Sécurité informatique dans les clouds publics, tout est une histoire de petit Chaperon rouge…
Faire un tour du côté de Perrault et de son petit Chaperon rouge permet de dresser une image fidèle des trois vulnérabilités principales auxquelles sont confrontées les entreprises : la data, les liens, et l'authentification des utilisateurs.
Les discours actuels liés aux enjeux de sécurité dans le cloud tournent suggèrent que les solutions natives proposées par les majors du cloud public sont fragiles. Une belle lapalissade qui n'aide pas les DSI à déployer une configuration sécurisée couvrant 3 territoires : la data, les liens et l'authentification des utilisateurs de ces données. Ainsi, faire un tour du côté de Perrault et de son petit Chaperon rouge permet de dresser une image fidèle de ces trois vulnérabilités.
Vulnérabilité numéro un : s’assurer que la galette est bonne
La donnée, notre galette au beurre, est identique à un produit frais. Si l’on n’y prend pas garde, elle peut se transformer en un poison alimentaire. Les données qui sont produites, hébergées et partagées au sein du réseau de l’entreprise et en dehors de celle-ci, sont des hôtes potentiels de contenus malveillants. Toutes opérations liées à leur traitement doivent s’inscrire dans un cadre sécurisé et traçable. Ce n’est qu’à cette condition qu’il sera possible de garantir que les informations échangées dans le SI sont propres à être consommées par leurs utilisateurs.
Vulnérabilité numéro deux : s’assurer que le chemin est sûr
Nous sommes sur des enjeux plus classiques sur ce second point du fait que la sécurisation des liens est un des territoires historiques de la sécurité informatique. La différence est qu’aujourd’hui, les entreprises ne contrôle pas nécessairement l’ensemble des serveurs aux travers desquels les données qu’elles sont amenées à partager sont véhiculées. L’abandon des liens MPLS pour des raisons de coûts, et plus précisément à l’heure ou les budgets SI sont clairement rabotés du fait de la crise, est la plus mauvaise décision qui soit. Tout comme un état prospère à partir du moment ou ses routes commerciales sont sécurisées, une entreprise peut se développer si elle n’évolue pas dans un contexte de défiance continue.
Vulnérabilité numéro trois : s’assurer que la grand-mère est bien la grand-mère
Dernier point et non des moindres, les enjeux d’authentification. Le PAM fleurit avec la transformation digitale. Les données qui étaient auparavant consommées dans le seul territoire de l’entreprise sont désormais accessibles par un nombre toujours plus important d’utilisateurs et depuis n’importe quel périphérique. Ces derniers mois, le confinement a d’ailleurs donné pas mal de cheveux blancs aux DSI qui ont du faire face à la gestion du shadow IT causé par la mise en télétravail subite de collaborateurs non équipés de devices sécurisés. Déployer des technologies permettant de tracer le portrait robot des utilisateurs sur la base de leurs comportements est désormais incontournable. Des IA sont entraînées depuis plusieurs années par les laboratoires des acteurs de la sécurité afin de déployer des filtres permettant de sécuriser que X est bien X.
Dans le conte original de Perrault, le petit Chaperon rouge fini mangé par le loup. Ce n’est que plus tard que les frères Grimm donneront une version plus heureuse de ce conte populaire. La version initiale, plus malheureuse certes, garde plus d’intérêt en ce qu’elle renvoie une image fidèle des enjeux réels auxquels nous sommes confrontés. L’explosion du cloud n’est qu’à son début, une dynamique qui va s’accélérer avec le développement de solutions de stockage distantes, de calcul et d’échange d’information. Si les utilisations que nous pourront en faire sont en croissance exponentielle, les principes de base restent eux les mêmes. L’information, son partage et l’identification de ses utilisateurs constituent le triangle d’or de la sécurité informatique.