Blue Planet Studio - stock.adobe
La sécurité, un enjeu majeur à l’ère du cloud
Accéléré ces dernières années sous l’effet de facteurs divers, le passage au cloud ne peut se faire sans prendre en compte de nombreux éléments, réglementaires, mais aussi techniques ou encore associés aux processus DevOps.
En janvier 2022, le président français Emmanuel Macron a pris la présidence de l’Union européenne. Différents sujets vont ainsi être initiés et abordés par la France durant ce mandat ; parmi eux se trouvent la sécurité informatique et plus globalement la souveraineté numérique.
Sous l’effet de la pandémie, les entreprises ont dû accélérer leur adaptation au numérique, avoir recours aux accès à distance et se tourner de plus en plus vers le cloud. Ce dernier permet de stocker nos applications, nos données sur des serveurs à distance, rendant le travail à distance plus simple, mais augmentant le champ de vulnérabilités. Un rapport d’Orange Cyberdéfense suggère que ce phénomène n’a pas échappé aux cybercriminels : selon ce rapport, le nombre de cyberattaques a augmenté de 13 % en 2021. Et ce n’est pas fini. Force est alors de constater que la sécurité du cloud devient un enjeu majeur dans un contexte où la souveraineté numérique est de plus en plus remise en question par la vulnérabilité de nos SI, mais également le choix des solutions et de ses fournisseurs.
Comment concilier le cloud et la cybersécurité ?
Pour commencer, il est important de réaliser un audit de sécurité dédié. On peut recommander l’utilisation de standards tels que les benchmarks du CIS (Center of Internet Security). On y retrouve notamment le CIS Critical Security Controls regroupant 18 contrôles essentiels à mettre en place ou bien en fonction du contexte ; les CIS Foundations Benchmarks couvrant plus de 25 familles de produits y compris les fournisseurs de cloud. Ces benchmarks permettent d’avoir une liste de contrôles et bonnes pratiques à mettre en place.
Le choix du fournisseur cloud
Au début de la réflexion d’un projet cloud vient le choix du fournisseur. Mais bien le choisir, en pleine connaissance de la législation à laquelle il est soumis, n’est pas chose aisée aujourd’hui. Il est important de prendre en compte la localisation du stockage des données afin de garantir leur confidentialité, un des piliers de la cybersécurité.
En effet, la législation peut tout d’abord varier d’un pays ou continent à l’autre. En France et en Europe, les fournisseurs sont soumis à une réglementation telle que le RGPD (Règlement Général sur la Protection des Données). Quant aux USA, il existe une loi fédérale non négligeable appelée Cloud Act qui permet au gouvernement américain d’accéder à l’intégralité des données hébergées sur le sol américain.
Par ailleurs, certains fournisseurs en France, comme OVH, ont été labellisés SecNumCloud (certification de l’Anssi) garantissant donc un respect d’exigences, ainsi qu’un certain niveau de sécurité et de souveraineté. À l’échelle européenne, l’UE également prévoit une nouvelle certification dans le cadre de la directive NIS (Network and Information System Security), ayant pour but de créer une réglementation sur le cloud, sa souveraineté et sa sécurité.
L’entreprise peut également choisir plusieurs fournisseurs cloud ; c’est ce qu’on appelle le multicloud. Cette approche est intéressante pour différentes raisons, notamment en termes de sécurité : éviter une trop forte dépendance avec son fournisseur de cloud, augmenter la sécurité de ses données en les stockant chez différents fournisseurs (notamment dans le cadre de gestion de crise avec les plans de reprise et de continuité d’activité), diminuer les risques de ruptures de services, et enfin bénéficier des meilleurs services de chaque fournisseur.
Choix du type de cloud
Lors de son choix de stratégie Go To Cloud, il faut aussi se poser la question du type de déploiement que l’on souhaite mettre en place. Il existe aujourd’hui différents modèles de déploiement sur le cloud qui peut être public, privé, hybride ou encore une fois opter pour une approche multicloud.
