Le partage des responsabilités : clé de voute pour la sécurité du cloud

" D'ici 2025, pas moins de 99 % des incidents de sécurité liés au cloud seront imputables au client. " Gartner tire la sonnette d'alarme quant à l'importance du partage des responsabilités en matière de sécurité cloud. Cet avertissement sous-entend que les organisations elles-mêmes – et non pas les fournisseurs de services cloud – doivent veiller à la pertinence de leur approche en matière de sécurité.

Pour les entreprises, la question de la migration des données vers le cloud divise. Certaines estiment que la sécurité offerte par les services cloud constitue une raison valable en faveur d’une migration. D’autres redoutent au contraire le manque de sécurité inhérent à ces environnements. Les deux parties ont en réalité raison. La sécurité constitue en effet l’aspect le plus important de l’offre d’un fournisseur de services cloud : l’impact lié à un incident de sécurité peut être dramatique, autant pour le fournisseur que pour les souscripteurs.

De par le modèle de sécurité partagée, aucune organisation ne peut assumer à elle seule l’entière responsabilité de la sécurité des données. Organisations, utilisateurs, professionnels de la sécurité informatique et fournisseurs de services cloud ont pour mission commune de s’assurer que toutes les parties impliquées emploient le cloud de façon sûre avec des objectifs de sécurité mesurables et quantifiables. À l’ère de l’économie numérique, la mise en œuvre d’un modèle de responsabilité partagée est synonyme de confiance renforcée, de risques réduits, de réputation améliorée et plus généralement de succès opérationnel pour les entreprises.

Une clarification des rôles indispensable

Une sécurité optimale du cloud requiert plusieurs niveaux de protection, les différents acteurs constituant la « pile des responsabilités » de façon individuelle, tout en interagissant comme une structure unifiée. Sécurité des infrastructures, contrôle du réseau, sécurité des applications, gestion des identités et des accès, protection des terminaux, classification des données, contrôle des usages : la liste est longue et potentiellement effrayante pour tout service informatique, quelle que soit sa taille.

La protection proposée par les fournisseurs de services cloud ne garantit malheureusement pas la sécurité des données en se substituant aux responsabilités de l’ensemble des acteurs. Microsoft, Amazon, Google et autres grands noms précisent à juste titre que la responsabilité ne leur incombe pas entièrement et que les entreprises doivent se faire à l’idée d’une responsabilité partagée. Microsoft a par exemple publié son modèle pour Azure. Amazon applique une approche similaire pour AWS. Dans un cas comme dans l’autre, il est précisé que la sécurité de l’infrastructure repose sur les actions mises en œuvre par le client afin de garantir la sécurité et la conformité de l’écosystème. 

Les fournisseurs de services cloud divisent traditionnellement les responsabilités induites de la manière suivante : ils gardent la responsabilité associée à la sécurité d’une partie identifiée de l’infrastructure et laissent au client le soin de s’occuper du reste. Ce partage peut être source d’incertitudes pour les entreprises clientes. Alors comment déterminer et répartir les aspects relevant de leur responsabilité, quelles certitudes sont données sur les éléments de sécurité incombant au fournisseur de services cloud ? Il est essentiel de clarifier les rôles et les responsabilités de chacun, dans l’entreprise et chez les fournisseurs de services cloud.

Cloud et location de véhicule : la responsabilité partagée de la sécurité comme point commun

Le principe de location d’une voiture illustre parfaitement le partage des responsabilités. Tout d’abord, le constructeur est dans l’obligation d’assurer que le véhicule est en état de rouler à sa sortie de la chaîne de montage. Les freins, roues et airbags doivent fonctionner comme il se doit. Une fois la voiture réceptionnée par l’agence de location, cette dernière ne vérifie pas les airbags, le locataire non plus : tous deux partent du principe que ces équipements fonctionnent correctement. Pendant la durée d’exploitation du véhicule, l’agence doit entretenir celui-ci et garantir qu’il est en état de marche. Le locataire suppose que toutes les vérifications sur les équipements ont été effectuées ; malheureusement, lorsque ce n’est pas le cas, il ne le découvre qu’après avoir rencontré un problème avec le véhicule. 

Pour les ceintures de sécurité, le principe est le même. Le constructeur doit les installer, l’agence de location les entretenir, mais c’est au conducteur qu’il revient de l’attacher et de vérifier que tous les passagers ont fait de même.

La location d’un véhicule implique ainsi une répartition des responsabilités clairement définie. Chaque acteur est tenu de jouer son rôle et une défaillance unitaire peut être cause de graves accidents. Ignorer une exigence de sécurité peut donc avoir des conséquences désastreuses.

La responsabilité associée à la gestion des risques incombe à l’entreprise

Microsoft, Amazon et les autres fournisseurs de services cloud s’efforcent d’appliquer systématiquement des modèles de partage des responsabilités, mais les utilisateurs finaux – l’organisation en elle-même, les responsables de la sécurité des données, l’équipe de sécurité informatique, les utilisateurs – doivent assumer davantage de responsabilités. Les dirigeants et responsables informatiques ne peuvent garantir la protection des données dans le cloud que si les fonctionnalités de sécurité sont bien comprises, activées et correctement configurées. C’est ce qu’a récemment démontré une violation de données hautement médiatisée, conséquence d’une mauvaise configuration des règles AWS rendant des serveurs accessibles au public.

De manière générale, les responsables technologiques doivent déterminer à qui incombent la vérification et la gestion des configurations cloud, des flux de données entre différents services cloud, du comportement des utilisateurs, ou encore des contrôles relatifs à la collaboration, aux accès et aux périphériques. En définitive, la responsabilité associée à la gestion des risques incombe à l’entreprise, car c’est avant tout elle qui est chargée de la collecte et de la sécurité des données. Le fournisseur de services cloud joue certes un rôle important, mais contrairement à l’organisation cliente, il n’est pas en contact direct avec le public et n’assume pas le risque associé à la gestion de ces données sensibles. Les membres de l’équipe informatique doivent jouer le rôle de gardiens de la sécurité et de la conformité. Ils doivent travailler de concert avec le RSSI et les autres dirigeants pour comprendre et définir les politiques en matière de contrôle des données, coopérer avec les différents services pour catégoriser précisément les données, assurer la conformité réglementaire, faciliter les décisions du service des achats, définir les services cloud accessibles aux utilisateurs et garantir l’exhaustivité de la formation des utilisateurs.

En l’absence de processus stricts et de responsabilités clairement définies, une décision opérationnelle comme le déploiement d’un nouveau service de cloud public peut fortement exposer une entreprise à une violation de données ou à des incidents de sécurité connexes. À l’inverse, une démarche de partage des responsabilités permet de veiller à ce que chacun accomplisse son rôle.