Sécurité et transformation digitale : de la contrainte à l’opportunité

En 2022, 95% des failles de sécurité dans le cloud seront imputables aux clients prédisait Gartner en 2018. Le caractère ouvert du cloud et les évolutions de la cybercriminalité exposent chacun à des menaces mouvantes, rendant obligatoire l’adoption de pratiques de sécurité agiles et proactives.

La question n’est donc plus de savoir si la technologie cloud est sûre, mais bien de comprendre si mon entreprise l’utilise de manière sécurisée. D’où l’importance de faire évoluer les modèles de sécurité qui prévalent encore dans les organisations, pour poser les bases d’une confiance éclairée et maîtrisée de ses enjeux. 
Les limites du modèle de sécurité château fort 
Sécuriser son réseau d’entreprise à la manière d’un château fort, et le protéger des menaces extérieures avec des douves ; ériger un pare-feu à la lisière du réseau interne et compartimenter ce dernier avec quelques VLAN et le tour est joué ! Telle a été la sagesse populaire désormais largement considérée comme… moyenâgeuse. Une fois le pirate infiltré à l’intérieur de l’enceinte, celui-ci gagne effectivement un accès à peine obstrué à toutes les pièces de la forteresse, libre de se déplacer et placer malware et virus sans encombre. Des murs, plus hauts ou plus épais n’y feraient rien : ce modèle a aujourd’hui atteint ses limites. D’abord parce qu’il n’est plus en mesure de répondre à l’évolution des cyberattaques, protéiformes, ultra précises et rapides. Ensuite parce que l’écosystème du système d’information a changé. Employés, clients, mais aussi partenaires, sous-traitants, freelances… sont de plus en plus nombreux à se presser aux portes et ont des exigences fortes en matière de disponibilité, de performance et d’expérience utilisateur. 
Modularité et micro-segmentation
A l’heure où les systèmes monolithiques sont délaissés au profit des architectures en microservices, le cloisonnement, voire l’isolation de zones selon le type d’informations contenues, leur niveau de sensibilité ou les droits d’accès attachés à l’utilisateur permet de garantir une sécurité optimale, car granulaire et dynamique. 
Granulaire, car la micro-segmentation permet d’assigner des mesures de sécurité au niveau du workload, et autorise donc la persistance de ces mesures quelle que soit la manière ou l’endroit où celui-ci est déplacé. Dynamique, parce que ce nouveau modèle de sécurité impose la revue régulière des mesures mises en place, que l’on parle de mode d’authentification ou de mises à jour. L’intrus qui aura osé pénétrer à l’intérieur de vos enceintes se trouvera donc confronté, à chaque pas, à d’autres murailles toutes plus infranchissables les unes que les autres. Surtout, toute tentative de connexion à votre système sera a priori appréhendée avec méfiance, et se verra soumise aux mêmes exigences de sécurité, dans une logique Zero Trust. 

Afin de protéger leurs applications des pirates des temps modernes, les entreprises pourront mettre à profit les pratiques et savoir-faire des solutions de sécurité spécialisées, mais aussi des plateformes cloud modernes conçues nativement avec ces nouveaux paradigmes de sécurité. Architecture en micro-services, authentification multi-facteurs, Identity Access Manager, automatisation, gestion des logs… autant de normes et technologies pré-intégrées et prêtes à être implémentées. 

Les variantes multi-cloud de telles plateformes offrent l’avantage supplémentaire de pouvoir choisir les infrastructures cloud conçues et potentiellement certifiées pour protéger les données selon des exigences territoriales, réglementaires ou sectorielles. 

Ces outils et nouvelles méthodes ne réussiront pas seuls. Autres facteurs clés de la réussite : leur orchestration au sein d’un vrai projet de transformation, et l’adoption d’une approche cloud-native de la sécurité informatique, afin de faire rimer ouverture, flexibilité et croissance avec sécurité.