Article – La sécurité, talon d’Achille du cloud ?
En disséminant les données dans de multiples environnements, le cloud augmente mécaniquement la surface d’exposition aux risques et aux attaques. Face à cet enjeu de sécurité, une entreprise ne doit pas se défausser derrière son fournisseur, mais au contraire redoubler de vigilance en ce qui concerne la protection de ses données.
Les bénéfices du cloud sont désormais bien identifiés. En offrant une infrastructure réseau et un espace de stockage scalable, ainsi qu’une puissance de calcul presque infinie, le cloud computing pose les fondations de la transformation numérique. Sa souplesse d’usage a pour corollaire d’exposer les entreprises à de nouveaux risques. La flexibilité et les performances apportées par le cloud impliquent de nouveaux défis informatiques et technologiques pour sécuriser les plateformes et les applications ou logiciels.
« Les données ne sont plus physiquement hébergées en un seul lieu, sur des infrastructures réseau en propre, mais disséminées à l’extérieur, chez différents prestataires, rappelle Sébastien Roncin, Chief Security Officer chez Orange Business. Elles se retrouvent plus facilement accessibles, ce qui augmente mécaniquement la surface de risque. »
Par ailleurs, le cloud modifie les comportements des utilisateurs. Le travail à domicile ou en situation de mobilité introduit de nouvelles fragilités. Le mode SaaS (software as a service) ou plus généralement, le cloud augmente le risque de Shadow IT* et donc les risques quant à la confidentialités des données, en facilitant l’accès des applications aux métiers. Enfin, poursuit Sébastien Roncin, « le cloud favorise le partage des données avec les partenaires, les clients, sans qu’il soit possible de maîtriser la sécurité de leurs environnements. »
Limiter les accès au strict minimum
Face à cette hétérogénéité des utilisateurs, il convient de limiter les accès au strict minimum en restreignant les droits administrateurs et les comptes à privilèges pour notamment garantir la confidentialité, puis de contrôler et tracer les actions. Alors que dans une approche multicloud une entreprise peut recourir à une multitude de services cloud, de prestataires différents, une solution unifiée permet de gérer les différents accès en mode single sign-on (SSO), avec authentification unique. « Face à la complexité qu’introduit le cloud, il s’agit d’avoir une politique de sécurité cohérente et homogène », estime Sébastien Roncin.
Le cloud n’exonère pas l’entreprise de ses responsabilités sécuritaires, et cela serait une erreur de se croire déchargé de la gestion de sa sécurité en déportant cet enjeu sur leur provider. « L’entreprise ne peut pas se défausser derrière son prestataire, insiste Sébastien Roncin. Elle doit au contraire être encore plus vigilante et s’assurer de la maîtrise de l’environnement où elle place la donnée. À l’inverse du dicton “loin des yeux, loin du cœur”. »
Contractuellement, les responsabilités sont partagées. Si le fournisseur garantit la sécurité de son infrastructure informatique, en mettant en œuvre tous les moyens ad hoc comme le chiffrement de bout en bout, son client a la charge de sécuriser les données et certaines charges de travail qui transitent via le cloud. Une entreprise utilisatrice est ainsi responsable d’une mauvaise configuration des serveurs ou de ne pas avoir décommissionné une machine virtuelle après usage.
Ne pas se reposer sur la seule sécurité du provider
« Il est important de bien maîtriser son contrat, insiste Sébastien Roncin. Tout ce qui n’est pas écrit n’existe pas. Le rôle du prestataire consiste à s’assurer que son infrastructure est sécurisée et garantit une parfaite imperméabilité entre les différents clients. Ses exploitants ne peuvent, par exemple, accéder qu’aux informations nécessaires pour l’exploitation du service. »
Et si les prestataires proposent nativement différents services d’authentification et de sécurisation sur leurs plateformes, les entreprises clientes n’en ont pas toujours connaissance ou ne savent pas les configurer correctement. Selon un rapport de Checkpoint, les principales vulnérabilités du cloud public concernent les accès non autorisés (42 %), les interfaces non sécurisées (42 %), les erreurs de configuration (40 %) et les détournements de comptes (39 %).
Au-delà des outils mis à sa disposition par le provider, l’entreprise doit se doter de ses propres parades pour gérer les accès et les identités, se prémunir de la fuite de données et en garantir la confidentialité. Elle doit aussi assurer un plan de reprise d’activité (PRA) et mener une politique active de patching. « Ce n’est pas parce qu’on achète un service cloud que l’effort de sécurité est terminé, résume Sébastien Roncin, qui fait le parallèle avec l’achat d’un PC. À l’utilisateur de se doter d’un antivirus et de ne pas avoir de comportements à risques. »
Un prestataire est, bien sûr, soumis au cadre réglementaire avec le RGPD (règlement général sur la protection des données) ou la directive européenne NIS (Network and Information System Security). Il peut aussi se prévaloir de certifications comme les normes ISO 27001 et ISO 27701, voire du label SecNumCloud délivré par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Il y a aussi des labels sécurité plus développées dans certaines zones géographiques comme CSA STAR aux États-Unis ou NTSC en Asie. « Ce ne sont toutefois que des “must have”, une bonne partie du marché ayant obtenu ce type de certification », tempère Sébastien Roncin.
Selon l’expert, la sécurisation du cloud doit donc passer par une relation de confiance avec le fournisseur. Elle pose aussi, à ses yeux, des enjeux de souveraineté. À cet égard, il regarde avec intérêt le projet européen GAIA-X qui vise à bâtir un cloud européen de confiance afin d’offrir aux entreprises et administrations de l’UE une alternative aux offres américaines et chinoises. En fédérant les providers existants autour de standards communs garantissant l’interopérabilité de leurs services cloud, GAIA-X permettra de créer un environnement de confiance.
*L’utilisation de matériel et logiciels par les employés de l’entreprise sans l’accord du département informatique
Nouvelle fonctionnalité Simple Mail Transfer Protocol (SMTP) avec antivirus
Show postArticle – NIS2, à quels types d’exigences votre organisation devra répondre et comment s’y préparer
Show postArticle – Entrée en vigueur de NIS 2 : Qui sera concerné ?
Show postBrochure – Quels leviers de réduction d’impact environnemental à activer avec Cloud Avenue ?
Show postBrochure – Améliorer l’empreinte carbone de votre SI ?
Show postBrochure – Consommation énergétique et empreinte carbone dans l’IT ?
Show postBrochure – comment orange business écoconçoit ses solutions et aide ses clients à écoconcevoir leurs applicatifs ?
Show postInfographie – Indicateurs environnementaux des datacenters
Show postLivre blanc – Comment réduire la consommation énergétique et l’impact environnemental des datacenters
Show postLe PCR « datacenter et services cloud » de l’ADEME : collaboration et engagement d’Orange Business
L’Agence De l’Environnement et de la Maîtrise de l’Energie (ADEME) joue un rôle essentiel dans la promotion de pratiques durables et respectueuses de l’environnement. Dans…
Show post