Par exemple, choisir un cloud hybride, combinant cloud privé et public, peut permettre d’avoir une partie de ses applications et données stockées dans un cloud partagé avec d’autres entreprises (cloud public) et également avoir ses applications et données sensibles stockées sur un cloud dédié à l’entreprise (cloud privé).
L’avantage d’un cloud hybride est de profiter à la fois des coûts réduits qu’offre un cloud public tout en conservant un haut niveau de sécurité pour ses données les plus sensibles dans un cloud privé.
Des outils pour sécuriser
Dans le cloud, la sécurité et sa responsabilité sont dites partagées entre le fournisseur et l’entreprise cliente. Le premier est responsable de la gestion de l’infrastructure (services de stockage, de calcul ou de réseau) tandis que l’entreprise cliente est responsable de la gestion de la sécurité de tout ce qui se trouve en amont du superviseur (systèmes d’exploitation des invités, utilisateurs, applications, données).
Dès lors, la gestion des droits d’accès aux applications et données est essentielle pour garantir leur sécurité. Il existe pour cela des outils et des procédures de gestion des identités et accès dans le cloud (CIEM, Cloud Infrastructure Entitlement Management).
Les outils de gestion des identités et accès pour les architectures traditionnelles (IAM, Identity and Access Management) ne sont généralement pas pleinement adaptés à la protection d’une infrastructure cloud hautement dynamique.
Dans une approche CSPM (Cloud Security Posture Management), on pourra également choisir des outils de surveillance des ressources et des vulnérabilités qui permettront aux RSSI et à leurs équipes d’être alertés sur les mauvaises configurations et vulnérabilités pouvant être exploitées.
Pour les développeurs, on peut trouver de plus en plus d’outils : les outils SAST permettant des analyses de code source afin de détecter les vulnérabilités avant le déploiement. D’autres solutions permettent de gérer les mots de passe, jetons ou clés de chiffrement des secrets dans le cloud.
Par ailleurs, le choix des bibliothèques de développement est aussi à étudier de près. Là, certaines entreprises feront le choix d’utiliser des solutions permettant de garder le contrôle sur les bibliothèques mises à disposition ou non des développeurs.
Enfin, lors de la mise en place de ses outils de surveillance et de gestion, il faut également veiller à les sécuriser. Les pirates sont friands de ses outils, car ils permettent d’avoir accès directement aux configurations de l’infrastructure.
L’importance du DevSecOps
Le cloud favorise, au sein des équipes techniques de développement et d’exploitation, une transition vers une approche DevOps. Comme toute innovation, le DevOps présente également de nouveaux risques ; l’affaire SolarWinds en est un bon exemple et démontre l’importance d’intégrer les notions de sécurité dans cette approche. On parle alors de DevSecOps.
Le DevSecOps est donc une approche qu’il est important de démocratiser ; elle vise à intégrer la sécurité dans le pipeline CI/CD (intégration et déploiement de manière continue) au travers d’outils, d’amélioration des processus, pour y intégrer les notions de sécurité et d’humain, en sensibilisant les équipes de développeurs ou en intégrant des rôles de « security champion ».
Pour conclure, dans un contexte international très tendu notamment avec le conflit russo-ukrainien, la cybersécurité est plus que jamais au-devant de la scène. Les enjeux de souveraineté numérique et de sécurité des données dans le cloud sont indispensables à prendre en compte.
Afin de garantir la sécurité et la disponibilité des données dans le cloud, il est important de prendre en compte, dans sa stratégie « Go To Cloud », de nombreux paramètres tels que la localisation des datacenters, la législation applicable, le choix du fournisseur et le type de cloud. L’utilisation d’outils et frameworks de sécurité du cloud et la mise en place d’une approche DevSecOps en fonction du contexte sont des leviers significatifs à intégrer dans une stratégie globale de sécurité du cloud.
Pour approfondir sur Sécurité du Cloud, SASE
-
Broadcom mise sur la souveraineté pour promouvoir VMware en Europe
-
« Darwinisme technologique » : sans indépendance IT, pas de pérennité pour les entreprises
-
« J’estime qu’environ 30 % des systèmes resteront sur site » (Mohammed Sijelmassi, CTO Sopra Steria)
-
NumSpot : des services managés en 2024, et déjà des clients