Sécurité du cloud : démystifier les idées reçues
Le cloud, véritable révolution pour le monde de l'entreprise, a permis de concrétiser des niveaux d'évolutivité et d'agilité sans précédent. Pourtant, sa sécurité est une source d'incertitude.
Si les géants du cloud investissent massivement dans la sécurité de leurs infrastructures, la responsabilité de la sécurité dans le cloud est bel et bien partagée entre fournisseur et utilisateur. Or, ce modèle souffre encore de nombreuses idées reçues. Il est temps d’analyser et de remettre en cause les mythes et idées reçues autour de la sécurité du cloud.
Mythe n°1 : la sécurité relève entièrement du fournisseur cloud
Les développeurs déploient souvent leurs applications sans concertation avec les spécialistes de la sécurité, sur la base d’une croyance tenace : la protection des données et des systèmes relèverait exclusivement du fournisseur de services cloud. Un postulat qui est trompeur puisque la sécurité du cloud repose sur un modèle de responsabilité partagée.
Les acteurs des services cloud assurent la protection de l’infrastructure cloud, mais la sécurisation des espaces, des configurations et des données cloud incombe bel et bien à leurs clients. Le partage des rôles varie selon le modèle choisi : en mode IaaS (Infrastructure as a Service), c’est le client qui gère l’essentiel des fonctionnalités de sécurité. Dans un contexte PaaS (Platform as a Service), le fournisseur cloud sécurise une partie plus importante de la pile technologique, mais la gestion des identités, des configurations et des données sont des domaines qui demeurent sous la responsabilité de l’entreprise cliente. Ces domaines restent gérés par l’entreprise utilisatrice dans le cas du SaaS (Software as a Service), même si les couches de sécurité, dans leur grande majorité, sont pilotées par le fournisseur cloud.
Sensibiliser et former les équipes aux principes de la responsabilité partagée dans le cloud, ainsi que sur les spécificités des modèles est la clé pour garantir une adoption du cloud en toute sécurité.
Mythe n°2 : La visibilité dans le cloud est simple et évidente
Les plateformes cloud facilitent l’activation et la désactivation des comptes, des ressources et des applications, et elles offrent des outils de base en matière de visibilité, simples à prendre en main. Mais cette simplicité masque une réalité plus nuancée.
En coulisses, les environnements cloud sont le théâtre d’une activité dynamique : les ressources se créent, se suppriment ou évoluent sans cesse, rendant l’exercice de la visibilité particulièrement complexe. À cela s’ajoute la diversité des architectures adoptées par les entreprises, qui jonglent entre cloud public et infrastructures traditionnelles sur site. Ce mix hétérogène freine la capacité à obtenir une visibilité globale et cohérente de l’ensemble de l’écosystème cloud.
Déployer et tirer pleinement parti d’une plateforme de protection des applications cloud (CNAPP, Cloud-native application protection) offre alors une visibilité en continu et complète des environnements cloud. Ainsi que privilégier une plateforme offrant un contrôle centralisé et une visibilité totale sur l’ensemble du multi-cloud.
Mythe n°3 : les outils de sécurité natifs du cloud sont suffisants
De nombreuses entreprises, notamment celles qui font leurs premiers pas dans l’univers du cloud, ont tendance à croire que le déploiement des outils de sécurité proposés par le fournisseur de services cloud est suffisant. Or si ces technologies natives définissent un socle de sécurité essentiel, elles créent des zones d’ombre et des vulnérabilités exploitables.
Il est nécessaire d’éviter de se reposer exclusivement sur des outils de sécurité natifs du cloud. Il faut investir dans des solutions tierces avancées : un pare-feu nouvelle génération (NGFW) pour inspecter le trafic en transit et interne, ainsi qu’un pare-feu applicatif web (WAF) pour protéger les applications et API contre les attaques de type XSS ou injection SQL. Et enfin, déployer une solution de détection et de réponse aux menaces réseau pour identifier les comportements suspects et renforcer la visibilité sur l’ensemble des environnements multi-cloud et hybrides.
Mythe n°4 : le cloud est moins sécurisé que votre environnement sur site
Nombre d’équipes de cybersécurité se sentent en totale maîtrise de leurs données et de leur infrastructure lorsque celles-ci sont hébergées sur site, ayant le sentiment que tout est sous contrôle.
Cependant sur le terrain, les entreprises n’ont souvent ni les ressources, ni l’expertise, ni la vigilance permanente pour assurer un niveau de sécurité comparable à celui des géants des services cloud. Pour ces derniers, la sécurité représente un enjeu commercial majeur : ils investissent massivement dans les technologies de pointe et mobilisent des équipes dédiées, bien au-delà de ce qu’une entreprise, à elle seule, peut envisager.
Le cloud offre l’opportunité de surperformer le niveau de sécurité d’un environnement sur site. À condition d’accompagner les équipes dans la montée en compétence sur les concepts de sécurité et de réseau spécifiques au cloud, et d’adopter une approche moderne axée sur l’automatisation, une stratégie centrée sur les API, ainsi qu’un monitoring permanent et rigoureux.
Mythe n°5 : les outils de sécurité proposés par les fournisseurs cloud sont homogènes
À première vue, les grands principes de la sécurité dans le cloud – gestion des identités (IAM), chiffrement et sécurité réseau – semblent similaires d’un fournisseur cloud à l’autre. Ce postulat alimente l’idée que les outils de ces fournisseurs seraient, eux aussi, interchangeables. Pourtant, derrière cette apparente homogénéité, chaque acteur du cloud propose des outils de sécurité propriétaires aux capacités et fonctionnalités souvent différentes. Les solutions tierces peuvent renforcer la protection, mais elles ne concrétiseront leur potentiel que si elles s’intègrent nativement avec chaque plateforme cloud et tirent parti d’éléments de contexte spécifiques pour assurer une efficacité optimale.
Pour bâtir une stratégie de sécurité cloud réellement robuste, il est essentiel d’adopter des outils – tels que des solutions CNAPP ou des pare-feux nouvelle génération (NGFW) – qui fonctionnent en natif avec chaque environnement. Ces outils doivent garantir une visibilité globale et l’application homogène des politiques de sécurité, quels que soient les choix d’architecture : multi-cloud, hybride ou sur site.
Opter pour une approche proactive à la sécurité
Pour rester dans la course, les RSSI doivent repenser leur approche de la sécurité du cloud, en délaissant les vieux réflexes hérités d’une protection traditionnelle, basée sur le périmètre réseau. Ils doivent intégrer les spécificités du cloud, en particulier les défis propres aux architectures multi-cloud et hybrides.
En somme, la sécurisation du cloud exige une démarche globale, proactive et adaptée à la versatilité de cet environnement. Le renforcement de la sécurité native par des solutions tierces innovantes, la formation des collaborateurs et le support d’experts constituent des leviers essentiels pour anticiper les menaces et garantir la résilience du cloud. En adoptant ces bonnes pratiques, les RSSI permettront à leur entreprise de tirer pleinement parti des opportunités du cloud tout en maîtrisant les risques associés.