Le passage au cloud hybride, l’occasion d’adopter une approche « zero-trust »

Qui dit cloud hybride, dit cloud public. Alors d’emblée, Laurent Seror, Pdg d’Outscale, veut remettre les choses à leur place : « on part souvent du principe que le cloud privé est plus sécurisé que le cloud public. Mais une salle des coffres de banque, comparable à un cloud public, est plus sécurisée qu’un coffre-fort chez soi. De mon point de vue, ce que vous mettez en cloud privé, c’est ce que vous n’avez pas sécurisé. Et ce que vous mettez en public, c’est ce que vous voulez sécuriser. Là, il y a des experts qui investissent – parce que c’est leur image, c’est leur business – dans des niveaux de sécurité qui sont les meilleurs du marché, pour pouvoir ne jamais perdre de données clients », au moins du fait de leur responsabilité. Et de prendre l’agence américaine du renseignement, la NSA, en exemple : « elle met ses données dans un cloud opéré par Amazon, parce que c’est plus sûr que ce qu’elle sait faire en interne ».

Pas question, pour autant, de se lancer les yeux fermés ou de se reposer entièrement sur ses partenaires : « oui, il faut avoir une approche globale et considérer qu’il y a des vulnérabilités inconnues. On peut prendre en exemple Heartbleed, ou encore Spectre et Meltdown. On ne peut pas faire confiance. D’où l’importance, notamment du chiffrement ». Mais n’importe comment, là non plus : « avec un système D-Wave, le chiffrement RSA avec une clé sur 2048 bits est cassable en quelques secondes. Il faut changer ses systèmes de chiffrement. Qui a des systèmes quantiques dans la salle ? Personne. Mais les gros fournisseurs cloud, comme Google ou IBM, en ont un ou deux. Car le commun des mortels ne peut pas faire les investissements ».

Regis Karakozian, responsable des offres cloud de Telehouse, souligne pour sa part que « les certifications que l’on affiche nous amènent » à adopter des approches zero trust. Mais attention : « ce qu’il faut bien mesurer, c’est jusqu’où l’on va ». Et de s’interroger sur la stratégie développée par Google : « je voudrais savoir ce que ce sera devenu dans 10 ans, et si c’est encore exploitable. Cela paraît compliqué. Je pense qu’il faut des niveaux [d’exigence] différenciés ».

De son côté, Grégory Mauguin, directeur de la sécurité chez Linkbynet, rappelle que « la sécurité a tout de même un coût ». Et dès lors, certaines approches très complètes, très strictes, du sol au plafond, « ce n’est pas forcément possible ni nécessaire. Il faut aligner la sécurité sur les besoins, sur la criticité des données. Il n’est pas pertinent de faire des investissements démesurés lorsque les données ne le nécessitent pas ». Et concrètement, « nous personnalisons généralement les cloud privés avec des mesures de sécurité dont la valeur médiane généralement acceptée est de 8 % du coût du projet », indique Grégory Mauguin.

Dans un contexte règlementaire de plus en plus contraignant, entre directive NIS et règlement général de protection des données (RGPD), notamment, selon Laurent Seror, « la seule solution, pour ceux qui ne veulent pas investir, c’est d’aller vers le cloud public ».

Las, comme le rappelle Maître Iteanou, dans le cloud public, il y a obligation d’adhérer au contrat, tandis que dans le privé, la possibilité de personnalisation s’étend au contrat : « il faut choisir en fonction de ses risques et d’un ensemble d’éléments très relatifs et pas absolus ». Car le cadre réglementaire présente des exigences mais intègre une dose de flexibilité pour tenir de l’état de l’art. Et de la proportionnalité. Quoi qu’il en soit, pour Maître Iteanou, il est important de conserver à l’esprit deux tendances de l’évolution du cadre réglementaire : d’une part, elle traduit une volonté de responsabilisation de l’ensemble de la chaîne et, d’autre part, mais conséquence de ce premier point, « demain, on peut être victime et responsable ».

Chez Rohde & Schwarz Cybersécurité, Stéphane de Saint Albin trouve le concept développé par Google « très intéressant » car il « consiste à partir du principe que le périmètre a disparu et que c’est la relation entre utilisateur et donnée qui compte et qu’il faut envisager dans sa globalité. Cela peut créer des défis d’administration, mais le concept correspond à une réalité : les utilisateurs ont des droits qui sont définitifs ou temporaires, mais que l’on peut décider d’ajuster selon des éléments de contexte. Et si l’on n’envisage pas la sécurisation du SI de cette façon, en tenant compte de la flexibilité offerte par les usages modernes, on rate quelque chose. D’autant plus que le cloud permet de supporter cela, pour peu que l’on ait le minimum d’intelligence dans le système pour automatiser ce qui peut l’être ».