Analyser les services cloud à l’aune de la sécurité

On s'interroge souvent sur le décalage évident entre l'attrait théorique des offres de cloud public et leur très faible taux de déploiement réel au sein des grands comptes. Malgré les avantages d’une telle solution, ces DSI préfèrent déployer leurs architectures dans un mode privé ou public, souvent basé sur une solution infogérée.

L'explication invoquée est le niveau d'exigence de sécurité, présenté comme inférieur aux exigences internes.

Le déploiement des solutions cloud

Les solutions IaaS en cloud Public, principalement matérialisées par la fourniture de ressources informatiques de calcul et de stockage, sont désormais connues par l'ensemble des DSI. Ils sont l’objet de vives critiques, lorsqu'un client interne ne comprend pas pourquoi une VM en interne coûte plus chère et est plus complexe à installer qu’une VM dans le cloud. Pour s’en expliquer, le DSI produit, avec l’aide de ses équipes techniques, un document montrant qu’il est impossible de comparer l'offre interne à celle d’un cloud Public, car ces solutions ne répondent pas aux mêmes exigences de sécurité.
Il serait donc pertinent de poser la question différemment : comment définir le "juste" poids de la sécurité dans les solutions de cloud au sein des environnements IaaS ?

Vers qui se tourner ? Les organismes et les normes

La réponse à la question "que dois-je faire en matière de sécurité ?" est documentée par les normes existantes et via les organismes de normalisation.L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publie régulièrement des documents sur la sécurité à l'attention des DSI.
Les RSSI s'appuient souvent sur ces documents pour essayer d'imposer des mesures de contrôle suffisantes pour protéger leur entreprise. Toutefois, le respect de ces normes est souvent un vrai casse-tête pour les DSI.Par ailleurs, il existe aussi des normes établies en terme de sécurité, telles que ISO 27001, très fortement répandue et quasi obligatoire aujourd'hui, ainsi que PCI-DSS pour le traitement des données de paiement qui devrait être mise en place par tous les sites marchand en ligne, qu’ils fonctionnent dans le cloud ou dans les data center de l'entreprise.

Le vrai poids de la sécurité dans les grandes DSI 

Les impacts concrets des choix en matière de sécurité vont se mesurer concrètement dans les architectures réellement déployées. Il existe plusieurs grandes familles de services d'infrastructure qui embarquent ces choix d'architecture :
  • Les couches basses de connexion dans les data center : cette famille englobe principalement les réseaux locaux des Data Center, protégés par des équipements de sécurité tels que pare-feu et IPS qui assurent une protection périmétrique, principalement vis-à-vis de l'Internet, et en profondeur. 
  • Les services d'infrastructures, tels que les solutions de backup/restore des données de l'entreprise
  • Les services de sécurité, tels que les anti-virus, les pare-feu déployés sur les postes de travail, les pare-feu applicatifs, les VPN pour les connexions à distance, etc.
La mesure du poids des choix de la sécurité dans ces trois familles permet de prendre des décisions éclairées et pertinentes, surtout lorsqu'on les compare à celles des acteurs les plus performants dans ces domaines. Ce travail d'analyse et d'audit est un prérequis indispensable avant de se pencher sur les choix de sécurité des solutions cloud.Des mesures faites par ISG lors de benchmarks informatiques de grandes sociétés indiquent que le poids financier de la sécurité dépasse régulièrement 10% des investissements informatiques. Dans le contexte économique actuel de réductions des coûts, il convient de se pencher sur ce type d'investissement.

Une sécurité dans les nuages ?

Lors du déploiement d'un environnement cloud Privé pour une solution IaaS, de nombreux DSI privilégient un déploiement intégré, dans lequel un partenaire déploie une plateforme cloud qui arrive idéalement comme une "brique" autonome qu'on vient poser dans le Data Center... Les avantages théoriques de cette plateforme sont souvent remis en question par les contraintes de sécurité :
  • La segmentation du SI traditionnel à tendance à s'introduire dans ces plateformes IaaS....
    Le zonage implémenté avec des VLAN ou des DMZ est une vrai contrainte à l'agilité, même s'il apporte la segmentation souhaitée.
  • La complexité des règles déployées dans les pare-feu veut s’appliquer à ces nouvelles plateformes intégrées. Un ingénieur sécurité, même excellent, aura parfois des difficultés à débugger un firewall contenant plus d'une centaine de règles, qui pose problème à un client interne souhaitant disposer rapidement de sa VM de test comme indiqué au catalogue de service.
Tout le monde s'accorde pour dire que les approches de sécurité ont évolué : du modèle du château fort (un seul point de passage - le pont-levis - pour entrer ou sortir) vers celui de l'aéroport (tout le monde peut essayer de passer par plusieurs endroits, mais au travers des portiques de sécurité diversifiés suivant les zones). Cette logique de l'aéroport paraît aujourd'hui très contraignante pour les solutions IaaS, même privées. Cela ne veut pas dire pour autant qu’il s’agit d’une mauvaise solution, car choisir un modèle cloud ne doit pas impliquer une baisse des exigences de sécurité des SI.

Au-delà du IaaS 

Le déploiement continu des solutions de cloud embarquent fréquemment des solutions intégrées en mode SaaS, particulièrement appréciées des clients internes des DSI. Ceux-ci n'hésitent pas à contourner leur DSI pour déployer un réseau social interne ou une solution de CRM. Dans ce cas, il est indispensable que le RSSI soit associé au choix de la solution, avant de déployer ne serait-ce qu'un pilote. La DSI est de loin la plus qualifiée pour déterminer les risques et déployer les moyens de protection adéquats. Cela est à prendre en considération avant de déployer un projet intéressant tel qu’une messagerie d'entreprise hébergée dans le cloud car ce dispositif est très proche du cloud Public qui fait si peur en matière de sécurité.
Aujourd’hui, plus de la moitié des données stockées dans les Data Center n'existaient pas il y a 2 ans. Cela pose encore plus de problèmes de sécurité.
La bonne approche pourrait se résumer en 5 points qu'on pourrait décrire de la manière suivante :
  1. Décider quel est le référentiel de sécurité appliqué,
  2. Identifier le poids financier des choix d'architecture en matière de sécurité,
  3. Associer son prestataire cloud dans le design de l'architecture sécurité déployée,
  4. Se rappeler que la menace en termes de sécurité vient plus souvent de l'intérieur que de l'extérieur,
  5. Penser la sécurité comme une opportunité de protéger les données tout en créant de la valeur pour l'entreprise.