use et in transit, la question de « qui chiffre vos données ? » est aussi structurante. C’est là que l’utilisation d’EKM complète l’équation ! Afin d’éviter toute ambiguïté, il sera bientôt nécessaire pour chaque espace de travail dans le cloud d’un utilisateur, soumis à une réglementation ou autre, d’utiliser ce principe de chiffrement.
3- Ne faites confiance à personne (Zero Trust)
C’est bien connu en sécurité informatique, la confiance est fondamentale. Pourtant, la théorie du Zero Trust va à contre-courant de ce mouvement – se basant sur le fait qu’aucune interaction entre composants du SI n’est fiable. Les deux principes fondamentaux à respecter sont, ici, les abandons de périmètres ainsi que le principe du moindre privilège. Pour appliquer ce modèle, il faut tout particulièrement s’armer de patience et l’appliquer en complément des outils déjà en place. L’approche Zero Trust permet de minimiser les interactions du SI avec les applications SaaS au strict minimum.
4- CASB : instaurer une « police » du cloud
Pour vérifier que toutes ces mesures ont bien été prises en compte et sont appliquées, il est aujourd’hui possible de déployer une « police » du cloud. Le Cloud Access Security Brokers (CASB) est un outil permettant de vérifier que les communications réseaux entre le SI et le cloud respectent les politiques de sécurité instaurées par l’entreprise. Le CASB va vérifier que chaque action est bien conforme à la politique fixée par l’entreprise, qu’aucune application compromise ou des droits mal octroyés ne permettent l’accès à la donnée de l’entreprise ou encore que cette donnée ne soit pas correctement protégée par du chiffrement.
La sécurité du cloud peut être vue par les entreprises et organisations comme une charge de travail supplémentaire, et peu prioritaire par rapport à la sécurité du SI. Cependant, elle fait face aux mêmes problématiques que celle-ci. Il est, de nos jours, primordial de déployer des solutions dédiées à la sécurisation de son cloud à tous les niveaux (gestion d’accès, protection des données, filtrage des communications, etc.) – afin de se prémunir des cyberattaques toujours plus ingénieuses, dans des architectures toujours plus complexes et parfois bien difficiles à gérer.
À LIRE AUSSI :