Comment rendre l’expérience de la sécurité dans le Cloud aussi sûre que possible ?

Choisir de migrer vers le Cloud apporte beaucoup de bénéfices mais c’est aussi étendre sa surface d’attaque. Comment alors sécuriser au maximum la migration vers le Cloud ?

Beaucoup d’entreprises sont en train d’adopter le Cloud computing d’une façon ou d’une autre. Migrer vers le Cloud peut aider à accélérer le déploiement des services IT, à réaliser une productivité immédiate, à atteindre une efficacité financière, et à accroître l’agilité de l’entreprise. Mais c’est aussi un vecteur d’extension de la surface d’attaque, avec le risque d’exposer toute l’entreprise à des menaces pour sa sécurité.

La tendance à la hausse de l’adoption des services Cloud se poursuit rapidement et le marché devrait afficher une croissance de 18% cette année pour atteindre 246,8 milliards de dollars. Les réseaux sont de plus en plus complexes à mesure que l’infrastructure IT moderne adopte des plateformes de Cloud privé et public pour mieux exploiter tout un éventail de services Cloud.

Des services Cloud utilisés sans que le service IT ne le sache : le risque du Shadow IT

Les services basés dans le Cloud public ou privé peuvent présenter de nombreux défis pour les responsables de la sécurité des entreprises. Ils sont confrontés à la sophistication croissante des technologies et à la multiplication des fournisseurs, au gré des besoins des différents services, et qui par conséquent s’ajoute aux risques pour la sécurité de leur entreprise.

Le problème est surtout que certains services Cloud sont utilisés sans que le service IT en soit informé, contournant les politiques de sécurité, et donc au-delà de tout contrôle. C’est ce qu’on appelle le Shadow IT. Le Gartner a d’ailleurs prédit que d’ici à 2021, 27% de tout le trafic de données passerait le périmètre de sécurité (contre 10% aujourd’hui) et serait transmis directement des terminaux mobiles et portables ver le Cloud. C’est la promesse d’insomnies pour les responsables de la sécurité contraints de devoir gérer et de sécuriser l’utilisation de services Cloud sans cesse plus nombreux à l’échelle de toute leur organisation, souvent mondiale. Et pour compliquer encore les choses du point de vue de la sécurité, beaucoup d’entre eux n’ont pas de visibilité centrale sur leurs réseaux, ce qui faciliterait l’identification et la gestion des risques.

Comment sécuriser au maximum la migration vers le Cloud ?

Alors que la sécurité figure en tête de liste des priorités des entreprises de toute taille, voici les problématiques que les responsables de la sécurité doivent traiter pour sécuriser au maximum leur migration vers le Cloud :

Avoir une visibilité précise dans le Cloud comme sur le réseau physique

L’une des principales conséquences pour les responsables de la sécurité réside dans le fait que les environnements Cloud sont dynamiques et offrent une visibilité limitée. Ce manque de visibilité vient du fait que l’infrastructure virtuelle des Cloud publics est désormais pilotée par les équipes IT centrales des entreprises. Etendus au Cloud public, les réseaux sont de plus en plus importants, complexes et changeants si bien que les règles de sécurité applicables aux différentes plateformes et technologies doivent s’adapter.

Il n’est donc pas surprenant que les enquêtes démontrent systématiquement que la sécurité Cloud pose de réels problèmes aux professionnels de la sécurité IT, avec de nombreux témoignages d’entreprises qui rapportent qu’il est difficile d’obtenir le même niveau de visibilité sur les ressources basées dans le Cloud que sur le réseau physique. Il faut une bonne gouvernance des données et les responsables de la sécurité doivent savoir où l’information est stockée et partagée, et quels services Cloud l’entreprise utilise. Les salariés d’un service peuvent très bien utiliser quotidiennement Dropbox, par exemple, tandis que ceux d’un autre service préféreront communiquer et partager des fichiers au moyen d’outils collaboratifs comme Slack. Peu importe qui collecte les données, les points d’agrégation de données et de stockage doivent être bien documentés et protégés selon les préconisations du nouveau règlement général GDPR, sous peine de sanctions en cas de défaut de conformité.

Le plus souvent, les entreprises décident d’opérer la migration de leurs systèmes sur site dans le temps, suivant une approche d’adoption progressive de la plateforme de Cloud public. D’autres préfèrent migrer vers un Cloud privé (ou un réseau hybride) pour conserver plus de contrôle. Indépendamment du choix entre Cloud public ou privé, ou parfois des deux, le problème est que la migration dans le Cloud ajoute de la complexité au réseau et entrave la visibilité chaque fois que de nouveaux fournisseurs viennent s’ajouter et apportent avec eux un trafic croissant. Pour cartographier ces plateformes et consolider leur administration afin d’éviter de perturber les opérations, les entreprises doivent recourir à la gestion des règles de sécurité réseau à l’échelle de tout leur réseau, pour établir la visibilité et consolider l’administration de plusieurs outils.

