La sécurité, un enjeu majeur à l’ère du cloud

Comment concilier le cloud et la cybersécurité ?

Pour commencer, il est important de réaliser un audit de sécurité dédié. On peut recommander l’utilisation de standards tels que les benchmarks du CIS (Center of Internet Security). On y retrouve notamment le CIS Critical Security Controls regroupant 18 contrôles essentiels à mettre en place ou bien en fonction du contexte ; les CIS Foundations Benchmarks couvrant plus de 25 familles de produits y compris les fournisseurs de cloud. Ces benchmarks permettent d’avoir une liste de contrôles et bonnes pratiques à mettre en place.

Le choix du fournisseur cloud

Au début de la réflexion d’un projet cloud vient le choix du fournisseur. Mais bien le choisir, en pleine connaissance de la législation à laquelle il est soumis, n’est pas chose aisée aujourd’hui. Il est important de prendre en compte la localisation du stockage des données afin de garantir leur confidentialité, un des piliers de la cybersécurité.

En effet, la législation peut tout d’abord varier d’un pays ou continent à l’autre. En France et en Europe, les fournisseurs sont soumis à une réglementation telle que le RGPD (Règlement Général sur la Protection des Données). Quant aux USA, il existe une loi fédérale non négligeable appelée Cloud Act qui permet au gouvernement américain d’accéder à l’intégralité des données hébergées sur le sol américain.

Par ailleurs, certains fournisseurs en France, comme OVH, ont été labellisés SecNumCloud (certification de l’Anssi) garantissant donc un respect d’exigences, ainsi qu’un certain niveau de sécurité et de souveraineté. À l’échelle européenne, l’UE également prévoit une nouvelle certification dans le cadre de la directive NIS (Network and Information System Security), ayant pour but de créer une réglementation sur le cloud, sa souveraineté et sa sécurité.

L’entreprise peut également choisir plusieurs fournisseurs cloud ; c’est ce qu’on appelle le multicloud. Cette approche est intéressante pour différentes raisons, notamment en termes de sécurité : éviter une trop forte dépendance avec son fournisseur de cloud, augmenter la sécurité de ses données en les stockant chez différents fournisseurs (notamment dans le cadre de gestion de crise avec les plans de reprise et de continuité d’activité), diminuer les risques de ruptures de services, et enfin bénéficier des meilleurs services de chaque fournisseur.

Choix du type de cloud

Lors de son choix de stratégie Go To Cloud, il faut aussi se poser la question du type de déploiement que l’on souhaite mettre en place. Il existe aujourd’hui différents modèles de déploiement sur le cloud qui peut être public, privé, hybride ou encore une fois opter pour une approche multicloud.

Par exemple, choisir un cloud hybride, combinant cloud privé et public, peut permettre d’avoir une partie de ses applications et données stockées dans un cloud partagé avec d’autres entreprises (cloud public) et également avoir ses applications et données sensibles stockées sur un cloud dédié à l’entreprise (cloud privé).

L’avantage d’un cloud hybride est de profiter à la fois des coûts réduits qu’offre un cloud public tout en conservant un haut niveau de sécurité pour ses données les plus sensibles dans un cloud privé. 

Des outils pour sécuriser

Dans le cloud, la sécurité et sa responsabilité sont dites partagées entre le fournisseur et l’entreprise cliente. Le premier est responsable de la gestion de l’infrastructure (services de stockage, de calcul ou de réseau) tandis que l’entreprise cliente est responsable de la gestion de la sécurité de tout ce qui se trouve en amont du superviseur (systèmes d’exploitation des invités, utilisateurs, applications, données).

Dès lors, la gestion des droits d’accès aux applications et données est essentielle pour garantir leur sécurité. Il existe pour cela des outils et des procédures de gestion des identités et accès dans le cloud (CIEM, Cloud Infrastructure Entitlement Management).

Les outils de gestion des identités et accès pour les architectures traditionnelles (IAM, Identity and Access Management) ne sont généralement pas pleinement adaptés à la protection d’une infrastructure cloud hautement dynamique.

Dans une approche CSPM (Cloud Security Posture Management), on pourra également choisir des outils de surveillance des ressources et des vulnérabilités qui permettront aux RSSI et à leurs équipes d’être alertés sur les mauvaises configurations et vulnérabilités pouvant être exploitées.

Pour les développeurs, on peut trouver de plus en plus d’outils : les outils SAST permettant des analyses de code source afin de détecter les vulnérabilités avant le déploiement. D’autres solutions permettent de gérer les mots de passe, jetons ou clés de chiffrement des secrets dans le cloud.

Par ailleurs, le choix des bibliothèques de développement est aussi à étudier de près. Là, certaines entreprises feront le choix d’utiliser des solutions permettant de garder le contrôle sur les bibliothèques mises à disposition ou non des développeurs.

Enfin, lors de la mise en place de ses outils de surveillance et de gestion, il faut également veiller à les sécuriser. Les pirates sont friands de ses outils, car ils permettent d’avoir accès directement aux configurations de l’infrastructure.

L’importance du DevSecOps

Le cloud favorise, au sein des équipes techniques de développement et d’exploitation, une transition vers une approche DevOps. Comme toute innovation, le DevOps présente également de nouveaux risques ; l’affaire SolarWinds en est un bon exemple et démontre l’importance d’intégrer les notions de sécurité dans cette approche. On parle alors de DevSecOps.

Le DevSecOps est donc une approche qu’il est important de démocratiser ; elle vise à intégrer la sécurité dans le pipeline CI/CD (intégration et déploiement de manière continue) au travers d’outils, d’amélioration des processus, pour y intégrer les notions de sécurité et d’humain, en sensibilisant les équipes de développeurs ou en intégrant des rôles de « security champion ».

Pour conclure, dans un contexte international très tendu notamment avec le conflit russo-ukrainien, la cybersécurité est plus que jamais au-devant de la scène. Les enjeux de souveraineté numérique et de sécurité des données dans le cloud sont indispensables à prendre en compte. 

Afin de garantir la sécurité et la disponibilité des données dans le cloud, il est important de prendre en compte, dans sa stratégie « Go To Cloud », de nombreux paramètres tels que la localisation des datacenters, la législation applicable, le choix du fournisseur et le type de cloud. L’utilisation d’outils et frameworks de sécurité du cloud et la mise en place d’une approche DevSecOps en fonction du contexte sont des leviers significatifs à intégrer dans une stratégie globale de sécurité du cloud.