Sécurité des services Cloud : des entreprises entre rigidité et naïveté

Dans une note d’analyse, Jay Heiser, du cabinet Gartner, n’est pas tendre avec la manière dont les entreprises appréhendent les services Cloud et leur utilisation. A le lire, les RSSI ont presque l’air schizophrènes. De fait, il les décrit d’un côté « obsédés par des préoccupations sans fondement au sujet de la sécurité » de ces environnements, et de l’autre comme « croyant naïvement que les prestataires de Cloud sont totalement responsables de la sécurité de leurs clients ». Une bivalence qui tend à éclairer sur les raisons ayant poussé Microsoft à jouer la carte de la pédagogie en matière de partage des responsabilités pour la sécurité de ses services Cloud, au printemps dernier.

Mais voilà, la première approche peut induire un « coût d’opportunité » pour ceux qui laissent leurs craintes « injustifiées sur la sécurité entraver leur utilisation des services de cloud computing public ». Sans compter les risques associés à l’utilisation de ces services de manière incontrôlée, à l’insu des RSSI : ces craintes « détournent l’attention de la mise en place de processus de contrôle du cloud computing par l’entreprise ».

En somme, comme le relevait Jamal Dhamane, RSSI groupe d’Essilor, à l’occasion d’une table ronde du Club des experts de la sécurité de l’information et du numérique (Cesin) organisée aux Assises de la Sécurité, début octobre, il est grand temps que le pouvoir de dire « non » cède la place au devoir de dire « oui mais ».

Jay Heiser ne dit pas autre chose. Pour lui, il convient de « faire fi des idées reçues » pour « encourager les décisions relatives au cloud computing en fonction des impératifs métiers ». L’analyste estime ainsi que « jusqu’en 2020, 95 % des problèmes de sécurité du Cloud seront la faute du client » et souligne « qu’aucune preuve n’indique » que ces services fonctionnent avec un niveau de sécurité plus faible que celui de leurs clients… D’ailleurs, selon lui, « le modèle économique du Cloud et les réalités de la visibilité d’Internet fournissent aux prestataires de services de formidables motivations pour placer une plus grande priorité sur la sécurité que ne le font généralement les entreprises ». En somme, s’il est un domaine où le laxisme est encore moins tolérable et toléré qu’ailleurs, c’est bien celui des services de Cloud public. Et cela se traduit par « leur approche technique et relative aux processus, ainsi que dans leur engagement à se soumettre à des évaluations formelles de leur sécurité par des tiers, telles que la norme ISO 27001, l’attestation SOC 2 et le programme FedRAMP », notamment.

Mais pour profiter des opportunités que peut représenter le Cloud public, il est nécessaire de développer un cadre, « une stratégie d’entreprise concernant le cloud computing public, en incluant des conseils de sécurité sur les usages », qu’il s’agisse d’IaaS, de PaaS ou encore de SaaS, ainsi qu’une « expertise spécifique dans la sécurité et le contrôle » pour chacun de ces modèles.

Et pour au moins une bonne raison : « si les éléments de la pile du Cloud sous la responsabilité du prestataire sont généralement très sécurisés, les caractéristiques des éléments sous contrôle du client peuvent facilement laisser des utilisateurs naïfs adopter de piètres pratiques ». Jusqu’à conduire à des brèches de sécurité ou des ruptures de conformité.

L’urgence apparaît d’autant plus grande que « les stratégies de Cloud computing sont généralement à la traîne par rapport à l’utilisation du Cloud ». Et comme de nombreuses études ont pu le montrer, « la plupart des entreprises ont déjà un volume surprenant d’utilisation du Cloud computing non autorisée, et même non reconnue ».

Outre la formation et les processus internes, des briques technologiques sont alors à mettre à contribution : on pense là naturellement aux passerelles d’accès Cloud sécurisé (CASB).