L’adoption rapide et massive du cloud public reforme les modèles de sécurité des entreprises

La notion de cloud souverain, de protection des données et du patrimoine numérique hexagonaux serait-elle sortie de l’équation des stratégies IT de nos grandes entreprises ? Le point.

Cinq années après le dénouement triste et coûteux de l’aventure nationale en matière de cloud souverain, le cloud public est devenu une des stratégies prioritaires des processus de transformation digitale de nos grandes entreprises. Airbus, Veolia, Société Générale, Schneider Electric, Engie… migrent désormais massivement leurs infrastructures, applications et données vers les leaders américains AWS, Microsoft Azure et Google Cloud Platform, et ce, malgré le Patriot Act et l’adoption plus récente du Cloud Act par les Etats-Unis en 2018. Et la tendance se confirme puisque selon IDC, 90% des entreprises françaises auront adopté plusieurs services et plateformes de cloud public d’ici 2020, et que de son côté Gartner prévoit une croissance mondiale annuelle du cloud public proche de 20% jusqu’en 2021.

La notion de cloud souverain, de protection des données et du patrimoine numérique hexagonaux serait-elle sortie de l’équation des stratégies IT de nos grandes entreprises ?

Pourtant, différents sondages auprès des directions des systèmes d’informations françaises soutiennent que la sécurité reste leur préoccupation numéro 1 ! Or, la cybercriminalité n’a pas de frontière et le cloud public, qui devient une extension du réseau de l’entreprise, présente une exposition très large qui augmente mécaniquement les risques de vulnérabilité des applications et des données d’entreprise, malgré le niveau de sécurité des opérateurs eux-mêmes. Par ailleurs, le nombre de cyber-attaques a connu une progression de 42% entre 2017 et 2018 dans le monde. Ces dernières sont de plus en plus sophistiquées et se déroulent dans une proportion de 34%, dans les environnements cloud public (source : Check Point Security Report).

Cette révolution rapide de la consommation informatique bouleverse les organisations et les modèles de cybersécurité en place. Les ressources humaines, les directions commerciales contractent directement des solutions SaaS, les directions financières ou le marketing managent des projets big data, data lake ou analytics avec les opérateurs de cloud public. Au final, beaucoup de RSSI ont perdu la visibilité complète et par là-même le contrôle de ces opérations.

Les entreprises doivent donc impérativement se doter d’une nouvelle gouvernance, de nouveaux outils et services en matière de sécurité. Le modèle doit s’adapter au nouveau périmètre de production informatique et ce, depuis le développement des applications. Le code doit être analysé tout au long du cycle de vie des applications, et les équipes DevOps doivent être sensibilisées et formées à la détection des vulnérabilités.

Beaucoup de grandes entreprises migrent vers le cloud public en imaginant que l’infrastructure du cloud provider est plus sécurisée que le data center historique de la DSI. Or, dans un modèle de cloud public, il faut savoir que la responsabilité de la sécurité est partagée entre le provider et le client. Ce dernier est toujours responsable de la sécurisation de ses applications, données et workloads, à charge pour l’opérateur de garantir la sécurité et la disponibilité des data center, services et infrastructures.

Il est donc nécessaire que les entreprises remettent en cause rapidement et globalement leur sécurité défensive et offensive ainsi que les outils existants : firewall, secure gateway, SOC (Security Operation Center), SIEM (security information and event management) … Et qu’elles intègrent les nouvelles innovations et technologies optimisées pour les environnements cloud, déjà disponibles depuis quelques années :

  • Cloud access security broker (CASB) : outils déployés dans l’entreprise ou dans le cloud, positionnés entre les utilisateurs et les services du cloud destinés à appliquer les politiques de sécurité de l’entreprise (authentification, autorisation d’accès, SSO, chiffrement...).
  • Modules de data loss prevention (DLP) optimisés pour les environnements cloud.
  • Web application firewalls (WAF) adaptés aux environnements cloud cibles.
  • Outils de patch management automatisés.
  • Logiciels de chiffrement avancés.
  • Solutions de protection des accès avec des niveaux d’authentification élevés. A deux facteurs (2FA), à base de certificats électroniques ou physiques...
  • Solutions de SIEM (security information and event management), d’orchestration et d’automatisation adaptées aux environnements cloud.

Une approche essentielle et stratégique consiste à élaborer la sécurité dès la conception des applications et tout au long de l’intégralité des processus IT (security by design). Les équipes de sécurité doivent être impliquées dans tous les projets et opérations… Car nous pouvons encore observer aujourd’hui de très nombreux projets cloud stratégiques, avec des équipes de sécurité sollicitées in fine, après mise en production ou pire, après compromission.

En résumé, l’adoption du cloud public est une tendance lourde de nos grandes entreprises qui nécessite une réforme rapide de la stratégie, de la gouvernance de l’organisation, des opérations et des outils de sécurité. Les équipes de sécurité doivent être formées aux nouvelles fonctionnalités, contraintes et menaces de ces environnements et collaborer avec tous les autres départements de la DSI de façon proactive. Leur mission : déployer les nouvelles technologies de sécurisation des environnements de cloud public.

L’adoption rapide et massive du cloud public reforme les modèles de sécurité des entreprises
L’adoption rapide et massive du cloud public reforme les modèles de sécurité des entreprises

Cinq années après le dénouement triste et coûteux de l’aventure nationale en matière de cloud souverain, le cloud public est devenu une des stratégies prioritaires des processus de transformation digitale de nos grandes entreprises. Airbus, Veolia,...