En quoi consiste la sécurité cloud ?

Il n’y a pas si longtemps, les entreprises débattaient de la valeur des offres cloud. Les entreprises se demandaient si le compromis en matière de contrôle des données valait la valeur ajoutée, l’évolutivité et la flexibilité des solutions cloud.

De nos jours, les entreprises cherchent à mettre en œuvre et à gérer des solutions et des modèles de sécurité complexes sur plusieurs solutions cloud.

Comment fonctionne la sécurité dans le cloud ?

La sécurité du cloud met en œuvre une combinaison de mesures techniques et organisationnelles pour protéger les données et les services d’une entreprise. Selon l’offre cloud, les entreprises peuvent déployer des pare-feu ou des VPN personnalisés pour contrôler l’accès aux ressources et établir des connexions sécurisées. En matière de sécurité, il existe certaines similitudes entre les installations dans le cloud et sur site, mais il existe aussi des différences considérables. Pour bien comprendre ces différences, il est utile de comprendre les tenants et aboutissants en matière de cloud computing.

Le cloud computing en quelques mots

Le cloud computing fait référence à l’accès à des ressources informatiques via Internet au lieu de mettre en œuvre et de maintenir une infrastructure locale. C’est une approche extrêmement économique qui améliore la flexibilité et l’évolutivité.

Les approches les plus courantes du cloud computing sont les suivantes :

• Logiciel en mode service (SaaS) : Il s’agit d’applications Web accessibles à partir d’un navigateur. Au-delà du navigateur, tout est géré par l’entreprise qui fournit les applications, y compris tout le matériel et l’infrastructure nécessaires.
• Plateforme en mode service (PaaS) : Ce service cloud est une plateforme permettant de développer, d’exécuter et d’administrer des applications sans la complexité de l’infrastructure sous-jacente. Il comprend un environnement de développement complet pour la création et le déploiement d’applications.
• Infrastructure en mode service (IaaS) : Dans ce modèle, les organisations peuvent concevoir et construire leur infrastructure, qui est accessible via le Web. Cela inclut les configurations réseau personnalisées et l’accès à des ressources telles que les machines virtuelles et le stockage de données.

Compte tenu de l’omniprésence du cloud computing, il n’est pas étonnant que presque toutes les entreprises ayant une empreinte technologique importante utilisent une approche multicloud. Même les entreprises soumises à des contrôles stricts et à des préoccupations de sécurité des données mettent en place des infrastructures cloud hybrides en conservant les données sensibles sur site et en déplaçant les informations et les workflows moins sensibles vers des offres cloud. Les solutions cloud nécessitent encore des mises à jour et des correctifs pour remédier aux vulnérabilités.

Quels sont les types de sécurité dans le cloud ?

Malgré les avantages du cloud computing, les entreprises doivent tenir compte des implications en matière de sécurité lors de la transition vers une solution cloud. Par exemple, au lieu d'utiliser une autorité de domaine locale, les entreprises ont recours à des outils de gestion des identités et des accès (IAM) pour les services sur site et basés sur le cloud, en attribuant des identités numériques aux utilisateurs. Ces identités permettent la surveillance et la restriction lors des interactions avec les données.

En ce qui concerne les problèmes de données, la sécurité du cloud s’appuie sur des solutions de prévention des pertes de données (DLP) pour aider à prévenir les violations de données en fournissant des alertes, un chiffrement et d’autres mesures préventives. Parallèlement, les systèmes de gestion des informations et des événements de sécurité (SIEM) automatisent la détection et la réponse aux menaces dans les environnements cloud.

Les solutions de continuité d’activité et de reprise d'activité après incident (BCDR) sont essentielles pour garantir une reprise rapide de l’activité après interruption. Elles permettent aux entreprises de réduire les incidents de sécurité en garantissant une restauration rapide des systèmes stratégiques. Certaines solutions BCDR comprennent également des fonctionnalités telles que la sauvegarde et la réplication des données, ainsi que des fonctionnalités de basculement pour minimiser les temps d’arrêt.

Défis et risques du cloud computing

Si la plupart des services cloud suivent les meilleures pratiques, ils constituent des cibles prioritaires pour les menaces imminentes en raison du manque de transparence inhérent au stockage et au déplacement des données. Pour les entreprises qui traitent et transfèrent de grandes quantités de données, cela, associé à la sécurité des sauvegardes cloud constitue des défis majeurs et des sources de préoccupation significatives.

Autres préoccupations :

• Gestion des accès : Par rapport à la gestion des accès locaux, assurer un accès cohérent entre les utilisateurs et les appareils dans les environnements multicloud est difficile avec les plateformes Web et les offres SaaS.
• Conformité : Bien que les exigences de conformité des plateformes cloud se soient améliorées, il peut s'avérer difficile de garantir cette conformité et d'assurer des audits cohérents sans un accès complet et transparent aux données dans le cloud.
• Erreur humaine : Les solutions cloud bénéficient d'une attention particulière à l'infrastructure, mais ces services restent vulnérables aux mauvaises configurations résultant d'erreurs humaines.

