Cloud Hybride : la sécurité en question

vendredi 1 février 2019

Qu’elles utilisent le PaaS, le SaaS ou l’IaaS, les entreprises effectuent de plus en plus leurs migrations vers le cloud, séduites par ces 3 caractéristiques inhérentes que sont l’agilité, l’efficacité et la rentabilité.  Mais il reste une caractéristique souvent oubliée : la sécurité.

En effet, cette dernière n’a pas la place qu’elle mérite au sein de ce processus de migration, davantage mise sur le banc de touche. Tout d’abord, certaines entreprises pensent que leur fournisseur cloud est le seul détenteur de sa sécurité, ou bien dès lors que les processus sont externalisés dans le cloud et que les entreprises sortent de leur environnement habituel, les bonnes pratiques de sécurité mises en place sur site ne sont pas répliquées dans le cloud. Enfin, il arrive que les équipes IT ne soient tout simplement pas consultées par les métiers lorsqu’ils mettent en place des services cloud.

Tous ces éléments, qu’ils soient combinés ou non, créent une confusion quant à la sécurisation du cloud : qui est responsable, de quel service, quel degré de sécurité est déjà en place, l’entreprise est-elle vulnérable ? Difficile de le savoir.

Le cloud hybride, un environnement complexifié

Quand il s’agit du cloud hybride, la question de la sécurité est encore plus problématique. En effet, les entreprises sécurisent leurs datacenters depuis des années, elles ont toutes mis en place un certain nombre de solutions et de bonnes pratiques, mais la plupart du temps, la sécurité du cloud n’est pas intégrée dans cette réflexion.

Dans un datacenter, toutes les solutions sont à portée de main : firewalls, serveurs de fichiers, sécurité des données etc. Ainsi, quand une entreprise choisit de migrer une partie de cette infrastructure dans un cloud, il faut pouvoir appliquer les mêmes règles de sécurité. Toutefois, les solutions de gestion de sécurité ne sont pas les mêmes dans les environnements cloud que dans les environnements datacenter. Les entreprises atteignent alors un point névralgique dès lors qu’elles doivent gérer la sécurité de deux manières différentes, dans le cloud ou dans le datacenter. Il leur faut alors réussir à trouver comment s’assurer que la sécurité dans le cloud est a minima identique à celle que l’on pratique on-premise.

Aujourd’hui, cette sécurisation à double vitesse peut conduire à la forte vulnérabilité du cloud, qui devient une nouvelle porte d’entrée pour les cyberattaquants.  Toutes les ressources stockées dans le cloud sont directement accessibles par des hackers, ces derniers peuvent alors se servir de ces ressources et de ce cloud pour remonter vers le datacenter. C’est pourquoi, il est impératif de mettre la sécurité du cloud au même niveau que celle du datacenter, voire même la considérer davantage, étant donné la visibilité accrue des services cloud.

Le multi-cloud, oui, mais encadré

Aujourd’hui, de nombreuses entreprises, et au sein de ces entreprises, plusieurs départements, utilisent différents fournisseurs de cloud ; mais les services IT sont rarement consultés sur le choix de la solution. Une entreprise se retrouve donc avec différentes solutions cloud en place, et cela implique différents outils de gestion, et différents types de contrôle.

C’est ainsi que l’on voit apparaître le « Shadow IT » : en multipliant les solutions, et donc les canaux d’entrée, sans en informer l’entreprise, la sécurité devient plus compliquée à gérer. Alors comment faire communiquer de manière sécurisée ces différents environnements ?

Pour lutter contre cet engrenage, il faut instaurer une gouvernance autour du cloud, de façon à valider, ou non, un fournisseur de cloud par rapport à un autre.  Parmi les processus et règles à établir, devra impérativement figurer une politique d’évaluation de fournisseurs de Cloud pour s’assurer que le fournisseur va mettre en place un système d’authentification, de contrôle d’accès, de gestion sécurisée des communications avec les datacenters etc.

L’automatisation de la sécurité, indispensable pour une sécurisation optimale

Pour assurer le même niveau de sécurité, autant on-premise que dans le cloud, la clé de la réussite se situe au niveau de l’automatisation. L’automatisation de la sécurité permet de gagner du temps et de l’efficacité. Elle permet de respecter les objectifs attendus, mais en y ajoutant la sécurité. Si l’agilité et la rapidité ont déjà été automatisés, malheureusement l’automatisation de la sécurité arrive trop souvent en bout de chaîne, car c’est bien toute la chaîne de production et tous les services que l’on souhaite déployer dans le cloud qu’il faut automatiser. En effet, si l’on inclut la sécurité dès la mise au point de la stratégie, elle ne représente pas une contrainte, mais un paramètre classique intégré au process global.

 

Organiser sa sécurité et définir des bonnes pratiques

Pour y parvenir, les entreprises ont besoin de s’organiser structurellement en mettant en place des groupes de travail réunissant les métiers et l’IT afin que chacun comprenne les besoins et les obstacles de l’autre afin de faire évoluer les process et les mentalités des équipes mais également de trouver une adhésion au niveau du Comex afin que le projet soit soutenant à toutes les strates de l’entreprise. Toutefois, elles ont parfois besoin de faire appel à des services externes, pour aider les entreprises en difficulté à sortir la tête de l’eau, de manière à gagner en productivité et en compétitivité.

En termes de bonnes pratiques, il existe un certain nombre de politiques de sécurité indispensables, peu importe ce qui est stocké dans le cloud : on pense notamment aux contrôles d’accès comme les solutions de filtrage réseau, mais aussi les contrôle d’accès utilisateurs. Puis, selon les environnements que l’entreprise dispose et ce qu’elle va stocker dans ses services cloud, elle devra mettre en place différents concepts de sécurité. Dans le cas de stockage de données clients par exemple, l’entreprise devra redoubler de vigilance et mettre en place des solutions de chiffrement de données.

Ainsi, la sécurité ne doit pas être un frein à la migration vers le cloud, il s’agit simplement de mettre en place des bonnes pratiques. Les entreprises doivent d’abord déterminer pourquoi elles souhaitent aller vers le cloud, et définir les critères techniques et financiers qui poussent à ce changement. Ensuite, les entreprises devront définir une stratégie à moyen terme, en incluant toutes les strates de l’entreprise, de l’IT au Comex en passant par les métiers. Il est impératif d’avoir un alignement au sein de l’entreprise : si chacun raisonne de son côté, il est impossible de savoir si les services Cloud utilisés sont en adéquation avec la stratégie globale, avec les autres services déployés sur le reste de l’entreprise, et avec les contraintes techniques de l’entreprise.