Objectif 2015 : résoudre les problèmes de sécurité les plus redoutés dans le Cloud
La sécurité est un enjeu majeur pour les entreprises qui envisagent des déploiements dans le Cloud. Les problèmes viennent pourtant souvent des entreprises elles-mêmes. Dixit Jim O'Reilly.
Intitulée « année de l’intrusion », 2014 a vu Sony, Target, Home Depot ou encore JP Morgan subir des attaques informatiques de grande ampleur. De nombreux professionnels de l’IT se sont empressés de montrer le Cloud du doigt.
Pourtant, la faute est plutôt à rechercher du côté de complices en interne ou de négligence dans les contrôles d’accès. Nombre de ces questions de sécurité se posent depuis des années en informatique, mais le Cloud, et la peur de perdre le contrôle des données à l’extérieur du pare-feu, les a remises sur le devant de la scène.
Les pressions incitant à utiliser le Cloud pour alléger la tâche des services informatiques attirent l’attention sur les enjeux de sécurité et modifient en profondeur les pratiques et les outils associés. Si l’on parvient à protéger parfaitement le Cloud, les activités sur site devraient être également en sécurité.
La sécurité, un frein pour le Cloud
Les questions de sécurité se posent dans tous les domaines informatiques mais, appliquées au Cloud, elles entravent particulièrement les déploiements potentiels. Les équipes informatiques citent d’ailleurs la question de la sécurité comme un frein au déploiement dans le Cloud, mais ce sont souvent les réglementations sur la confidentialité des données qui poussent les entreprises à garder leurs données sur site.
Elles optent alors pour un modèle de Cloud hybride qui fait cohabiter un Cloud public et des infrastructures sur site où le stockage des données reste géré. Un modèle que les fournisseurs de Cloud n’encouragent pas. Dans cette configuration, les services gérés peuvent revenir plus cher que d'utiliser Amazon Web Services. Mais cette cohabitation signifie des connexions à vitesse LAN entre les Clouds et une baisse importante des instances dans le Cloud public et du temps de traitement des opérations.
Pour garantir la sécurité dans le Cloud, il est essentiel d’utiliser correctement l’authentification et les contrôles d’identifiants dans le cadre d'une bonne gestion des identités. Cela devrait être aussi facile que de protéger les données sur site, sauf que le coût limité du Cloud et ses faibles barrières à l’entrée ont fait exploser l’usage des outils informatiques dans les différentes directions métiers. De nombreuses études révèlent qu’une large part du périmètre d'action du service informatique d'une entreprise se trouve hors de son contrôle, en particulier pour le Cloud avec ses outils RH et les applications marketing telles que Salesforce.com.
Le BYOD (Bring Your Own Device) aggrave encore la situation en permettant de télécharger et de mettre en ligne facilement les données de l’entreprise. Si un employé, par exemple, décide d’autoriser LinkedIn à chercher des contacts dans son carnet d’adresses, il expose des données sensibles de l’entreprise.
Les services informatiques vont batailler avec le BYOD et avec les outils informatiques métiers pendant toute l'année 2015. Pour limiter ces difficultés, les entreprises doivent mettre en oeuvre une politique de gestion des identités et intensifier leurs efforts en matière d'authentification. Garder l’ennemi à l'extérieur reste un bon point de départ.
Selon un rapport du Cloud Security Alliance, 15 % environ des identifiants utilisateurs ont été volés en 2014. L’organisme liste également de nombreux problèmes venant de l’intérieur de l’entreprise, tels que des employés qui téléchargent la liste des clients ou les codes de développement quand ils quittent l’entreprise, ou bien la mise en ligne de données sur le personnel ou les ventes via les médias sociaux.
Pour résoudre ces difficultés, de nombreuses entreprises compartimentent les données... mais la mise en oeuvre laisse souvent à désirer. Les salariés ont alors accès aux données du stockage rattaché au réseau (NAS), dans un service ou dans toute l’entreprise, car la sécurité des serveurs NAS est notoirement atroce.
Prévention des intrusions, réflexions sur le SaaS pour 2015
La prévention des intrusions en 2015 met l’accent sur la détection des terminaux et la gestion des appareils mobiles. Il est essentiel d’empêcher téléchargement et mise en ligne, et cela commence au niveau du serveur. De nouveaux services verront le jour dans l’année à mesure que la prévention des intrusions progresse. Il est possible de verrouiller un navigateur pour interdire le téléchargement d’informations ; on peut donc envisager un mécanisme d'accès aux données d'entreprise reposant entièrement sur un navigateur.
En revanche, ce mécanisme ne pourra rien contre les applications utilisées directement par les directions métiers. D’autant que ces questions sont totalement hors de contrôle dans la plupart des entreprises. De nombreux administrateurs ont tenté d'imposer des règles aux fournisseurs, et se sont fait envoyer sur les roses.
Sur le sujet
- Sécurité des données dans le Cloud, une bataille perdue d’avance ?
- La sécurité du cloud doit encore progresser
- Apps mobiles professionnelles : ces besoins qui changent la donne des développeurs
- CipherCloud veut chiffrer de bout en bout les données des applications Cloud
- BYOD : comment développer des applications mobiles cloud
- Mobilité d’entreprise : au-delà du MDM et du BYOD
La meilleure approche reste de collaborer pour déterminer les besoins, puis de mettre les applications à disposition uniquement via la boutique d'applications sur site. Cela évite toute négociation et toute discussion sur le support, et permet d’assurer les meilleurs prix. Sans compter que cela limite la prolifération des applications.
On peut d'ailleurs, si besoin, interdire certaines applications. Tout comme on peut empêcher que les données de l’entreprise ne soient mises en ligne, en bloquant les téléchargements. Facile pour les applications sur site, la procédure est plus délicate avec les logiciels en tant que service (SaaS) dans le Cloud.
Le SaaS est devenu la solution de facilité pour une prise en charge plus agile des processus métiers. Les prix sont bas et il n'y a aucune dépense d'investissement initiale à faire approuver. Mais il est extrêmement difficile de faire appliquer des normes de gouvernance d’entreprise dans les environnements SaaS, en particulier quand des contrats ont été signés au niveau des directions métiers. Rappelez-vous, les fournisseurs SaaS travaillent essentiellement dans des Clouds publics, ce qui ajoute une deuxième couche de problèmes de gouvernance.
Une bonne boutique d’applications peut canaliser les contrats SaaS vers les fournisseurs offrant une gouvernance appropriée, mais pour les SaaS des services métiers, ce sera au PDG d'établir des règles d’engagement. Par exemple, pourquoi ne pas demander au service informatique de signer une déclaration de vérification de conformité.
Le Cloud a une longueur d’avance sur les environnements sur site en termes de sécurité. Grâce à l’ampleur des installations Cloud, le coût de la sécurité par utilisateur reste faible pour leurs fournisseurs. Garantir la conformité aux règles et la bonne gouvernance des données restent néanmoins des défis pour tout utilisateur de Cloud public ou hybride. Mais dans un monde peuplé de hackers, il convient de leur accorder la priorité pour un déploiement Cloud réussi, sans pour autant négliger, bien sûr, la protection des services sur site.