Gestion de la sécurité dans le cloud et meilleures pratiques

Vous pouvez diviser la gestion de la sécurité du cloud en deux catégories : technique et organisationnelle. Du côté de l’organisation, les organisations doivent reconsidérer leurs politiques, leurs procédures et leur planification en cas d’incident. De leur côté, les entreprises répondant aux exigences sectorielles se heurtent à des obstacles pour maintenir leur conformité et mettre en œuvre des processus d’audit. Heureusement, il existe des modèles et des infrastructures bien établis pour aborder la sécurité dans le cloud.

Modèle de partage des responsabilités

Le  modèle de partage des responsabilités définit les responsabilités des fournisseurs de services cloud et des clients en matière de sécurisation des ressources cloud. Selon ce modèle, le fournisseur de services cloud est responsable de la sécurité de l’infrastructure sous-jacente. De son côté, le client est responsable de sécuriser les applications et les données qui s’exécutent sur l’infrastructure.

Bien que le modèle de responsabilité partagée soit une infrastructure de sécurité largement adoptée, sa mise en œuvre varie d’un fournisseur à l’autre. Pour vous faire une idée de son étendue, examinez le modèle de partage des responsabilités AWS.

L’approche Zero Trust

Les modèles de sécurité traditionnels agissent comme une barrière qui régule l'accès aux ressources situées à l'intérieur de leur périmètre. L’approche Zero Trust, quant à elle, part du principe que le périmètre est toujours violé et met l’accent sur la sécurisation des ressources individuelles.

Cette approche du « tout ou rien » est particulièrement importante dans les environnements de cloud computing, car elle permet aux entreprises de sécuriser l’accès aux ressources, quel que soit l'endroit où elles sont mises en œuvre et la manière dont elles sont accessibles. Qu’il s’agisse d’une application SaaS ou de workloads stratégiques dans un environnement VMware, l'approche reste généralement la même.

Les piliers d’une stratégie de sécurité cloud solide

Bien que les exigences de sécurité varient d’une entreprise à l’autre en fonction des données et technologies utilisées, il existe des cadres de référence pour garantir un socle de sécurité sur lequel s’appuyer. Le National Institute of Standards and Technology (NIST) a mis au point une évaluation qui aide les entreprises à évaluer les mesures de sécurité en matière de prévention et de restauration. Cette évaluation s’appuie sur les cinq piliers de la cybersécurité du NIST : identifier, protéger, détecter, répondre et restaurer.

Comment choisir une solution

L’approche de l’examen des solutions cloud doit se dérouler comme suit :

1. Identifiez les besoins en matière de sécurité : Avant de choisir une solution, il est essentiel d’identifier les exigences de sécurité de l’organisation, notamment les types de ressources à protéger ainsi que les réglementations et les exigences de conformité.
2. Comprendre le partage des responsabilités : Comprendre comment la responsabilité partagée s’applique à chaque service cloud concerné permet de s’assurer que l’organisation développe une approche appropriée.
3. Tenez compte du modèle de déploiement : Le choix des fournisseurs de services cloud dépend de l’adoption d’un modèle de déploiement public, privé ou hybride.
4. Recherchez des intégrations : Les entreprises doivent s’assurer que les solutions de sécurité existantes sont compatibles avec les fournisseurs de cloud, y compris les solutions d’outils de supervision réseau et de redondance des données.
5. Tenez compte de l’évolutivité et de la flexibilité : Les entreprises doivent s’assurer que les ressources mises à leur disposition sont flexibles et évolutives et qu’elles peuvent s’adapter facilement à l’évolution des exigences en matière de sécurité.

Les organisations qui s’appuient sur Amazon Web Services (AWS), Microsoft Azure ou Google Cloud peuvent examiner les plateformes de sécurité respectives de chaque fournisseur. AWS Security Hub, Azure Security Center et Google Cloud Security Command Center offrent chacun un emplacement central pour l’automatisation et la gestion de la sécurité sur plusieurs déploiements cloud.

Comment démarrer

Le choix d’une solution de sécurité cloud peut être aussi complexe que le choix d’un fournisseur de cloud. En raison du grand nombre de solutions disponibles et des besoins uniques de chaque entreprise, il n’existe pas d’approche universelle. Il est essentiel que les entreprises qui adoptent le cloud examinent attentivement chaque aspect de leurs stratégies existantes de sécurité et de protection des données.

Si les offres de sécurité par défaut d’AWS et d’Azure peuvent convenir à certaines entreprises, de nombreuses autres découvriront qu’elles ont besoin de solutions supplémentaires pour renforcer leur approche. Dans l’univers du cloud computing, une solution de sauvegarde cloud pour les informations sensibles des clients ou une protection contre les ransomwares pour pallier les vulnérabilités peut faire toute la différence.