Migration vers le cloud : le chemin le plus rapide n'est bien souvent pas le plus sécurisé

L'usage du cloud n'a cessé de croître ces dix dernières années. Partout dans le monde, de plus en plus d'entreprises profitent de sa souplesse et de son évolutivité - notamment pour faire face à la pandémie de Covid-19 et au recours massif au télétravail, puis pour accompagner la force de travail hybride depuis l'assouplissement des restrictions.

Faire évoluer rapidement un environnement cloud tout en en assurant la cybersécurité n’est pas une tâche facile. Avec la multiplication des cybermenaces, la pénurie de compétences IT et le volume sans précédent de données qui assaille les analystes de sécurité, de nombreux facteurs doivent être pris en considération afin de migrer vers le cloud en toute sécurité.

Ne pas choisir le chemin de la facilité

70 % des décideurs IT estiment que les questions de sécurité sont un frein à l’adoption du cloud public par leur entreprise. Beaucoup s’inquiètent en effet de ne pas disposer de l’expertise nécessaire pour les traiter efficacement. Il faut dire que les entreprises peinent à recruter les bons profils, victimes de la pénurie de compétences en cybersécurité qui sévit depuis plusieurs années, notamment dans le domaine de la sécurité du cloud. Pour faire face à l’augmentation du nombre des menaces et à leur sophistication, les entreprises déploient toujours plus d’outils ponctuels de sécurité du cloud. Mais cette approche ne fait qu’ajouter une couche de complexité, rendant les entreprises encore plus vulnérables.

Il est tout à fait compréhensible que les professionnels IT veuillent configurer et sécuriser leur environnement cloud. Mais sous la pression, les équipes informatiques pourraient être tentées d’opter pour des solutions plus rapides mais plus risquées, et de mettre en œuvre des applications qui ne sont pas totalement adaptées à leur entreprise. L’approche “Lift and Shift”, qui consiste à simplement déplacer les applications hébergées sur des serveurs sur site vers l’environnement cloud, est ainsi malheureusement très répandue. Ce n’est pas la meilleure solution en termes de sécurité. Cela peut même, en réalité, augmenter les risques. L’inconvénient majeur de cette pratique est en effet que ces applications n'ont jamais été conçues pour fonctionner dans un environnement cloud, qu'elles seront donc dépourvues de capacités d'observabilité, et qu’elles vont risquer de compromettre sérieusement la sécurité du cloud.

De plus, le processus de migration va progressivement s’immobiliser lorsque la visibilité sera réduite, et les équipes perdront leur capacité à surveiller toutes les données en mouvement. Sans une vue claire sur le trafic, l'infrastructure cloud peut être victime de mauvaises configurations, d'inefficacités et de vulnérabilités facilement pénétrables. Il est donc essentiel que les équipes informatiques évitent à tout prix d'introduire des applications non cloud-native dans l'environnement cloud. 

L’observabilité est indispensable

La visibilité est essentielle lorsqu'il s'agit de gérer et de protéger les données dans le cloud. Les entreprises éprouvent plus que jamais le besoin d’évoluer et d’être sécurisées. Mais, avec la complexité toujours plus grande de l’informatique, il devient encore plus difficile, voire impossible, de gérer ce que l'on ne voit pas. Sans analyse de données et sans visibilité, les équipes SecOps peuvent être incapables de détecter les menaces les plus critiques qui mettent en danger leur infrastructure.

Face à la complexité actuelle des menaces, il n'est que trop fréquent que les attaques "déjà connues" et moins graves soient détectées, tandis que les "inconnues" - les attaques "Zero Day" - passent inaperçues. Les RSSI et leurs équipes SecOps doivent donc privilégier une nouvelle approche qui consiste à analyser les anomalies dans les données et les comportements. Si les attaques de type "Zero Day" échappent généralement aux outils traditionnels, une meilleure visibilité du cloud améliore considérablement les chances de détection précoce, et les solutions automatisées de machine learning peuvent détecter les comportements inhabituels et les signaler comme des alertes à haut risque pour que les équipes SecOps prennent des mesures. En mettant en œuvre des technologies autonomes qui s'éloignent de l'approche traditionnelle de la sécurité, la pression sur la main-d'œuvre humaine est grandement soulagée.

En définitive, la sécurité du cloud ne peut être efficace sans une visibilité totale sur le cloud. De nombreuses équipes CloudOps envisagent également la mise en œuvre d'agents logiciels fonctionnant de manière autonome dans les environnements cloud et conteneurisés. Ces agents collectent des données à partir de la charge de travail s'exécutant dans les environnements cloud, créant des points de référence et des visualisations de la charge de travail en constante évolution. Ils peuvent en tirer des informations et donner l'alerte en cas d'indices de compromission. Là encore, cette technologie est non seulement essentielle pour permettre une meilleure visibilité, mais aussi pour améliorer la sécurité du cloud et venir en soutien aux équipes informatiques déjà surchargées.

L’approche “Lift and Shift” est susceptible de perdurer tant que nous serons dans une phase d’accélération de la transformation numérique. Il est donc essentiel que les équipes se souviennent que le transfert d'applications non cloud-native dans un environnement cloud ne fera qu'ouvrir la porte à davantage de risques. Alors que la pression monte pour les équipes DevSecOps, il est compréhensible que beaucoup cherchent le chemin le plus rapide vers l'adoption du cloud. Pourtant, rapide n'est pas toujours synonyme de sécurité, et il est donc essentiel que la visibilité et l'automatisation soient considérées comme faisant partie intégrante du monde du cloud.