Cybersécurité

Le Cloud : un accélérateur pour la Cybersécurité

9 octobre 2018

author:

Le Cloud : un accélérateur pour la Cybersécurité

Plus qu’une tendance technologique, le Cloud Computing est devenu, depuis cinq ans, un accélérateur de la transformation digitale qui gagne en maturité. Néanmoins, l’adoption de cette technologie fait planer des menaces pour la sécurité des données hébergées. Des résistances persistent de la part des responsables de la sécurité. Pourtant, le cloud pourrait bien être plus sûr que les systèmes traditionnels. A condition d’opter pour les bonnes pratiques.

Le Cloud Computing : la nouvelle norme pour les systèmes d’information

Explosion du marché du Cloud : + 20 % en 2018

Le marché du Cloud est en train de dépasser toutes les prédictions. Le baromètre Gartner prévoit une croissance du marché mondial supérieure à 20 % pour 2018. Un rythme qui devrait se poursuivre.

Le cloud est en passe de devenir le choix évident pour les stratégies de stockage, de restauration et même d’archivage. Les entreprises n’ont jamais dépensé autant dans les technologies du Cloud Computing que durant ces deux-trois dernières années, en priorité sur des environnements Cloud Public ou Multi-Cloud.

Les avantages du Cloud pour les entreprises

En fournissant aux entreprises un environnement flexible à des coûts maîtrisés, le cloud apporte la meilleure réponse aux besoins croissants de généralisation du travail collaboratif, d’explosion du volume des données ou de facilité d’accès.

Pour les entreprises les plus matures, les approches « Serverless » permettent d’utiliser uniquement la puissance de calcul fournie par le Cloud. A terme, un usage généralisé du Cloud entraînera une simplification du SI et de sa gestion.

La sécurité, première réticence des entreprises au cloud

Malgré tout, il subsiste plusieurs freins à l’adoption du cloud. La sécurité reste la principale préoccupation pour les nouveaux entrants. Selon la dernière étude RightScale en 2018, 77 % des entreprises considèrent la sécurité comme un challenge du cloud. Ce taux monte à 85 % pour les nouveaux entrants. En outre, les environnements hétérogènes liés à l’intégration du cloud sont complexes à opérer en termes d’IT. Ils créent de nouvelles zones de vulnérabilités. L’actualité récente confirme que ces vulnérabilités ne sont pas à prendre à la légère.

Faire face à de nouveaux risques

La sécurité à la une de l’actualité

Yahoo, Instagram, LinkedIn et plus récemment British Airways, toutes ces entreprises ont fait la une de l’actualité suite à des violations de données. Les principaux fournisseurs de Cloud Public ne sont pas épargnés non plus, ce qui les amène à revoir et améliorer en continu la protection de leurs infrastructures Cloud.

La prise en otage des données, une menace qui effraie les entreprises

Mais la principale source d’inquiétude des entreprises reste les « ransomwares », ces logiciels malveillants qui prennent en otage vos données. Une étude de Checkpoint montre que 80 % des professionnels de la sécurité sont préoccupés par ce phénomène. En effet, leurs entreprises n’ont souvent pas d’autre choix que de payer la rançon pour récupérer leurs données. Les « ransomwares » devraient continuer à s’intensifier, ciblant notamment les solutions de stockage dans le Cloud.

Une cible privilégiée des hackers

Mais pourquoi le cloud semble-t-il particulièrement ciblé par les hackers ? Tout simplement pour l’accessibilité d’un grand nombre de données (parfois sensibles), localisées à un même endroit.

Ces données permettent aux hackers d’obtenir beaucoup d’argent en peu de temps. Le risque est intensifié par rapport aux SI traditionnels puisque les pirates peuvent profiter d’une faille informatique ou d’une erreur humaine pour hacker un volume beaucoup plus important de données qu’avant.

Avec le cloud, les mesures de sécurité traditionnelles ne suffisent pas. Elles sont inadaptées à cette nouvelle technologie, ce qui facilite de travail des hackers.

Des menaces multiples

Le rapport annuel du Cloud Security Alliance (The Treacherous 12, top threats to Cloud Computing) ») permet de dresser les principales familles de menaces :

  • Menaces liées à la donnée : la fuite, la perte, la violation ou la gouvernance des données sont le cauchemar des DSI ou des particuliers.
  • Menaces liées au vol d’identité : avec le Cloud, l’interconnexion des systèmes d’identité renforce l’exposition des données d’identification.
  • Menaces sur les API non sécurisées : ces interfaces permettent aux clients d’interagir avec les services du Cloud.
  • Menaces liées à la disponibilité : les attaques de type déni de service ou Ddos (distributed denial-of-service) qui attirent l’attention des médias. Ces derniers apparaissent même sur le Dark Web («DDOS As A Service»)!
  • Menaces liées à la technologie du cloud : ce sont les failles potentielles d’isolation entre les clients partageant les mêmes infrastructures, plateformes ou applications.
  • Menaces traditionnelles : ce sont toutes les APT, les vulnérabilités applicatives ou systèmes que l’on retrouve à l’identique dans les SI traditionnels (exemples de Spectre et Meltdown).

