Cloud hybride : comment déployer en 6 points votre stratégie

Une politique de sécurité à affiner du Cloud hybride

La plupart des spécialistes de la sécurité reconnaissent que les solutions cloud – et les clouds providers eux-mêmes – élèvent le niveau de protection des assets que leur confient leurs clients. Attention toutefois à l’angélisme. L’hybridation doit surtout être l’occasion de fixer des règles et de mettre en œuvre des outils centralisés qui permettront de les faire respecter « urbi et orbi ».

En matière de sécurité, « le cloud apporte de vraies réponses », explique Mathieu Vialetay, ingénieur avant-vente chez SentinelOne. Et de citer « l’agilité pour les déploiements d’outils ou de patchs, y compris à l’autre bout du monde, un reporting et une analyse des données facilités. De plus, avec une plateforme capable d’orchestrer les actions des différents outils de sécurité de l’entreprise, les équipes gagnent en productivité. » Il s’exprimait ainsi lors d’une des récentes matinales d’IT For Business consacrée à la sécurité. Et il résume bien le sentiment général.

Ce satisfecit repose aussi sur une double promesse. D’abord, la variété des services dédiés à la sécurité mis en place par les providers eux-mêmes. Ensuite, la qualité et la quantité de leurs experts dans le domaine, dont il n’est pas illogique d’espérer une productivité et une régularité meilleures que celles des équipes IT en interne. De plus, et comme le rappelle Jean-Marc Jacquot, DSI et RSSI indépendant, les prestataires dans l’univers du cloud sont souvent certifiés ISO 27000, une garantie à condition que les certificats soient maintenus à jour.

La messe serait-elle dite ? Surtout pas. Quel que soit le degré d’hybridation de ses infrastructures, l’entreprise a toujours de saines questions à se poser. « Il y a davantage de portes d’entrée pour les attaques, et des bases de données assez mal protégées du fait de leur facilité de création par des utilisateurs dont ce n’est absolument pas le métier de les sécuriser », relève Philippe Rondel, senior security architect & evangelist chez Check Point Software. Face à la variété des services proposés par leurs cloud providers, les entreprises n’ont d’autres solutions que de « hausser le niveau de sécurité en l’homogénéisant avec un seul outil, une politique et un pilotage centralisés ». À charge pour l’éditeur de maintenir les passerelles de sécurité et leurs API vers les différents environnements, de façon à garder une vision correcte des différents assets et de leurs niveaux de protection, y compris lorsqu’ils sont déplacés. Bien plus facile à dire qu’à obtenir…

Une combinatoire explosive

Car, bien sûr, il y a sans cesse des exceptions à gérer, qui vont être multipliées par le caractère hybride d’un environnement qui doit continuer à profiter des services et des performances des différents sous-systèmes gérés par différents providers. Il n’y a donc pas seulement des assets à gérer, mais bien leur combinaison, avec leurs environnements propres. Ce qui fait vite exploser la matrice et rend impossible la surveillance d’un tel ensemble sans un outillage dédié.

Second problème de taille, si les couches basses sont correctement protégées par le provider, il
n’en va pas de même pour les couches hautes, notamment les applicatifs, qui sont sous la
responsabilité du client. David Rio, directeur du marketing stratégique chez Thales DIS, le rappelle opportunément : « Selon le Gartner Group, 99 % des failles de sécurité dans le cloud viennent du client et non du provider ». C’est entre autres le résultat de mouvements de « move to cloud » (ou « lift and shift ») décidés de façon trop rapide. Comme le rappelait Christophe Vannier, RSSI de Carrefour Banque et Assurance, lors d’une Matinale récente d’IT for Business : « Un basculement rapide de notre patrimoine applicatif dans le cloud avait créé un important backlog de vulnérabilités. En recourant à une stratégie de zero trust et notamment à la micro-segmentation, nous avons pu sécuriser notre SI. »

Des exceptions de confiance

Il existe certes des situations où les entreprises devant faire héberger des infrastructures et des données critiques sont en situation d’exiger des garanties. Les clouds de confiance promus par le Gouvernement français, ou la directive Dora (Digital operational resilience act) de la Commission européenne qui définit des exigences techniques à l’attention des partenaires IT des acteurs financiers, vont clairement dans ce sens.

Mais pour la plupart des organisations, les exigences de sécurité requises et les moyens qui leur sont consacrés ne peuvent atteindre ces niveaux. Il leur faudra en passer par un outillage, une gouvernance et une montée en compétence de leurs collaborateurs. « À l’heure où créer des bases ne demande plus de compétences techniques, les DBA doivent évoluer vers la sécurisation et la valorisation de la donnée », explique par exemple Aurélien Kiener, cloud solution specialist chez l’intégrateur Digora.

Côté outils, outre les politiques de patching, de sauvegarde et de contrôle d’accès, les RSSI auront à définir une politique de chiffrement des données. « Les cloud providers poussent en ce sens, confirme David Rio, et c’est pour cela que nous proposons notamment des solutions de gestion centralisée et externalisée de l’ensemble des clés de chiffrement. »

La probabilité de présence de failles de sécurité dans les nouvelles applications, tout comme l’ouverture de nouveaux ports sur les réseaux de l’entreprise, militent aussi pour une surveillance accrue des flux qui y circulent. Aux offres « traditionnelles » se sont ajoutées depuis quelques années des solutions dite d’analyse comportementale qui exploitent l’intelligence artificielle pour détecter les opérations suspectes.

Enfin, il n’est jamais inutile de le rappeler dans un contexte où l’urgence conduit à des pratiques dangereuses, et ce alors même que les bonnes pratiques ont certainement été définies au sein de la politique de sécurité, les accès à privilèges doivent être documentés, maintenus sous contrôle, et réduits au minimum nécessaire. FRANÇOIS JEANNE

L’EXPERT JEAN-MARC JACQUOT, DSI et RSSI en temps partagé

« Il faut surveiller le maintien des certifications ISO 27000 des fournisseurs »

Animateur du groupe de travail du Clusif consacré à la shadow IT à l’heure du cloud, Jean-Marc Jacquot est souvent appelé par des PME ou des ETI pour réaliser des diagnostics de sécurité. Il regrette que les risques signalés aux dirigeants ne parviennent pas à « s’imprimer » dans leurs comportements au-delà de six mois. « C’est vrai aussi avec les migrations dans le cloud. Ils comprennent le service rendu, la réponse rapide à des besoins, mais n’entendent pas les questions sur les entrées et surtout les sorties des données. Encore moins sur le RGPD… »

Pour autant, la situation n’est pas si dramatique. L’introduction du cloud public dans l’arsenal des équipes IT contribuerait même plutôt à améliorer le bilan. Ne serait-ce que lors d’une première étape qui consiste généralement à répliquer l’infrastructure pour supporter un plan de reprise d’activité. Selon Jean-Marc Jacquot, l’apport des fournisseurs est tangible : « Ils sont souvent beaucoup plus compétents sur le sujet de la sécurité. » Mais les contrats proposés en standard n’offrent souvent pas la transparence nécessaire en ce qui concerne les risques éventuels courus par les données des clients. Face à cette opacité, la vigilance s’impose en amont, mais aussi sur un terme plus long : « Il importe de surveiller de près le maintien des certificats ISO 27000 des fournisseurs », rappelle Jean-Marc Jacquot. 

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !

Suite de l'article : 1234567