Analyser les services cloud à l’aune de la sécurité
On s'interroge souvent sur le décalage évident entre l'attrait théorique des offres de cloud public et leur très faible taux de déploiement réel au sein des grands comptes. Malgré les avantages d’une telle solution, ces DSI préfèrent déployer leurs architectures dans un mode privé ou public, souvent basé sur une solution infogérée.
L'explication invoquée est le niveau d'exigence de sécurité, présenté comme inférieur aux exigences internes.Le déploiement des solutions cloud
Il serait donc pertinent de poser la question différemment : comment définir le "juste" poids de la sécurité dans les solutions de cloud au sein des environnements IaaS ?
Vers qui se tourner ? Les organismes et les normes
Les RSSI s'appuient souvent sur ces documents pour essayer d'imposer des mesures de contrôle suffisantes pour protéger leur entreprise. Toutefois, le respect de ces normes est souvent un vrai casse-tête pour les DSI.Par ailleurs, il existe aussi des normes établies en terme de sécurité, telles que ISO 27001, très fortement répandue et quasi obligatoire aujourd'hui, ainsi que PCI-DSS pour le traitement des données de paiement qui devrait être mise en place par tous les sites marchand en ligne, qu’ils fonctionnent dans le cloud ou dans les data center de l'entreprise.
Le vrai poids de la sécurité dans les grandes DSI
- Les couches basses de connexion dans les data center : cette famille englobe principalement les réseaux locaux des Data Center, protégés par des équipements de sécurité tels que pare-feu et IPS qui assurent une protection périmétrique, principalement vis-à-vis de l'Internet, et en profondeur.
- Les services d'infrastructures, tels que les solutions de backup/restore des données de l'entreprise
- Les services de sécurité, tels que les anti-virus, les pare-feu déployés sur les postes de travail, les pare-feu applicatifs, les VPN pour les connexions à distance, etc.
Une sécurité dans les nuages ?
- La segmentation du SI traditionnel à tendance à s'introduire dans ces plateformes IaaS....
Le zonage implémenté avec des VLAN ou des DMZ est une vrai contrainte à l'agilité, même s'il apporte la segmentation souhaitée. - La complexité des règles déployées dans les pare-feu veut s’appliquer à ces nouvelles plateformes intégrées. Un ingénieur sécurité, même excellent, aura parfois des difficultés à débugger un firewall contenant plus d'une centaine de règles, qui pose problème à un client interne souhaitant disposer rapidement de sa VM de test comme indiqué au catalogue de service.
Au-delà du IaaS
Le déploiement continu des solutions de cloud embarquent fréquemment des solutions intégrées en mode SaaS, particulièrement appréciées des clients internes des DSI. Ceux-ci n'hésitent pas à contourner leur DSI pour déployer un réseau social interne ou une solution de CRM. Dans ce cas, il est indispensable que le RSSI soit associé au choix de la solution, avant de déployer ne serait-ce qu'un pilote. La DSI est de loin la plus qualifiée pour déterminer les risques et déployer les moyens de protection adéquats. Cela est à prendre en considération avant de déployer un projet intéressant tel qu’une messagerie d'entreprise hébergée dans le cloud car ce dispositif est très proche du cloud Public qui fait si peur en matière de sécurité.
Aujourd’hui, plus de la moitié des données stockées dans les Data Center n'existaient pas il y a 2 ans. Cela pose encore plus de problèmes de sécurité.
La bonne approche pourrait se résumer en 5 points qu'on pourrait décrire de la manière suivante :
- Décider quel est le référentiel de sécurité appliqué,
- Identifier le poids financier des choix d'architecture en matière de sécurité,
- Associer son prestataire cloud dans le design de l'architecture sécurité déployée,
- Se rappeler que la menace en termes de sécurité vient plus souvent de l'intérieur que de l'extérieur,
- Penser la sécurité comme une opportunité de protéger les données tout en créant de la valeur pour l'entreprise.