La sécurité by design au cœur de la transformation cloud

La définition et l'application des règles de sécurité ne sont plus l'apanage d'équipes dédiées. Elles concernent désormais tous les collaborateurs impliqués dans les infrastructures cloud. Les outils de vérification et de remédiation automatiques les y aident fortement.

La transformation cloud est source de décloisonnement à tous les étages de la DSI. A ce titre, le rôle que les équipes infrastructure et applicatives jouent en matière de sécurité by design évolue grandement. Le schéma classique - des équipes dédiées à la sécurité faisant office de gendarme du SI en contrôlant a posteriori que tout est conforme - est révolu.

A l’inverse, les équipes opérationnelles disposent aujourd’hui de plus en plus d’autonomie dans la définition et la mise en œuvre de leur architecture cloud. Elles sont pour cela plus impliquées dans la conformité et davantage outillées. Elles vérifient elles-mêmes qu’elles respectent les règles définies par les équipes de sécurité. Elles sont automatiquement alertées des anomalies de sécurité, via des outils intelligents. L’IA est au cœur de la cyber révolution ; elle permet de gagner du temps et d’être plus efficace.

Des outils dont le rôle devient stratégique

La façon même dont ces règles sont définies évolue également. La mise en place de règles de sécurité se fait désormais de manière plus globale, à l’échelle de la plateforme. Les équipes infrastructure démarrent leurs projets par une analyse de risque en lien avec leur activité. Elles se posent les questions suivantes : quels sont les risques concrets vis-à-vis de mon système d’information, comment puis-je les prioriser et définir le cadre de ce qui est acceptable ou pas ? Lors de cette phase, elles définissent en quelque sorte les règles du jeu que se fixe l’entreprise, en fonction de ses enjeux business et des risques identifiés.

Les outils du cloud leur permettent d’aller un cran plus loin dans cette réflexion et de l’implémenter concrètement, en réalisant notamment de la vérification, voire de la remédiation automatique. Un exemple : les équipes peuvent édicter la règle selon laquelle toute base de données dont le chiffrement n’est pas réalisé au repos (at rest) doit être supprimée.

Dans de nombreux cas, cependant, ce type de remédiation automatique n’est pas possible. Un changement de règle au sein d’un workload ne signifie pas systématiquement que celui-ci doit être supprimé. Les dysfonctionnements doivent alors se traduire par des remontées d’alertes, qui devront être priorisées et traitées au travers d’une organisation et de processus clairement définis.

Les équipes sécurité de moins en moins en vase clos

En matière de sécurité by design, nous sommes désormais moins dans de la documentation et plus sur de l’outillage. Les outils contribuent à définir les règles mais aussi à les contrôler de manière proactive. Ils permettent aux équipes, au moment où elles construisent leur infrastructure et où des problématiques sécurité émergent, de s’en rendre compte immédiatement et, parfois même, de mener des actions automatiques. Dans tous les cas, ces équipes font dorénavant preuve de beaucoup plus de réactivité et de proactivité.

Autre bénéfice apporté par le décloisonnement lié à la transformation cloud : les équipes sécurité travaillent moins en vase clos. Ayant aujourd’hui davantage besoin d’être en relation avec les autres parties prenantes de la construction des fondations cloud, elles travaillent de plus en plus dans le cadre de centres de compétences et d’expertise cloud. Nous ne sommes plus dans une relation de conflit, nous basculons dans une approche collaborative en créant une réelle synergie entre les équipes.

Ce changement est notamment dû aux rapides évolutions technologiques survenues ces dernières années. Les règles de compliance qui étaient appliquées par le passé ne sont plus systématiquement vraies aujourd’hui. Il suffit, pour s’en convaincre de prendre l’exemple du durcissement des systèmes d’exploitation. Celui-ci n’est plus du tout abordé de la même manière quand il s’agit d’infrastructures immutables, qu’il est possible de régénérer à la volée.

Passer d’une sécurité by design à une sécurité anytime

La sécurité by design se conçoit en réalité comme une sécurité « anytime ». Elle doit être omniprésente. Toutes les personnes ayant un rôle dans la construction et la mise en œuvre de l’infrastructure ou de l’architecture cloud doivent en être conscientes. Cela nécessite de renforcer la sensibilisation à ces thématiques et d’élargir à d’autres profils que ceux dont c’est le métier au quotidien. Tous les profils amenés à construire des infrastructures cloud, ceux qu’on appelle les « cloud builders », constituent la cible prioritaire de ces actions de sensibilisation.

Bien entendu, dans certains contextes, il existe de plus en plus d’équipes où la frontière entre les collaborateurs en charge, d’un côté, de l’infrastructure et, de l’autre, du code est de moins en moins tranchée. C’est notamment le cas des projets d’applications cloud natives / serverless où les deux sont complètement imbriqués. Mais même si l’infrastructure devient de plus en plus proche du code, tous les profils intervenant sur l’infrastructure doivent être mobilisés et pleinement conscients que la sécurité by design est l’affaire de tous.