La sécurité, talon d’Achille du cloud ?

En disséminant les données dans de multiples environnements, le cloud augmente mécaniquement la surface d’exposition aux risques. Face à cet enjeu de sécurité, une entreprise ne doit pas se défausser derrière son prestataire, mais au contraire redoubler de vigilance.

Les bénéfices du cloud sont désormais bien identifiés. En offrant une infrastructure scalable et une puissance de calcul presque infinie, le cloud pose les fondations de la transformation numérique. Sa souplesse d’usage a pour corollaire d’exposer les entreprises à de nouveaux risques. La flexibilité et les performances apportées par le cloud impliquent de nouveaux défis technologiques pour sécuriser les plateformes et les applications.

« Les données ne sont plus physiquement hébergées en un seul lieu, sur des infrastructures en propre, mais disséminées à l’extérieur, chez différents prestataires, rappelle Sébastien Roncin, Chief Security Officer chez Orange Business Services. Elles se retrouvent plus facilement accessibles, ce qui augmente mécaniquement la surface de risque. »

Par ailleurs, le cloud modifie les comportements des utilisateurs. Le travail à domicile ou en situation de mobilité introduit de nouvelles fragilités. Le mode SaaS (software as a service) ou plus généralement, le cloud augmente le risque de Shadow IT* en facilitant l’accès des applications aux métiers. Enfin, poursuit Sébastien Roncin, « le cloud favorise le partage des données avec les partenaires, les clients, sans qu’il soit possible de maîtriser la sécurité de leurs environnements. »

Limiter les accès au strict minimum

Face à cette hétérogénéité des utilisateurs, il convient de limiter les accès au strict minimum en restreignant les droits administrateur et les comptes à privilèges, puis de contrôler et tracer les actions. Alors que dans une approche multicloud une entreprise peut recourir à une multitude de services cloud, de prestataires différents, une solution unifiée permet de gérer les différents accès en mode single sign-on (SSO), avec authentification unique. « Face à la complexité qu’introduit le cloud, il s’agit d’avoir une politique de sécurité cohérente et homogène », estime Sébastien Roncin.

Le cloud n’exonère pas l’entreprise de ses responsabilités sécuritaires, et cela serait une erreur de s’en croire déchargé en déportant cet enjeu sur leur provider. « L’entreprise ne peut pas se défausser derrière son prestataire, insiste Sébastien Roncin. Elle doit au contraire être encore plus vigilante et s’assurer de la maîtrise de l’environnement où elle place la donnée. À l’inverse du dicton “loin des yeux, loin du cœur”. »

Contractuellement, les responsabilités sont partagées. Si le prestataire garantit la sécurité de son cloud, en mettant en œuvre tous les moyens ad hoc comme le chiffrement de bout en bout, son client a la charge de sécuriser les données et certaines charges de travail qui transitent via le cloud. Une entreprise utilisatrice est ainsi responsable d’une mauvaise configuration des serveurs ou de ne pas avoir décommissionné une machine virtuelle après usage.

Ne pas se reposer sur la seule sécurité du provider

« Il est important de bien maîtriser son contrat, insiste Sébastien Roncin. Tout ce qui n’est pas écrit n’existe pas. Le rôle du prestataire consiste à s’assurer que son infrastructure est sécurisée et garantit une parfaite imperméabilité entre les différents clients. Ses exploitants ne peuvent, par exemple, accéder qu’aux informations nécessaires pour l’exploitation du service

Et si les prestataires proposent nativement différents services d’authentification et de sécurisation sur leurs plateformes, les entreprises clientes n’en ont pas toujours connaissance ou ne savent pas les configurer correctement. Selon un rapport de Checkpoint, les principales vulnérabilités du cloud public concernent les accès non autorisés (42 %), les interfaces non sécurisées (42 %), les erreurs de configuration (40 %) et les détournements de comptes (39 %).

Au-delà des outils mis à sa disposition par le provider, l’entreprise doit se doter de ses propres parades pour gérer les accès et les identités, se prémunir de la fuite de données. Elle doit aussi assurer un plan de reprise d’activité (PRA) et mener une politique active de patching. « Ce n’est pas parce qu’on achète un service cloud que l’effort de sécurité est terminé, résume Sébastien Roncin, qui fait le parallèle avec l’achat d’un PC. À l’utilisateur de se doter d’un antivirus et de ne pas avoir de comportements à risques. »

Un prestataire est, bien sûr, soumis au cadre réglementaire avec le RGPD (règlement général sur la protection des données) ou la directive européenne NIS (Network and Information System Security). Il peut aussi se prévaloir de certifications comme les normes ISO 27001 et ISO 27701, voire du label SecNumCloud délivré par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Il y a aussi des labels sécurité plus développées dans certaines zones géographiques comme CSA STAR aux États-Unis ou NTSC en Asie. « Ce ne sont toutefois que des “must have”, une bonne partie du marché ayant obtenu ce type de certification », tempère Sébastien Roncin.

Selon l’expert, la sécurisation du cloud doit donc passer par une relation de confiance avec le prestataire. Elle pose aussi, à ses yeux, des enjeux de souveraineté. À cet égard, il regarde avec intérêt le projet européen GAIA-X qui vise à bâtir un cloud européen de confiance afin d’offrir aux entreprises et administrations de l’UE une alternative aux offres américaines et chinoises. En fédérant les providers existants autour de standards communs garantissant l’interopérabilité de leurs services cloud, GAIA-X permettra de créer un environnement de confiance.

*L’utilisation de matériel et logiciels par les employés de l’entreprise sans l’accord du département informatique

justo libero risus. leo. Aenean ante. ut venenatis,