grandeduc - Fotolia
Prudemment, mais résolument, Nexity révolutionne son IT avec le cloud
Le promoteur immobilier s’est engagé dans une démarche visant à professionnaliser et industrialiser autant que possible son IT. Mais avec conscience des implications en matière de sécurité et l’adoption d’une gouvernance rigoureuse dès le départ.
La démarche remonte à 2016 : à cette époque, Nexity prend la décision de basculer d’une culture du « faire » à celle du « faire faire » pour son IT. L'objectif est de professionnaliser la pratique et de l’industrialiser, et surtout de se recentrer sur son cœur de métier, la promotion immobilière.
Pour conduire cette grosse révolution en coulisses, Nexity s’est associé les services de Claranet et a décidé de migrer toutes ses infrastructures exploitées en interne sur AWS. Mais pas question de le faire n’importe comment.
Nicolas Pellegrin est responsable de la sécurité de l’information chez Nexity, et il est bien conscient des risques : « ouvrir à tout le monde un bucket S3 ou une base de données cloud sans sans s’en rendre compte, c’est tellement facile », et puis « en laissant un composant logiciel sans correctif sur Internet, on a la certitude de se faire pirater dans l’année ». Du coup, au moment d’aborder le gros de la migration – plus de 400 applications passées de serveurs physiques à des instances EC2 –, Nexity s’est doté d’une solution de gouvernance afin de superviser la conformité de ses déploiements cloud avec les pratiques de référence et ses propres politiques de sécurité : Dome9, racheté par Check Point à l’automne 2018 et depuis rebaptisé CloudGuard Log.ic.
De quoi assurer une gouvernance robuste
Pour mémoire, la plateforme Arc de Dome9 a été avant tout conçue pour l’orchestration des stratégies de sécurité au travers des environnements de cloud hybride – AWS, Azure et Google Cloud Platform, via notamment les VPC (Virtual Private Cloud) flow logs, CloudTrail, Amazon Guard Duty, ou encore AWS Inspector, notamment – pour le réseau ou encore le contrôle d’accès. La plateforme propose notamment un outil de visualisation en temps réel de la topologie de l’environnement IaaS, avec instances, pare-feu, groupes de sécurité, etc.
Cet outil permet de surveiller l’exposition publique de l’environnement hybride et de ses composants, ou encore d'aider à la découverte et la correction de menaces telles que les défauts de configuration. Les actions de correction peuvent être conduites directement depuis la console.
Mais la plateforme va plus loin, permettant de vérifier la conformité des actifs cloud public avec leurs états approuvés, voire de corriger toute altération non autorisée, ou encore de lier de manière granulaire des actifs spécifiques à des régions de production IaaS précises. A des fins d’administration, Arc permet en outre d’exposer, de manière temporaire, des services ou des ports spécifiques – en s’assurant que l’exposition ne persiste pas dans la durée.
Eviter une dégradation graduelle de la posture
L’objectif premier de Nexity est double : profiter de l’opportunité donnée par la migration pour se doter de bases saines, et compenser l’absence – relative – de sécurité périmétrique traditionnelle. Car la migration engagée a été l’occasion de débusquer des pratiques peu rigoureuses, comme la création d’accès illégitimes. Sans compter un bon nombre de serveurs qui n’étaient en fait pas utilisés. Mais pour Nicolas Pellegrin, le risque est évident : « si l’on ne pilote pas la conformité dans la durée, on peut vite se retrouver avec un environnement dont le niveau de conformité décroît graduellement ». D’où la volonté de superviser et d’encadrer.
Mais ce n’est pas tout. Typiquement, relève-t-il, « les accès à privilèges ont longtemps été appréhendés comme protégés par la sécurité périmétrique ». Et dans un cloud public, « il faut trouver d’autres solutions pour se protéger, comme l’authentification à facteurs multiples ».
En fait, pour Nicolas Pellegrin, « le cloud public nécessite une discipline au moins égale à celle que l’on pouvait avoir dans un monde on-premise pour la gouvernance ». Et cela encore plus pour la gestion des actifs, de leurs configurations et des correctifs.
Une discipline « draconienne »
D’ailleurs, le responsable de la sécurité de l’information entend bien surveiller de près versions de composants logiciels et vulnérabilités : « ça a toujours été un sujet difficile en entreprise. On a vite fait de céder aux exigences des métiers ou de la production ». Mais le recours à un partenaire pour gérer une bonne partie de la pile logicielle « permet aussi de pousser les pratiques de référence. C’est aussi l’intérêt du faire-faire ». Alors aujourd’hui, Nicolas Pellegrin revendique une « gestion des correctifs draconienne ».
Et le choix d’une infrastructure Cloud ajoute un petit coup de pouce en cela : « avec Amazon, on sait quand son système sera mis à jour, et après, il faut s’assurer que tout continuera de fonctionner ». Mais pas question de négocier pour avoir un traitement de faveur : « il faut l’accepter, comme un désavantage, peut-être pour l’exploitation, mais comme un avantage pour la sécurité ».