Auteur : Matthieu Bonenfant, CMO chez Stormshield et Edouard Camoin, VP Résilience chez 3DS OUTSCALE
Alors que la transformation numérique des entreprises s’accélère, notamment sous l’effet du besoin accru de services en ligne pendant la pandémie, le cloud public reste la principale option de choix pour transformer numériquement les opérations des entreprises. Toutefois, l’externalisation dans le nuage ne fonctionne pas sur une sorte de « cliquez et oubliez » : les clients doivent rester vigilants et assumer plusieurs responsabilités en matière de sécurité, faute de quoi de graves incidents peuvent se produire.
Avec un coût moyen de trois millions de dollars supporté par les entreprises victimes de logiciels malveillants, et 51% des entreprises ayant été attaquées, la cybercriminalité est bien vivante.
L’une des raisons est la mise en œuvre du cloud d’entreprise en raison de la crise sanitaire. Par exemple, entre 2019 et 2020 en France, le marché des services de cloud computing a enregistré une hausse de 17 %[1], tandis que les IaaS et PaaS – populaires pour fournir des solutions de vidéoconférence en ligne, de collaboration, d’e-commerce et de streaming – ont augmenté de 25 % sur la période. Mais en déplaçant leurs données et leurs applications vers le cloud, les entreprises créent également une surface d’attaque beaucoup plus grande pour les criminels.
C’est pourquoi, à l’heure où la cybersécurité doit garder une longueur d’avance sur les cybercriminels, la sécurité ne doit pas être considérée comme le parent pauvre de l’approche cloud de l’entreprise.
Dans le cloud, la sécurité est un problème à tous les niveaux.
Le cloud, qu’on le veuille ou non, n’offre pas la possibilité d’externaliser complètement la sécurité des actifs informatiques migrés. Le client aura toujours une part de responsabilité. Ignorer ce fait revient à mettre la sécurité sous le tapis et à s’exposer à de nombreux incidents et attaques de sécurité – vol ou perte de données, violation de la confidentialité, perturbation des opérations, pour n’en citer que quelques-uns. « Et la confiance que nous apportons à notre environnement en nuage doit fonctionner à tous les niveaux, des fournisseurs de services externalisés aux applications et solutions de sécurité gérées directement par le client. Les systèmes de qualification de l’ANSSI pour les prestataires de services de cloud computing (SecNumCloud) ou les produits de sécurité contribuent à développer cette confiance », souligne Matthieu Bonenfant.
Tout d’abord, il est important de comprendre que la sécurité dans le cloud nécessite des mesures de protection à tous les niveaux de l’infrastructure :
- L’infrastructure physique sous-jacente au cloud : serveurs, matrices de stockage, commutateurs, systèmes de surveillance ;
- Infrastructure virtuelle : instances de calcul, stockage, VPC, réseaux virtuels ;
- Applications et micro-services qui s’exécutent dans le cloud ;
- Identités des utilisateurs et des administrateurs dont les profils et les comptes d’accès doivent être gérés pour utiliser les applications et les données ;
Les données stockées dans l’infrastructure du cloud, qu’elles soient non structurées ou structurées dans une base de données.
Client/fournisseur : qui sécurise quoi dans le cloud ?
Il n’existe pas de réponse unique pour tous les cas. Tout dépend du modèle proposé par le fournisseur de services en nuage. C’est pourquoi l’entreprise doit comprendre ce dont son fournisseur est responsable en termes de sécurité, et ce qu’elle est tenue de sécuriser elle-même. À commencer par les principes clés suivants :
Avec IaaS, le fournisseur de cloud n’est responsable que de l’infrastructure physique sous-jacente au cloud, et de sa sécurité. Le client est donc responsable de la sécurité à tous les autres niveaux. Le modèle PaaS ajoute la sécurité de l’infrastructure virtuelle aux responsabilités du fournisseur, tandis que le client s’occupe des identités et des données. Enfin, dans un modèle SaaS, l’essentiel de la responsabilité de la sécurité incombe au fournisseur ; toutefois, le client doit toujours garder le contrôle des identités et de ses propres données.
