Qu'est-ce que la sécurité de l'informatique sur le cloud ?
- Glossaire IAM
- Qu'est-ce que la sécurité de l'informatique sur le cloud ?
La sécurité du cloud est un terme générique qui désigne les technologies, les processus et les contrôles mis en place pour sécuriser les infrastructures, les services et les applications dans le cloud, ainsi que les données qui y sont stockées ou traitées.
Qu'est-ce que l'informatique dans le cloud ?
Avant d'entrer dans les détails de la sécurité du cloud, il faut d'abord comprendre en quoi consiste l'informatique dans le cloud.
Dans un environnement de données traditionnel, une entreprise possède et exploite son propre matériel de back-end et d'autres infrastructures, soit sur place, soit dans un centre de données (dans ce dernier cas, on parle de « cloud privé »). Cela signifie que l'entreprise est responsable de la configuration, de l'entretien et de la sécurisation de tous les éléments, y compris les serveurs et autres matériels.
Dans un environnement de cloud, une entreprise « loue » une infrastructure dans le cloud auprès d'un fournisseur de services dans le cloud. Le fournisseur de services dans le cloud détient et opère le centre de données, tous les serveurs et autres matériels, ainsi que toute l'infrastructure sous-jacente, comme les câbles sous-marins. L'entreprise n'a donc pas à assurer l'entretien et la sécurité de l'infrastructure dans le cloud et bénéficie de nombreux autres avantages, tels que la facilité d'évolutivité les modèles de tarification à la carte.
Tous les services dans le cloud ne se valent pas. Il existe trois types principaux de services dans le cloud, et les entreprises modernes les combinent généralement tous les uns avec les autres :
Le Software-as-a-Service (SaaS, ou logiciel en tant que service) est le type de service dans le cloud le plus courant. Presque tout le monde utilise des applications SaaS, même sans le savoir. Un produit SaaS est disponible sur Internet et accessible par le biais d'une application mobile, d'une application de bureau ou d'un navigateur web. Les applications SaaS vont des applications grand public telles que Gmail et Netflix aux solutions professionnelles comme Salesforce et la suite bureautique Google Workspace.
Infrastructure-as-a-service (IaaS, ou infrastructure en tant que service) est un service dans le cloud destiné principalement aux entreprises, bien que certains passionnés de technologie puissent acheter un service IaaS pour leur usage personnel. Le fournisseur de services dans le cloud fournit des services d'infrastructure, comme les serveurs, le stockage, la mise en réseau et la virtualisation, tandis que le client gère le système d'exploitation et toutes les données, applications, middlewares et moteurs d'exécution. Lorsque l'on parle de « cloud public », on fait généralement référence à l'IaaS. Parmi les fournisseurs de cloud public, on peut citer les trois grands noms du secteur : Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Entra ID (Azure).
Les solutions Platform-as-a-service (PaaS, ou plateforme en tant que service) s'adressent directement aux développeurs. Le client s'occupe des applications et des données, et le fournisseur de cloud gère tout le reste, y compris le système d'exploitation, le middleware et le moteur d'exécution. En d'autres termes, les solutions PaaS offrent aux développeurs un environnement prêt à l'emploi dans lequel ils peuvent créer, déployer et gérer des applications sans avoir à se soucier de la mise à jour du système d'exploitation ou du logiciel. AWS Elastic Beanstalk, Heroku et Google App Engine sont des exemples de PaaS. En général, les PaaS sont utilisés en conjonction avec les IaaS. Par exemple, une entreprise peut utiliser AWS pour l'hébergement et AWS Elastic Beanstalk pour le développement d'applications.
Pour comprendre la sécurité du cloud, il est essentiel de savoir de quoi le fournisseur du cloud est responsable et de quoi le client du cloud est responsable.
Qu'est-ce que la sécurité du cloud ?
La sécurité du cloud repose sur un modèle dit de responsabilité partagée. Dans ce modèle :
- Le fournisseur de cloud est responsable de la sécurité du cloud, c'est-à-dire de son centre de données physique, d'autres ressources comme les câbles sous-marins et l'infrastructure logique du cloud.
- Votre entreprise est responsable de la sécurité dans le cloud, c'est-à-dire des applications, des systèmes et des données que vous y hébergez.
Cela s'apparente à la location d'un garde-meuble. Vous êtes responsable de la sécurité des biens qui se trouvent dans votre espace, ce qui signifie que vous devez verrouiller la porte de l'espace et garder votre clé en lieu sûr. L'entreprise de stockage est responsable de la sécurisation de l'ensemble du complexe grâce à des mesures de contrôle telles que des entrées clôturées, des caméras, un éclairage adéquat des parties communes et des agents de sécurité. L'entreprise de stockage est responsable de la sécurité du centre de stockage, mais vous êtes responsable de la sécurité de votre espace.
Comment fonctionne la sécurité du cloud ?
Qu'il s'agisse d'une application SaaS, d'un déploiement IaaS (cloud public) ou d'une plateforme de développement PaaS, la sécurité du cloud repose en grande partie sur la gestion des identités et des accès (IAM) et la prévention des pertes de données (DLP). En d'autres termes, il s'agit d'empêcher des parties non autorisées d'accéder à votre service cloud et à vos données.
Pour reprendre l'exemple du garde-meuble, si vous laissez la clé de votre espace de stockage sans surveillance et que quelqu'un la vole et l'utilise pour accéder à votre espace, ce ne sont pas les contrôles de sécurité de l'entreprise de stockage qui ont fait défaut, mais bien les vôtres. De même, si vous utilisez un mot de passe faible et facile à deviner pour sécuriser votre compte Gmail ou votre console d'administration GCP, et qu'un pirate le découvre, c'est vous, et non Google, qui êtes à l'origine de la défaillance.
