Cloud Gouvernemental français : Zero Trust pour le cloud de confiance
Le gouvernement français dévoile cette année sa nouvelle stratégie en matière de cloud, basée sur un engagement renouvelé envers la sécurité des données. Cette approche pragmatique pourrait résoudre bien des problèmes, mais l'ombre de Cloudwatt plane encore sur les projets publics de ce type.
Le gouvernement français dévoile cette année sa nouvelle stratégie en matière de cloud, basée sur un engagement renouvelé envers la sécurité des données. Cette approche pragmatique pourrait résoudre bien des problèmes, mais l'ombre de Cloudwatt plane encore sur les projets publics de ce type.
Orange, qui a travaillé sur Cloudwatt, et Capgemini créeront ensemble un prestataire de services appelé Bleu, qui fournira une plate-forme et des services hébergés aux agences d'État, aux autorités et aux hôpitaux français.
La sécurité des données étant au centre des préoccupations, le ministre Bruno Le Maire a promis d'éviter une répétition des échecs du passé en prenant en compte les réalités techniques et les exigences des utilisateurs.
Cette promesse tombe à point nommé : selon l'Agence de l'Union européenne pour la cybersécurité, les cyberattaques ont doublé au cours des 12 derniers mois. Les hôpitaux et les systèmes de santé, qui sont parmi les principaux destinataires du nouveau cloud du gouvernement français, ont subi une augmentation de 47 % des attaques. Selon Risk Based Security, le nombre de dossiers compromis n'a jamais été aussi élevé depuis 2005.
Les attaques se sont multipliées durant les périodes de confinement liées à la Covid-19, les hackers et les logiciels malveillants ciblant les nouveaux espaces numériques déployés dans le monde pour les particuliers et le travail à domicile.
La menace de nouvelles périodes de confinement liées à la Covid a beau se dissiper, le modèle des futures attaques est fixé. Alors que les autorités françaises intensifient leurs efforts en matière de cloud computing, il est utile de comprendre les trois facteurs de vulnérabilité qui intéressent les hackers.
Le modèle des futures attaques
Le premier facteur est la complexité des environnements cloud proposés, avec un nombre croissant de demandes d'accès et de transactions éphémères entre les particuliers et les systèmes et entre les systèmes et d’autres systèmes, couvrant des centaines de milliers d'utilisateurs et de dispositifs. Le défi, c’est de réussir à surveiller et gérer les transactions de manière à autoriser les échanges sûrs et bloquer ceux qui sont suspects.
Viennent ensuite la mise à l'échelle et la diversité. Les infrastructures de cloud couvrent les fournisseurs, les applications et les services, ce qui complique la mise en place de pratiques et de procédures de sécurité homogènes par les équipes IT. Comment ? Certaines failles des systèmes sont ignorées et l’absence d'un correctif logiciel minimal – responsable d'une brèche sur trois – peut vite devenir un cauchemar en matière de sécurité.
Le troisième facteur est la prolifération des secrets. Les noms d'utilisateurs, mots de passe et clés API utilisés pour l'identification, l'authentification et l'autorisation, stockés dans le code, les bases de données, les référentiels et les services comme Dropbox, tombent entre les mains de hackers qui cherchent à entrer à l’intérieur des systèmes et des réseaux pour lancer des attaques et installer des logiciels malveillants. Selon le rapport 2021 de Verizon sur les violations des données disponible ici, 85 % des violations impliquent un élément humain, 61 % impliquant des informations d'identification volées ou perdues.
Protéger les données dans cet environnement tout en conservant les avantages du cloud exige une nouvelle approche de la sécurité. Le modèle traditionnel s'appuie sur une combinaison d'adresse IP autorisée et de pare-feux de périmètre. Avec le cloud, cependant, le périmètre est partout : il concerne chaque application, utilisateur, système et transaction. Et avec des hackers qui exploitent les secrets, l'idée d'une adresse IP autorisée est désormais un leurre.
Une façon plus efficace de sécuriser le cloud est le modèle appelé Zero Trust. Cela signifie, comme son nom l’indique, qu’on ne fait confiance ni aux personnes, ni aux systèmes, ni aux transactions sur le réseau. Toutes les transactions humaines et machine sont soumises à autorisation et vérification. Ce modèle a été adopté cette année par le gouvernement américain : Joe Biden et la Maison Blanche ayant ordonné aux agences de créer un de déploiement d’une architecture Zero Trust dans les deux mois.
Take II avec Zero Trust
Quelles mesures pratiques le gouvernement français peut-il prendre pour atteindre le Zero Trust ?
La première consiste à maîtriser la prolifération des secrets grâce à un système de gestion centralisé. La centralisation permet de suivre et de contrôler les secrets et d'empêcher qu'ils ne tombent entre les mains de hackers. Elle fournit une base pour provisionner les certificats PKI, les données d’accès aux bases de données, les clés API et les mots de passe de manière cohérente pour des centaines de milliers de dispositifs, de transactions et d'utilisateurs. En cas de violation, les équipes informatiques peuvent déterminer qui a obtenu l'accès.
L'exploitation manuelle d'un tel système peut être complexe et fastidieuse. Les autorités françaises doivent donc concevoir des workflows capables de gérer la fourniture et le cycle de vie des secrets. Les workflows permettent aux équipes informatiques de créer, codifier, appliquer et faire respecter les politiques d'accès, émettre des configurations réseau, et sécuriser la connectivité à l'échelle et indépendamment du fournisseur de cloud, des outils ou des applications.
Au cœur d'un système Zéro Trust se trouve un moteur d'automatisation, un système basé sur la machine qui active les workflows et les procédures déclenchés par des événements. Cela permet aux équipes informatiques de travailler de manière efficace à l'échelle souhaitée et de garantir des résultats fiables, en évitant toute intervention humaine.
Conclusion
Le gouvernement français est prêt à réinvestir dans le cloud mais les enjeux de sécurité sont devenus considérablement plus élevés. Tirer les leçons du passé signifie adopter une approche de la sécurité qui offre les avantages du cloud sans compromettre les données de l'État et des citoyens. Une telle approche passe par le Zero Trust.