La sécurité du Cloud ? Une responsabilité partagée
Le message n’est pas nouveau. Et certains acteurs du Cloud n’ont pas manqué de le détailler. Mais le rappel de Gartner à ses clients est loin d’être superflu.
Microsoft avait joué la carte de la pédagogie, au printemps 2016, pour aider les moins matures des utilisateurs de services Cloud à bien comprendre où commence et s’arrête la responsabilité de chacun en matière de sécurité. Mais le besoin est plus vaste et s’étend au-delà des clients de l’éditeur de Redmond. Gartner vient alors de couvrir le sujet pour ses clients.
Dans une note d’information, l’analyste Steve Riley, rappelle ainsi les principales difficultés. Et cela commence par la conscience du fait que l’étendue de la responsabilité du fournisseur de services Cloud dépend des services rendus – IaaS, PaaS ou SaaS. Mais que quoi qu’il en soit, « la gestion des identités et des accès (IAM) et la sécurité des données relèvent toujours de la responsabilité du client ». Dès lors, pas question de s’imaginer que « le transfert de charges de travail vers le Cloud » rend « automatiquement » et comme par magie l’environnement plus sécurisé. Et cela vaut par exemple pour les besoins de segmentation logique de l’environnement utilisé, par exemple pour accommoder plusieurs clients : certes, le fournisseur de services Cloud l’assure entre ses clients, mais c’est aux utilisateurs de ses services qu’il incombe de le mettre en place pour leurs propres clients…
Alors pas question de se lancer dans le Cloud sans préalable, même si cela peut être tentant, notamment dans un contexte de mise en conformité avec le règlement européen de protection des données (RGPD/GDPR). Certes, expliquait il y a peu Vincent Laurens, vice-président de Sogeti Luxembourg et directeur de sa practice cybersécurité, le Cloud « peut faciliter grandement les choses ». Mieux même : « on a beaucoup plus de chances d’être rapidement conforme avec un environnement hybride ou intégralement Cloud ». En outre, de nombreux fournisseurs européens de services Cloud promettent d’être conformes au règlement avant son application en mai 2018.
Mais cela ne doit pas faire oublier ce qui incombe aux entreprises utilisatrices. Et Steve Riley ne manque pas de formuler plusieurs recommandations. Cela commencer par l’intégration « dès le début » d’une couche d’IAM « appropriée, idéalement basée sur les rôles, notamment pour les tâches administratives ». Car c’est aux clients du fournisseur de services Cloud qu’il revient de « définir qui peut faire quoi dans le cadre des abonnements ».
L’analyste poursuit en recommandant d’isoler « les données au repos avec un chiffrement au niveau des applications », mais aussi d’utiliser un accès protégé par réseau privé virtuel (VPN) ou TLS. Mieux, « pour les IaaS, segmentez et contenez le trafic réseau en utilisant au minimum les contrôles de filtrage et de réseau virtuel » du fournisseur.
Mais surtout, pour Gartner, que l’on parle SaaS, PaaS ou IaaS, il convient de mettre en place un contrôle de sécurité dédié, permettant de gagner en visibilité, en continu, pour tenir compte des différences qu’il y a entre le Cloud et un déploiement sur site : « la visibilité dans le Cloud est différente de la visibilité sur site et nécessite probablement des outils différents ». Le terme n’est pas prononcé, mais l’on pense naturellement aux passerelles d’accès Cloud sécurisé, les CASB. Certains d’entre eux sont d’ailleurs mentionnés par Steve Riley : Bitglass, CloudLock (racheté par Cisco en 2016), CipherCloud, Elastica (racheté par Blue Coat fin 2015, lui-même racheté par Symantec l’an dernier), Microsoft Cloud App Security, lancé début 2016, Netskope, ou encore Skyhigh Networks et Vaultive.