Sécurité du cloud : de l'absence de pouvoir à la responsabilité

Le cloud et notamment les infrastructures IaaS ont fondamentalement changé notre façon de consommer les technologies de l'information et, par conséquent, notre façon d'évaluer la sécurité.

Vous avez probablement déjà entendu l'expression "Un grand pouvoir implique de grandes responsabilités". Cette phrase, également appelée "Principe de Peter Parker" est devenue culte grâce aux bandes dessinées et à la saga Spider-Man. Ce principe décrit l’obligation morale d’agir des lors que nous sommes en capacité d’améliorer les choses.

Cependant, lorsque l’on parle de la sécurité du cloud, en particulier de la sécurité des infrastructures (IaaS), on remarque souvent une posture différente, que nous appellerons ici "Principe de John McClane" (rappelant cette fois ci la fiction Die Hard).

Le principe de John McClane s'applique lorsqu'un individu (ou une organisation) a été chargé de réparer quelque chose, mais sans habilitation à apporter les changements nécessaires. Quant bien même ce scénario peut sembler absurde, bon nombre d’équipes InfoSec pourront se reconnaitre dans cet échange ci-dessous :

  • Le PDG : "Veillez à vous assurer que notre cloud est sécurisé. Je ne veux pas être le prochain [insérer la dernière brèche ici]."
  •  Responsable InfoSec : "Oui en effet, nous avons examiné comment nous utilisons le cloud et la plupart de nos problèmes sont dus à un manque de processus et de connaissances. Nous avons de nombreuses équipes différentes qui ont chacune leur propre utilisation du cloud, et nous n’avons pas une visibilité complète de leur usage."
  • Le PDG : "Bien, mettez-moi cela en ordre."
  • Le responsable InfoSec : "Le problème, c'est que nous n’avons pas notre mot à dire sur ces équipes. Elles peuvent faire ce qu'elles veulent. Pour régler le problème, ils vont devoir changer leur façon d'utiliser le cloud. Pour cela, nous devons obtenir l'adhésion des managers, mais ces derniers nous ont dit qu'ils n'étaient pas intéressés à changer quoi que ce soit parce que cela ralentirait leurs activités."
  • Le PDG : "Je suis sûr que vous allez trouver une solution. Bonne chance, et faites-en sorte que nous ne subissions pas d’attaque."

C'est ici que l’expression "L’absence de pouvoir implique de grandes responsabilités" prend tout son sens.

Et pourquoi est-ce ainsi ? La raison est que le cloud (notamment les infrastructures IaaS) a fondamentalement changé notre façon de consommer les technologies de l'information et, par conséquent, notre façon d'évaluer la sécurité. Nous ne soumettons plus de demandes d'achat et ne passons plus par de longs processus pour faire évoluer les ressources et l'infrastructure. Désormais, quiconque possède une carte de crédit peut immédiatement bénéficier de la puissance d'un data center dans le cloud en quelques minutes.

Cette souplesse, bénéfique sur de nombreux aspects, a toutefois entraîné des changements imprévisibles sur la thématique de la sécurité. Pour pouvoir évoluer, la sécurité du cloud ne peut pas être la responsabilité d'une seule équipe. Elle doit plutôt être intégrée aux processus de l’entreprise et dépendre de la collaboration entre les développeurs, les architectes et les opérations. Ces équipes ont désormais un rôle plus important à jouer dans la sécurité du cloud et, dans de nombreux cas, sont les seules à pouvoir mettre en œuvre des changements afin d'améliorer la sécurité. L’équipe InfoSec joue désormais le rôle de sherpas plutôt que de gardien pour s'assurer que chaque équipe avance au même rythme, en toute sécurité.

Le challenge reste alors de réussir à coordonner les différentes équipes, agréger les besoin métier et opérer la sécurité comme un accélérateur des processus de transformation IT en entreprise.