Alors que les fournisseurs de cloud computing public ont généralement de solides attestations de contrôle, de nombreuses certifications de conformité et leurs propres fonctionnalités de sécurité, les prestataires de services de cloud computing ne peuvent pas offrir une totale sécurité. Les RSSI et responsables de la sécurité doivent comprendre l’étendue de leurs responsabilités à ce niveau.

La sécurité assurée par le fournisseur diffère selon que la solution est de type infrastructure en tant que service (IaaS), plateforme en tant que service (PaaS) ou logiciel en tant que service (SaaS). Si l’on considère la chaîne comprenant réseau physique-stockage serveurs- hyperviseur-réseau virtuel-système d’exploitation- middleware-exécution-applications-données- individus, la responsabilité du prestataire va jusqu’à l’hyperviseur dans le cas du IaaS, jusqu’à l’exécution dans le cas du PaaS et jusqu’aux applications dans le cas du SaaS. Le reste est du ressort du client, qui doit observer sept bonnes pratiques.

QUATRE PRATIQUES INÉVITABLES POUR TOUTES LES DSI

• Appliquer rigoureusement une composante IAM (Identity and access management) va permettre de contrôler les accès et d’éviter l’utilisation infondée des comptes à privilèges. Cela passe par la définition des rôles en correspondance avec les capacités d’IAM du prestataire ou même de manière encore plus contraignante (double authentification par exemple).

• Le cryptage des données au repos va créer une isolation logique supplémentaire par rapport aux mesures techniques et procédurales mises en œuvre par les prestataires. Les plus grands d’entre eux proposent cette option en garantissant ne même pas avoir accès aux clés de cryptage, qui sont contrôlées par le client. Un risque minime mais réel existe du fait de la persistance, même temporaire, de ces clés dans la RAM des serveurs du prestataire. Les clients concernés doivent considérer le recours à une passerelle de cryptage tierce ou à un courtier en sécurité.

• La mise en place d’un nouveau plan de contrôle de la sécurité redonnera la visibilité et les compétences d’automatisation à des équipes dont le périmètre d’intervention a évolué et qui sont éventuellement déstabilisées par le passage au cloud. De nombreux outils tiers existent pour compléter les fonctions ou API mises à disposition par les prestataires. Toutefois les compétences des équipes devront évoluer avec les nouvelles possibilités de contrôle offertes.

• Sauvegarder toutes les données dans un domaine d’erreur distinct permet de s’affranchir des incidents toujours possibles chez un prestataire. Souvent, il suffira d’opter pour une réplication dans une autre région géographique. Dans certains cas, il conviendra de recourir à un second prestataire.

DES TECHNOLOGIES SPÉCIFIQUES POUR LE CLOUD IAAS ET PAAS

• Assumer la responsabilité des instances et des applications en utilisant des outils de tests dynamiques et statiques pour identifier et éliminer les vulnérabilités des applications. Les prestataires ne sont pas responsables des applications ou des systèmes d’exploitation invités. Néanmoins, ils offrent de plus en plus des fonctions intégrées pour aider les clients sans qu’ils aient à recourir à des outils tiers.

• Faire réaliser des audits de conformité par des tiers permet de certifier la pile applicative dans la continuité de la conformité fournie par le prestataire (SOC 1/2/3, ISO 27001, PCI, FedRAMP, etc.). Toutefois le processus est coûteux et chronophage, d’autant plus s’il doit être réalisé de manière continue, à chaque nouvelle version du logiciel. Ce pourquoi, d’ailleurs, la majorité des petits fournisseurs de SaaS sont rarement certifiés à ce niveau.

SÉCURISER SON INFRASTRUCTURE DANS LE CLOUD

• Il s’agit de segmenter et de contenir le trafic, en utilisant des contrôles de filtrage et de réseau virtuel. Les prestataires de services de cloud computing ont ajouté des contrôles au niveau du réseau en créant des clouds privés virtuels (AWS) ou des réseaux virtuels (Azure), en plus de limitations par type de trafic (Internet, VPN, etc.). En revanche, ils ne fournissent pas les fonctions de journalisation, de détection et de prévention d’intrusion, ou encore l’intégration aux consoles fournies au sein des parefeu traditionnels. Le client devra donc considérer des dispositifs particuliers pour opérer ces fonctions.

 

Steve Riley
Directeur de recherche, Gartner