La sécurité du Cloud

D’après un rapport récent de Verizon, 94 pour cent des entreprises estiment que plus d’un quart de leurs charges de travail se trouvera dans le Cloud d’ici deux ans. Cette évolution vers un mode de consommation et de prestation de services IT dans le Cloud survient pour de multiples raisons : les entreprises peuvent être plus réactives aux besoins de leur activité en faisant évoluer leur infrastructure à la demande, les opérations peuvent être recentrées sur les véritables compétences de l’entreprise (qui, en règle générale, n’ont pas grand chose à voir avec la construction d’un centre de données), et les coûts sur le long terme peuvent s’avérer 65% inférieurs aux modèles IT classiques 1.

 

Alors que nous célébrons le 10ème anniversaire de ce géant du Cloud qu’est Amazon Web Sevices, il est important de faire le point sur ce que le marché a appris en termes de sécurité au cours de cette première décennie de Cloud computing, et sur ce que les entreprises doivent prendre en compte durant leur transition vers le Cloud.

 

Si vous songez à migrer votre activité vers le Cloud, vous devez savoir qu’il existe fondamentalement deux modèles de sécurité – l’un lié aux offres Software as a Service (SaaS), et l’autre aux offres Infrastructure as a Service (IaaS). Bien qu’il y ait une tendance à faire l’amalgame entre ces deux types de services perçus comme ‘publics’, la possession des données, la gestion du chiffrement et l’accès aux services diffèrent du tout au tout entre ces deux solutions.

 

SaaS

IaaS

Réseau

Partagé

VPN (Cloud privé virtuel)

Stockage

Environnement partagé

Compartiments dédiés

Clés de chiffrement

Générées par le vendeur

Générées par le client

Possession des applications

Vendeur

Client

Concentration des utilisateurs

10 000 à plusieurs millions

Généralement 1 par Cloud privé virtuel

En d’autres termes, bien que les services SaaS soient plus simples à utiliser que les services IaaS car vous n’avez pas à gérer la couche applicative, ils sont également moins sécurisés qu’une solution personnalisée rendue possible avec les déploiements IaaS.  Il ne faut surtout pas oublier que ces différences d’infrastructure définissent la façon dont les tierces parties peuvent accéder à vos données, et il existe de nombreux cas où une solution ‘universelle’ de sécurisation du Cloud s’est avérée désastreuse.

 

Chiffrement : alors que le désormais célèbre feuilleton FBI contre Apple génère un débat mondial sur les défis de la protection des données de bout en bout (aussi bien positifs que négatifs), il s’agit avant tout d’une excellente leçon à retenir sur le chiffrement à la source. Cette affaire souligne comment des clés de chiffrement générées par l’utilisateur peuvent créer des obstacles significatifs à l’accès aux données, tout en déclenchant l’une des campagnes de piratage autorisées par le gouvernement les plus suivies de tous les temps.

 

Propriété des données : dans cette même affaire, Apple a entièrement respecté la requête du gouvernement de mettre à disposition les données du tireur de San Bernadino gérées par leur service iCloud Saas – et pour cause, puisque Apple est également propriétaire des données du client.  Des cas similaires se sont produits aux quatre coins du monde, là où les intérêts nationaux ne sont pas aussi harmonisés, comme Microsoft contre le gouvernement des États-Unis. Ce qui devient toujours plus évident est qu’à moins que vous ne soyez le propriétaire du service et des données, un fournisseur SaaS tiers peut subir des pressions que vous n’aviez pas envisagées et contre lesquelles vous aurez plus de mal à vous protéger.

 

Portée du risque : l’agrégation en un seul système des informations de nombreuses organisations, ou d’informations les concernant, a toujours été l’un des graves inconvénients des Clouds IT publics et privés.  Il existe une corrélation étroite et directe entre le nombre d’utilisateurs d’un service Cloud SaaS public et l’attrait qu’il présente pour les hackers, car ces services d’envergure constituent souvent une excellente mine de données pour les pirates.  Au cours des deux dernières années,  un nombre incalculable de piratages de grande ampleur a été révélé, de l’agence indépendante United States Office of Personnel Management, à la chaîne de magasins Target en passant par le site de rencontre Ashley Madison et bien d’autres. Pour faire face à cette envolée des brèches de sécurité, les responsables de la sécurité recommandent aux entreprises de séparer leurs ensembles de données, de minimiser le volume des actifs de haute valeur, et de créer  des locataires chiffrés et sécurisés autour des utilisateurs à un niveau de granularité le plus élevé possible.

 

Si vous envisagez de transférer vos données vers le Cloud, voici quelques recommandations de meilleures pratiques.

  • Générez vos clés de chiffrement et restez-en propriétaire.  Les clés de chiffrement générées par une tierce partie représentent une vulnérabilité que la sécurité des entreprises d’aujourd’hui ne peut plus se permettre.
  • Rendez votre Cloud privé.  Les Clouds privés virtuels offrent désormais le même niveau de sécurité que celui des centres de données privés. Pour cette raison, les entreprises peuvent maintenant mettre en place leur déploiement dans le Cloud sans faire de compromis en termes d’application ou de sécurité des données.
  • Partitionnez vos utilisateurs, vos segments et vos données afin de minimiser la portée du risque en cas de sécurité compromise. Les systèmes évolutifs qui créent des clés de chiffrement uniques et qui isolent les données autour de locataires dans le Cloud peuvent vous aider à juguler une éventuelle brèche de sécurité et à la contenir à un seul utilisateur, application ou segment de données.
David Darmon, VP Sales EMEA chez CTERA

Go to Source


bouton-devis