La plupart de ces menaces ne sont pas nouvelles et se retrouvent dans les infrastructures traditionnelles. Mais l’exposition des environnements Cloud va accroître le niveau de risque.

Des failles humaines plus que technologiques

Au-delà des risques technologiques, le manque de compétences, et plus particulièrement en sécurité, reste l’une des principales menaces qui pèsent sur le Cloud.

Généralement, les failles de sécurité ne viennent pas des fournisseurs mais plutôt des utilisateurs qui ne mettent pas en place les mesures adéquates de protection de leurs données, par négligence ou manque d’information. D’ici 2020, Gartner prévoit que 95 % des failles de sécurité seront dues à des erreurs des clients !

Alors, le cloud est-il un « no man’s land » pour la sécurité ? Pas sûr ! Des bonnes pratiques peuvent être appliquées pour réduire le niveau et le rendre acceptable pour les entreprises.

Bonnes pratiques sécurité pour guider l’adoption du Cloud

Établir une stratégie Cloud au niveau de l’entreprise

Afin de limiter le risque de cyberattaque, il est primordial de mettre en place une stratégie globale de Cloud portée par tous les grands décideurs de l’entreprise, et pas seulement par les directions générales, la DSI et la sécurité. Elle doit intégrer une approche basée sur l’évaluation du risque :

  • De quelles menaces veut-on se protéger ?
  • Quels services ou quelles données peut-on mettre dans le Cloud ou non ?
  • Quel est le niveau de sensibilité de la donnée ou du service ?
  • Quels sont les risques potentiels liés aux services Cloud ?
  • A quelles contraintes réglementaires ou de conformité suis-je soumis ?
  • Comment gérer la continuité ou la reprise des activités en cas de sinistre ?

L’objectif de ce diagnostic est d’apporter le niveau de sécurité adapté, de centrer son approche sur la sécurité de la donnée plutôt que l’infrastructure qui l’héberge, comme cela était le cas pour un SI traditionnel.

Développer une culture du risque et du contrôle

Une des erreurs classiques pour un nouvel entrant est de garder le même modèle de gouvernance sécurité que pour une infrastructure traditionnelle. En effet, celui-ci doit s’adapter et le partage des responsabilités change suivant le modèle de déploiement (privé, public, etc..) et de service (SaaS, PaaS ou IaaS).

Le ou les modèles de gouvernance à appliquer doivent permettre d’évaluer périodiquement les fournisseurs de Cloud ou d’étendre les exigences de sécurité de l’entreprise au domaine du Cloud.

Bien comprendre les impacts du Cloud Computing sur le modèle de gouvernance et développer une culture du risque et du contrôle doivent permettre de ne pas reproduire les mauvaises habitudes du passé. L’entreprise doit changer de paradigme, et axer son fonctionnement autour de la sécurité. Une petite révolution qui doit émaner des différentes directions mais également de l’ensemble des collaborateurs, qui peuvent par exemple être formés à ces thématiques régulièrement.

Vers une démocratisation de la sécurité avec le Cloud ?

La sécurité étant une des principales préoccupations des entreprises souhaitant adopter le Cloud, les fournisseurs vont en faire un élément de différenciation majeur. La sécurité devient ainsi leur priorité : ils améliorent en permanence le niveau de sécurité de leurs infrastructures et mettent à disposition de leurs clients des services de sécurité : solutions de filtrage, de gestion des patchs, d’authentification forte, de contrôle d’accès, de chiffrement ou encore de fédération des identités.

Ces services sont à la disposition des clients comme n’importe quel autre service Cloud. Or, la mise en œuvre de telles solutions nécessiterait de lourds investissements pour la plupart des entreprises dotées d’infrastructures traditionnelles. Le Cloud favorise donc une démocratisation de la sécurité.

Toute cette culture de la sécurité va permettre d’améliorer leur niveau de sécurité. Gartner prédit que plus de 60 % des entreprises implémentant des mesures de sécurité appropriées feront face à moins d’incidents que dans un modèle traditionnel. Tout comme le RGPD, le Cloud ne doit pas être vu comme une menace, mais comme une opportunité de mettre enfin la sécurité des données au coeur de la stratégie.

Le Cloud, une opportunité à saisir

Le Cloud est en passe d’obtenir son contrat de confiance. Néanmoins, un certain nombre de prérequis sont indispensables pour le décrocher : le développement d’une culture « security-by-design », une approche basée sur le risque ainsi que l’adaptation du modèle de gouvernance.

Bien que le risque zéro n’existe pas, sa bonne maîtrise peut permettre de saisir toutes les opportunités de développement liées au Cloud et à la transformation digitale.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *