Cloud : il ne faut plus considérer la sécurité comme une problématique à part

Très souvent, on ne se préoccupe de la sécurité qu'après le passage au Cloud, alors qu'elle doit impérativement faire partie du déploiement. Elle doit être prise en compte dès la conception des architectures, et encore plus dans le cas d'infrastructures hybrides.

Avec l'avènement du Cloud, les ressources informatiques vont être de plus en plus dispersées. Certaines entreprises choisiront certainement de conserver dans leur infrastructure privée (ou Cloud privé) certaines applications et données, ou choisir d'utiliser des ressources en externe en s'appuyant sur des Clouds Publics. Selon les analystes, les Clouds Hybrides - mélanges des deux - seront les plus répandus dans les prochaines années. Cependant, la principale erreur commise actuellement est de considérer la sécurité informatique comme une problématique à part. Très souvent, on ne se préoccupe de la sécurité qu'après le passage au Cloud, alors qu'aujourd'hui, elle doit impérativement faire partie du déploiement. Elle doit être prise en compte dès la conception des architectures basées sur le Cloud, et encore plus dans le cas des infrastructures hybrides.

Ressources dispersées, sécurité non garantie

En matière de sécurité, le Cloud pose deux problématiques majeures. D'une part, en permettant des déploiements d'applications sur différents réseaux privés, publics ou sur une combinaison des deux, il provoque une banalisation des accès qui doit s'accompagner d'une authentification (gestion d'identité) renforcée. De plus, ce type d'architecture implique par nature que l'on ne sait plus réellement où sont nos applications métiers et où sont stockées nos données confidentielles. D'autre part, avec la virtualisation et l'externalisation des serveurs et des équipements de stockage, les systèmes informatiques ne sont plus cloisonnés comme autrefois. Sur le LAN cloisonné, les applications étaient protégées grâce aux firewalls et IPS.

Avec le Cloud, le LAN explose, ressources et applications se dispersent, et ne sont plus protégées directement. Les entreprises vont avoir de plus en plus de mal à localiser les équipements et applications, et ne pourront plus avoir une entière confiance dans l'infrastructure. Elles auront par ailleurs plus de difficultés à savoir qui accède aux applications et comment.

Il devient alors impératif de repenser la sécurité, et de rajouter des protections.

La sécurité périmétrique va donc évoluer : les périmètres vont se rétrécir et se multiplier. Les entreprises devront mettre la sécurité au plus près des différents équipements et applications les plus stratégiques et les plus sensibles.

Enfin, l'administration de la sécurité devra savoir gérer l'ensemble des ressources, en privé et en externe. Il faudra aussi être informé (alerté) en cas de brèche, d'attaque ou d'incident sur une ressource exploitée par un tiers, ce que les prestataires du Cloud (SaaS, PaaS ou IaaS) proposent encore rarement.

Nous suggérons donc trois mesures pour améliorer la sécurité du Cloud :

1/ Repenser la sécurité périmétrique pour tenir compte de l'architecture en place dans l'entreprise et chez ses prestataires éventuels,

2/ Concentrer les efforts de sécurité sur des périmètres réduits, au plus près des équipements hébergeant les applications les plus stratégiques et stockant les données les plus sensibles pour l'entreprise et ses clients,

3/ Associer une appliance de sécurité virtualisée aux applications stratégiques, les données sensibles de l'entreprise restant ainsi protégées, où que soient les plate-formes physiques les supportant.

Autour du même sujet