En résumé, les clients seront toujours responsables de leurs propres données, des comptes utilisateurs et administrateurs et des identités, à tout le moins. Ils doivent vérifier auprès de chaque fournisseur quelles autres responsabilités en matière de sécurité le contrat leur impose. Et ce d’autant plus si l’entreprise suit une stratégie de cloud hybride et/ou multi-cloud, éventuellement en lien avec le edge-computing, et impliquant plusieurs fournisseurs et types de cloud.
Les meilleures pratiques de sécurité pour le cloud
Le point principal à retenir : le client reste le premier responsable de la sécurité des clouds qu’il utilise et doit être proactif dans ce domaine. À tous les niveaux de la sécurité du cloud, l’entreprise doit veiller à conserver un aperçu aussi complet que possible de ce qui se passe : « Elle doit collecter et exploiter les informations de suivi telles que les journaux d’activité et d’accès, ainsi que les informations d’exploitation des applications. Avec une telle vision globale, l’entreprise garde le contrôle et, le cas échéant, s’assure que la sécurité dans le cloud est réversible », explique Edouard Camoin.
Une autre bonne pratique consiste à penser en termes de « Security by design » – en d’autres termes, à intégrer la sécurité dans votre projet de cloud dès le début. Cela signifie qu’il faut penser à l’avance et être organisé, ce qui implique d’établir des critères de sécurité pour spécifier quelles applications et quelles données sont éligibles pour le cloud, de décider qui fait quoi en termes de sécurité et à quel moment les inclure, de planifier les ressources à allouer et de mettre en place des sauvegardes et des plans de continuité et de récupération qui utilisent pleinement les caractéristiques de sécurité des clouds utilisés par l’entreprise. Cela permettra d’éviter de devoir consolider à grands frais les brèches ultérieures et, surtout, d’éviter les crises. Le tout sans négliger la formation et la sensibilisation, car : « Trop d’opérateurs choisissent encore leur technologie de cloud, la mettent en place en interne et pensent à la sécurité au dernier moment : la pire approche de la sécurité du cloud ! », estime M. Camoin.
Pour choisir ses fournisseurs de cloud et mettre en place un environnement fiable, l’entreprise doit intégrer la notion de confiance dans ses critères de sélection. Travailler avec des fournisseurs de cloud qualifiés SecNumCloud et des technologies de sécurité qualifiées par l’ANSSI est un pas dans la bonne direction. En outre, l’évaluation des fournisseurs exige une attention particulière au champ de sécurité effectivement couvert par une certification affichée : l’entreprise doit s’assurer que les engagements de sécurité sont clairement définis dans les clauses contractuelles.
La proactivité du client étant essentielle pour la sécurité du cloud, l’entreprise doit être prête à prendre les devants afin de se couvrir du point de vue de la sécurité, même dans les cas où le fournisseur prend ses responsabilités. « Par exemple, conserver la clé de chiffrement de ses propres données, voire ne pas laisser le fournisseur effectuer les opérations de chiffrement. Et dans les cas où la sécurité relève de la responsabilité directe du client, celui-ci doit utiliser au maximum des technologies de protection tierces, compatibles avec les différents environnements cloud, sur lesquelles il a un contrôle total », recommande Bonenfant.
Ce faisant, l’entreprise assure la cohérence des politiques de sécurité sur l’ensemble de son système d’information (y compris le cloud hybride ou multi-cloud) et facilite l’inversion de la sécurité en cas de changement de fournisseur de cloud.
Les entreprises ont une part de responsabilité en matière de sécurité dans le cloud : leurs données et leur souveraineté dans le cloud ne sont pas des sujets que l’on peut remettre à plus tard !