Cloud Cybersécurité

La sécurité du cloud public inquiète

2 août 2016

La sécurité du cloud public inquiète

Droits réservés – Les Echos – Par Fabien Rech

Seriez-vous prêts à laisser les clés de votre maison à un inconnu pendant les vacances ? Probablement pas. Votre raison vous conseille de jouer davantage la carte de la sûreté.

La sécurité inhérente au cloud est la contrainte majeure à l’adoption de cette technologie. Une étude de Crowd Research Partners révèle que le sujet inquiète neuf professionnels sur dix. La violation de données demeure même la plus grande préoccupation des entreprises qui déploient à la fois des modèles de cloud privé, des logiciels (Software as a Service, SaaS) ou des infrastructures (Infrastructure as a Service, IaaS) dans le cloud. Pour autant, les investissements dans le cloud ne sont pas freinés, 80% des budgets informatiques devraient y être dédiés au cours de l’année.

Au-delà de la différence de solutions de sécurité que le client adoptera pour sécuriser un data center ou un cloud, l’un des éléments distinctifs majeurs réside dans le fait que les fournisseurs de cloud s’appuient sur un modèle de responsabilité partagée qui répartit les risques entre le vendeur et le client.
Généralement, les fournisseurs de SaaS assument la sécurité des différents niveaux applicatifs et systèmes là où les spécialistes du IaaS ont tendance à céder ces responsabilités au client. Aucun fournisseur de cloud public ne semble aujourd’hui prêt à assumer la responsabilité de l’accès utilisateur ainsi que la protection des données, bien qu’il existe des mesures pouvant être adoptées pour soutenir les efforts de connexion.

Différents niveaux de réflexion nécessaires

La gestion d’un environnement système pour un IaaS sécurisé s’apparente à un véritable dispositif de plomberie s’appuyant sur des composants tels que les systèmes d’exploitation, les réseaux, les machines virtuelles (VM), la gestion des services et des containers. L’enjeu ici est d’accorder sa confiance à un fournisseur de Cloud qui soit à la fois en mesure de faciliter le maintien à niveau du système, via des correctifs et mises à jour.
Mais également capable d’apporter une visibilité complète des instances Cloud afin de repérer celles demeurant en cours d’exécution. Car l’un des points noir du cloud public s’avère être le fait qu’il est tout à fait possible d’oublier de fermer certaines VM et containers lancés. Or, en matière de sécurité, ces processus zombies représentent une menace latente au sein des systèmes les plus essentiels et critiques.
Aujourd’hui, de plus en plus d’entreprises s’appuient sur des containers pour faciliter les déploiements d’applications et la gestion du dimensionnement de l’infrastructure sous-jacente, et délivrer ainsi plus rapidement de nouveaux applicatifs, aussi bien au sein d’un serveur physique que d’une VM. Il convient cependant de rester vigilant quant à cette technologie dont le marché n’est pas encore mature et dont la sécurité – même si elle s’améliore – demeure l’une des faiblesses.

Gestion de l’identité

Dans le cadre de la sécurité des applications, qui intègre principalement la gestion de l’identité et des accès, l’investissement financier n’est ici pas la meilleure arme. La définition et la mise en oeuvre d’une politique limitant la capacité des utilisateurs à déployer des applications dans le Cloud sans maîtrise informatique est la véritable alternative. Viendra ensuite la nécessité de se reposer sur une approche basée sur la reconnaissance des collaborateurs et la gestion des identités.
Afin de limiter les risques d’usurpation d’identité, il convient d’opter pour une approche d’authentification multifactorielle qui associera plusieurs dispositifs/applications (SMS, email, reconnaissance faciale, etc.) afin d’autoriser l’accès d’une personne au système.
Les collaborateurs doivent être mis à contribution. Et notamment dans le cadre d’accès aux applications définies par des outils de gestion des identités et impliquant que les équipes internes aient également recours à des protocoles d’accès aux informations sécurisés, tels que LDAP ou Active Directory.
Pour les entreprises qui utilisent directement ce type d’annuaire, l’adoption d’un broker de cloud permet de supporter une connexion unique facilitant l’accès des utilisateurs à l’ensemble des services cloud depuis leur répertoire local. Avec un tel dispositif, l’équipe IT rapatrie le contrôle des accès directement sur le poste de travail et s’assure d’une meilleure visibilité des informations propres aux utilisateurs. Le choix d’un VPN sécurisé offre également à l’entreprise l’assurance de ne jamais exposées, à l’Internet public, de sessions de ses collaborateurs voire des données sensibles.

La question du chiffrement

Ce qui est sûr en matière de sécurité des données dans le Cloud, c’est qu’aucun fournisseur n’est aujourd’hui prêt à en prendre la responsabilité. Si certaines options de sécurité sont proposées telles que le chiffrement de données, vous seriez surpris d’apprendre que les données ne sont chiffrées qu’en partie, voire que cette option n’apparaît pas dans toutes les offres fournisseurs. À titre de référence, sachez que le cryptage AES 256– bits est aujourd’hui jugé insuffisant.
En matière de chiffrement, le plus important pour l’entreprise est de conserver le contrôle des clés dédiées afin de garantir la sécurité des données, dans le cas contraire, il faut être conscient que le risque de perte/vol existe bel et bien. De la même manière, les données ne doivent pas être chiffrées quand elles sont utilisées. Or, certains fournisseurs exigent qu’elles soient transmises en texte brut ce qui représente également un risque en matière de sécurité.
Vous l’aurez compris, le cloud est une technologie qui ne peut être sécurisée de manière morcelée. Elle s’apparente davantage à un défi de bout en bout par lequel les solutions doivent être intégrées au sein de l’environnement informatique global et non bâties après coup.
Avant de s’engager dans un contrat cloud, les entreprises doivent s’assurer de certaines prérogatives. Quel que soit le fournisseur cloud retenu, les garanties de sécurité doivent être stipulées dans le contrat ainsi que dans les SLA.
L’accord liant le fournisseur et son client doit préciser quelles procédures/mesures seront employées, les pénalités auxquelles le prestataire s’expose en cas de non-conformité, la manière dont elle sera reportée, comment l’évaluation du respect des conditions contractuelles pourra être opérée, etc. En bref, disposez d’une réelle garantie que les clés du Cloud ne sont pas jetées au bas de la porte à accessible au premier venu.

The editorial team offers you articles about Data Science, AI, IoT and many other digital topics, all made by Sopra Steria, European leader in digital transformation.
Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *