Entreprises et professionnels
Protégez votre entreprise des cybercriminels.
Commencez l'essai gratuitLa sécurité du cloud est un terme générique qui désigne les technologies, les processus et les contrôles mis en place pour sécuriser les infrastructures, les services et les applications dans le cloud, ainsi que les données qui y sont stockées ou traitées.
Avant d'entrer dans les détails de la sécurité du cloud, il faut d'abord comprendre en quoi consiste l'informatique dans le cloud.
Dans un environnement de données traditionnel, une entreprise possède et exploite son propre matériel de back-end et d'autres infrastructures, soit sur place, soit dans un centre de données (dans ce dernier cas, on parle de « cloud privé »). Cela signifie que l'entreprise est responsable de la configuration, de l'entretien et de la sécurisation de tous les éléments, y compris les serveurs et autres matériels.
Dans un environnement de cloud, une entreprise « loue » une infrastructure dans le cloud auprès d'un fournisseur de services dans le cloud. Le fournisseur de services dans le cloud détient et opère le centre de données, tous les serveurs et autres matériels, ainsi que toute l'infrastructure sous-jacente, comme les câbles sous-marins. L'entreprise n'a donc pas à assurer l'entretien et la sécurité de l'infrastructure dans le cloud et bénéficie de nombreux autres avantages, tels que la facilité d'évolutivité les modèles de tarification à la carte.
Tous les services dans le cloud ne se valent pas. Il existe trois types principaux de services dans le cloud, et les entreprises modernes les combinent généralement tous les uns avec les autres :
Le Software-as-a-Service (SaaS, ou logiciel en tant que service) est le type de service dans le cloud le plus courant. Presque tout le monde utilise des applications SaaS, même sans le savoir. Un produit SaaS est disponible sur Internet et accessible par le biais d'une application mobile, d'une application de bureau ou d'un navigateur web. Les applications SaaS vont des applications grand public telles que Gmail et Netflix aux solutions professionnelles comme Salesforce et la suite bureautique Google Workspace.
Infrastructure-as-a-service (IaaS, ou infrastructure en tant que service) est un service dans le cloud destiné principalement aux entreprises, bien que certains passionnés de technologie puissent acheter un service IaaS pour leur usage personnel. Le fournisseur de services dans le cloud fournit des services d'infrastructure, comme les serveurs, le stockage, la mise en réseau et la virtualisation, tandis que le client gère le système d'exploitation et toutes les données, applications, middlewares et moteurs d'exécution. Lorsque l'on parle de « cloud public », on fait généralement référence à l'IaaS. Parmi les fournisseurs de cloud public, on peut citer les trois grands noms du secteur : Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure.
Les solutions Platform-as-a-service (PaaS, ou plateforme en tant que service) s'adressent directement aux développeurs. Le client s'occupe des applications et des données, et le fournisseur de cloud gère tout le reste, y compris le système d'exploitation, le middleware et le moteur d'exécution. En d'autres termes, les solutions PaaS offrent aux développeurs un environnement prêt à l'emploi dans lequel ils peuvent créer, déployer et gérer des applications sans avoir à se soucier de la mise à jour du système d'exploitation ou du logiciel. AWS Elastic Beanstalk, Heroku et Google App Engine sont des exemples de PaaS. En général, les PaaS sont utilisés en conjonction avec les IaaS. Par exemple, une entreprise peut utiliser AWS pour l'hébergement et AWS Elastic Beanstalk pour le développement d'applications.
Pour comprendre la sécurité du cloud, il est essentiel de savoir de quoi le fournisseur du cloud est responsable et de quoi le client du cloud est responsable.
La sécurité du cloud repose sur un modèle dit de responsabilité partagée. Dans ce modèle :
Cela s'apparente à la location d'un garde-meuble. Vous êtes responsable de la sécurité des biens qui se trouvent dans votre espace, ce qui signifie que vous devez verrouiller la porte de l'espace et garder votre clé en lieu sûr. L'entreprise de stockage est responsable de la sécurisation de l'ensemble du complexe grâce à des mesures de contrôle telles que des entrées clôturées, des caméras, un éclairage adéquat des parties communes et des agents de sécurité. L'entreprise de stockage est responsable de la sécurité du centre de stockage, mais vous êtes responsable de la sécurité de votre espace.
Qu'il s'agisse d'une application SaaS, d'un déploiement IaaS (cloud public) ou d'une plateforme de développement PaaS, la sécurité du cloud repose en grande partie sur la gestion des identités et des accès (IAM) et la prévention des pertes de données (DLP). En d'autres termes, il s'agit d'empêcher des parties non autorisées d'accéder à votre service cloud et à vos données.
Pour reprendre l'exemple du garde-meuble, si vous laissez la clé de votre espace de stockage sans surveillance et que quelqu'un la vole et l'utilise pour accéder à votre espace, ce ne sont pas les contrôles de sécurité de l'entreprise de stockage qui ont fait défaut, mais bien les vôtres. De même, si vous utilisez un mot de passe faible et facile à deviner pour sécuriser votre compte Gmail ou votre console d'administration GCP, et qu'un pirate le découvre, c'est vous, et non Google, qui êtes à l'origine de la défaillance.
Outre la prévention des accès non autorisés et du vol de données, la sécurité du cloud vise également à empêcher la perte ou la corruption accidentelle de données par erreur humaine ou négligence, à garantir la récupération des données en cas de perte de données et à respecter les lois sur la protection de la vie privée des utilisateurs telles que l'HIPAA qui interdit l'accès non autorisé à des archives médicales privées. La sécurité du cloud est fondamentale pour les réponses aux incidents de sécurité, la reprise après sinistre et les formules de continuité d'activité.
Voici quelques-unes des mesures de sécurité les plus courantes dans le cloud :
Voici quelques-uns des plus grands défis et risques associés à la sécurité du cloud.
Prenez soin de bien comprendre le modèle de responsabilité partagée et de déterminer ce que votre entreprise doit ou non sécuriser. Cela peut sembler évident, mais il peut être difficile de déterminer qui est responsable de quoi, en particulier dans les environnements hybrides.
L'un des avantages du cloud est que les ressources sont accessibles partout et depuis n'importe quel appareil. Cependant, du point de vue de la sécurité, cela signifie qu'il faut sécuriser un plus grand nombre de points de terminaison. Les outils de sécurité des points de terminaison et de gestion des appareils mobiles vous permettront d'appliquer des politiques d'accès et de déployer des solutions de vérification des accès, des pare-feu, des antivirus, le chiffrement des disques et d'autres outils de sécurité. Parmi les autres bonnes pratiques du cloud, citons :