Sans visibilité, il est impossible pour les responsables de la sécurité d’appliquer des règles uniformes et d’atténuer les risques. Les outils traditionnels de sécurité, comme les pare-feu et les systèmes de détection d’intrusion fonctionnent bien entre les quatre murs de l’entreprise, mais il devient difficile d’assurer la continuité de l’administration lorsqu’on y ajoute les fournisseurs d’outils spécialisés dans le Cloud. Avec un point central de visibilité et d’administration du réseau via une console unique, les entreprises peuvent mieux compenser le manque de visibilité lié à l’adoption du Cloud et administrer plus facilement les règles de sécurité de plusieurs outils, avec à la clé une atténuation des risques et une meilleure conformité de toute l’entreprise.

La visibilité passe également par un classement des risques liés aux services Cloud utilisés. Ceci requiert de vérifier si un service en particulier a été compromis récemment, si les données en transit sont bien chiffrées et si les correctifs ont été déployés et enfin de vérifier que la configuration du système est adaptée pour faire face aux plus grandes menaces, comme Heartbleed, WannaCry ou ExPetr, par exemple.

Garantir la conformité

Dans le cadre du processus de migration des données d’un système interne au Cloud, les entreprises sont forcées d’examiner de près, comment les données seront conservées pour qu’elles restent en conformité avec les lois et les réglementations de l’industrie. Ceci soulève nombre de questions pour les professionnels de la sécurité. Où nos données seront-elles stockées ? Qui les surveille ? Qui pourra les consulter et comment en contrôler l’accès ? Quel est le niveau de sécurité de la plateforme Cloud ? Comment vérifier que les déploiements sont correctement configurés et de manière totalement sécurisée ?

Chaque type de données (propriété intellectuelle, informations de paiement et données personnelles) a ses propres obligations réglementaires. Par exemple, le standard propriétaire de sécurité de l’information PCI-DSS (Payment Card Industry Data Security Standard) s’applique aux entreprises amenées à traitées les données des cartes de paiement, et le prochain règlement général de protection des données ou GDPR (General Data Protection Regulation) est le nouvel instrument imposé par l’UE pour encadrer les données personnelles.

Les données doivent être classées et les entreprises doivent comprendre quelles données sont assignées au Cloud et lesquelles méritent d’être conservées en interne pour plus de sécurité. Elles doivent également savoir comment et où l’ensemble des données sont protégées et sauvegardées.

Avoir le contrôle et le conserver pour gagner en agilité

L’environnement IT complexe que les responsables de la sécurité doivent administrer comprend plusieurs terminaux qui sont soumis aux fluctuations liées à la diversité des terminaux mobiles et des postes fixes. Les utilisateurs choisissent plusieurs fournisseurs Cloud, mais plusieurs fonctions qui rendent les applications Cloud si attractives, comme celles de synchronisation, de partage et de facilité de collaboration, sont justement celles qui exposent les entreprises utilisatrices du Cloud à des risques.

Pour renforcer la sécurité des environnements hybrides, les responsables de la sécurité doivent pouvoir mieux contrôler les configurations de sécurité dans le Cloud. Il est recommandé de développer une politique de sécurité unifiée, permettant d’obtenir un instantané de tout le réseau, de définir quels sont les types de données utilisés et de préconiser les mesures appropriées à chacun. Lorsque les entreprises sont en capacité d’appliquer rapidement et précisément une politique ou une règle, indépendamment de l’environnement, elles gagnent en contrôle et en agilité.

Enfin, les entreprises doivent pouvoir contrôler qui a accès à certaines données spécifiques. Cela suppose de pouvoir bloquer les identifiants d’accès des salariés qui quittent l’entreprise. En effet, il s’agit d’éviter qu’ils aient toujours accès à l’information stockée dans le Cloud.

Les entreprises ont besoin d’un moyen simple pour unifier l’infrastructure, les individus et les processus, en toute transparence ; une sorte d’interface unique, permettant de gérer les règles de sécurité et la configuration à l’échelle du réseau. Maintenant que l’infrastructure Cloud est d’usage courant, il faut que les entreprises puissent observer ces meilleures pratiques pour rendre l’expérience de la sécurité dans le Cloud aussi sûre, fiable et sécurisée que possible. Dans l’alternative, les infrastructures seraient exposées à des menaces pour leur sécurité émanant d’un peu partout.

Erwan Jouan, Directeur régional Europe de l’Ouest

Go to Source


bouton-devis