Outre la prévention des accès non autorisés et du vol de données, la sécurité du cloud vise également à empêcher la perte ou la corruption accidentelle de données par erreur humaine ou négligence, à garantir la récupération des données en cas de perte de données et à respecter les lois sur la protection de la vie privée des utilisateurs telles que l'HIPAA qui interdit l'accès non autorisé à des archives médicales privées. La sécurité du cloud est fondamentale pour les réponses aux incidents de sécurité, la reprise après sinistre et les formules de continuité d'activité.
Voici quelques-unes des mesures de sécurité les plus courantes dans le cloud :
- Les contrôles IAM tels que le contrôle d'accès basé sur les rôles (RBAC) et l'accès au moindre privilège, qui signifient que les collaborateurs n'ont accès qu'aux applications et aux données dont ils ont besoin pour faire leur travail, et pas plus.
- Des outils de protection contre la perte de données qui identifient les données sensibles, les classent, surveillent leur utilisation et empêchent leur utilisation abusive, par exemple en empêchant les utilisateurs finaux de partager des informations sensibles en dehors des réseaux professionnels de l'entreprise
- Le chiffrement des données en transit et au repos
- La configuration et l'entretien sécurisés du système
La sécurité du cloud présente-t-elle des risques ?
Voici quelques-uns des plus grands défis et risques associés à la sécurité du cloud.
- Le cloud élargit considérablement la surface d'attaque en l'absence de périmètre de réseau. L'une des principales erreurs que commettent les entreprises lorsqu'elles migrent dans le cloud est de penser qu'elles peuvent simplement transférer tous leurs outils et politiques de sécurité actuels. Bien que de nombreux aspects de la sécurité du cloud reflètent leurs équivalents en local, la sécurisation d'un environnement cloud est très différente de la sécurisation du matériel local, car le cloud n'a pas de périmètre de réseau défini.
- La visibilité peut faire défaut dans le cloud, en particulier dans les environnements de données très complexes d'aujourd'hui. Rares sont les entreprises qui n'utilisent qu'un seul cloud public. La plupart des entreprises utilisent au moins deux clouds publics (on parle d'environnement multi-cloud) ou combinent des clouds publics avec une infrastructure locale (on parle d'environnement cloud hybride). Malheureusement, chaque environnement cloud est livré avec ses propres outils de surveillance natifs, ce qui complique la tâche des administrateurs informatiques et du personnel DevOps pour obtenir une vue d'ensemble de ce qui se passe dans l'ensemble de l'environnement de données.
- L'étalement de la charge de travail est un autre problème de visibilité, même pour les entreprises qui n'utilisent qu'un seul cloud public. Les machines virtuelles (VM) et les conteneurs sont faciles à mettre en œuvre, ce qui signifie qu'ils peuvent proliférer très rapidement. En plus de compromettre la sécurité, les machines virtuelles et les conteneurs inutilisés alourdissent la facture des services dans le cloud.
- Le Shadow IT, c'est-à-dire l'utilisation par les collaborateurs d'applications qui n'ont pas été vérifiées par le personnel de sécurité, est un autre problème lié au cloud.
- Les entreprises peuvent être confrontées à des problèmes de compatibilité avec les systèmes et logiciels existants, en particulier avec les applications LOB (Line-of-Business, ou secteur d'activité) qui ne peuvent pas être remplacées ou remaniées de manière optimale pour le cloud.
- Les erreurs de configuration du cloud posent également des problèmes, comme le fait de configurer par inadvertance un dossier cloud pour qu'il soit visible par le public alors qu'il contient des données sensibles.
Bonnes pratiques de sécurité du cloud
Prenez soin de bien comprendre le modèle de responsabilité partagée et de déterminer ce que votre entreprise doit ou non sécuriser. Cela peut sembler évident, mais il peut être difficile de déterminer qui est responsable de quoi, en particulier dans les environnements hybrides.
L'un des avantages du cloud est que les ressources sont accessibles partout et depuis n'importe quel appareil. Cependant, du point de vue de la sécurité, cela signifie qu'il faut sécuriser un plus grand nombre de points de terminaison. Les outils de sécurité des points de terminaison et de gestion des appareils mobiles vous permettront d'appliquer des politiques d'accès et de déployer des solutions de vérification des accès, des pare-feu, des antivirus, le chiffrement des disques et d'autres outils de sécurité. Parmi les autres bonnes pratiques du cloud, citons :
- Le chiffrement de toutes les données que vous stockez ou traitez dans le cloud, à la fois en transit et au repos.
- L'analyse des vulnérabilités de votre environnement et la mise en place de correctifs dès que possible.
- La réalisation de sauvegardes régulières des données en cas d'attaque par ransomware ou de sinistre.
- L'enregistrement et la surveillance de toutes les activités des utilisateurs et du réseau dans l'ensemble de votre environnement de données.
- La configuration minutieuse des paramètres de votre cloud. En règle générale, il est préférable de ne pas modifier les paramètres par défaut. Tirez le meilleur parti des paramètres et des outils de sécurité de votre fournisseur de cloud, et restez au fait des nouveaux outils et des améliorations.
- La mise en œuvre d'une politique de sécurité zero trust, complétée par une segmentation du réseau et de solides outils et contrôles de gestion des identités et des accès (IAM), notamment l'accès basé sur les rôles, l'accès au moindre privilège, des mots de passe forts, l'approbation des appareils et l'authentification multifacteur (MFA).