skip to Main Content
Une sécurité cloud active
Des solutions efficaces pour la sécurité de votre environnement cloud

Le succès des différentes approches de cloud repose sur la standardisation et l’automatisation. L’application rigoureuse de ces recettes au domaine de la sécurité informatique offre également de nombreux avantages. Mais dans quelle mesure une technologie de sécurité automatisée fonctionne-t-elle dans le cloud?

Auteur: Martin Buck, Head of Competence Center Security chez BNC

En examinant les différents rapports de sécurité des environnements de cloud actuels, il apparaît rapidement évident que les fournisseurs de cloud ont acquis une très bonne maîtrise de la sécurité de la plateforme cloud qui relève de leur responsabilité. Pour autant, cela n’empêche pas la presse de relater toutes les semaines de nouvelles attaques couronnées de succès, d’accès non autorisés à des données confidentielles, voire de chantage aux données volées. Les dangers sont d’autant plus grands lorsque les données sont discrètement modifiées, ce qui a alors pour conséquence de réduire à néant ou de manipuler la valeur informative, les prévisions et les conclusions. En outre, l’utilisation d’offres de cloud les plus diverses entraîne la dissémination des données et rend leur protection complexe et difficile à assurer.

La dimension du problème

Si l’on prend pour base par exemple le cloud Threat Report de Unit42 du printemps 2020, les chiffres clés suivants sont mis en évidence:

  • 43 % des bases de données cloud ne sont pas chiffrées, facilitant ainsi la tâche des pirates qui cherchent à s’approprier des données.
  • 60 % des services de stockage cloud ont désactivé l’historique des évènements, rendant alors impossible la traçabilité des accès autorisés et non autorisés.
  • 76 % des organisations ne limitent pas l’accès au port SSH et permettent donc à chacun un accès administratif.

Tous les problèmes précités pourraient être réglés en un seul clic par instance dans l’environnement cloud. Mais ils peuvent être réactivés tout aussi facilement. Le morcellement de l’administration et de la responsabilité rend nécessaire une nouvelle approche de la sécurité pour toutes les parties prenantes.

Ainsi, en août 2018, Gartner arrivait déjà à la conclusion qu’en 2022, c’est le client qui serait responsable d’au moins 95 % des incidents de sécurité dans le cloud, et non le fournisseur de cloud.

Solutions efficaces

L’assouplissement du périmètre de l’entreprise et l’adaptation des offres de cloud représentent un projet informatique de grande ampleur et doivent être traités comme tel. Un tel projet nécessite tout d’abord une stratégie permettant de fixer un cap. Pour sa mise en œuvre, il convient ensuite de définir et de contrôler un certain nombre de mesures. Compte tenu de la grande diversité des offres de cloud, il n’existe pas de plan uniforme susceptible de s’appliquer à la majorité des utilisateurs de cloud. Il existe en revanche des solutions qui mettent à disposition des méthodes de sécurité informatique adaptées aux différents scénarios d’utilisation. Ces méthodes peuvent ensuite être mises en œuvre en étant spécialement optimisées pour chaque organisation. Dans l’ensemble, les variantes de cloud se subdivisent comme suit:

  • IaaS (Infrastructure as a Service) – l’infrastructure en tant que service repose sur l’exploitation de machines virtuelles avec une infrastructure similaire à celle du centre de calcul du client
  • PaaS (Platform as a Service) – la plateforme en tant que service repose sur l’exploitation de conteneurs
  • Serverless Computing – l’informatique sans serveur repose exclusivement sur le déploiement de code, et pas sur des machines virtuelles ou des conteneurs
  • SaaS (Software as a Service) – les logiciels en tant que service consistent en la mise à disposition d’applications tout entières

Plus on passe de l’IaaS au SaaS, plus la responsabilité assumée par le fournisseur de cloud est importante. En revanche, il sera également de plus en plus difficile de contrôler les utilisateurs qui accèdent aux données, et depuis quel emplacement.

Sécurité IaaS et PaaS

La sécurité IaaS et la sécurité PaaS présentent de nombreux autres points communs. Il existe un autre type de périmètre de clients de cloud susceptible d’être utilisé efficacement pour prendre en charge le contrôle d’accès et la validation des contenus avec des moyens similaires à ceux qu’offre l’informatique traditionnelle. Le PaaS nécessite toutefois la mise en œuvre de mesures spécifiques supplémentaires pour garantir la sécurité des conteneurs. Ces mesures destinées aux plateformes IaaS et PaaS peuvent être utilisées pour un cloud privé dans le propre centre de calcul du client, exactement de la même manière que dans le cloud public. Le facteur de réussite décisif repose ici sur l’automatisation, laquelle présuppose un certain niveau de standardisation. Nous distinguons les mesures importantes suivantes dans ce domaine:

  • Contrôle d’accès – pare-feu, authentification stricte et autorisation
  • Contrôle des contenus – pare-feu avec fonctions de couche 7 ou autres passerelles de sécurité
  • Zonage – séparation des applications et de leurs blocs fonctionnels
  • Inventorisation – reconnaissance automatique et classification des nouvelles instances
  • Abstraction des règles – les règles de sécurité ne sont pas fondées sur les adresses IP, mais automatiquement adaptées à des propriétés fonctionnelles et des classifications
  • Gestion des vulnérabilités – les vulnérabilités des systèmes, comprenant également les couches relatives aux conteneurs notamment, font automatiquement l’objet d’un contrôle avant même le déploiement ou pendant celui-ci
  • Vérification de la configuration cloud – la vérification automatique de la configuration adéquate de l’ensemble des actifs informatiques est essentielle

Dans les environnements multicloud, notamment, ces mesures peuvent représenter un défi.

Sécurité du Serverless Computing

Avec le Serverless Computing, qui repose souvent sur l’utilisation de microservices, il n’existe plus de périmètre défini. Celui-ci ne peut être créé qu’au moyen de contrôles d’accès adaptés et stricts par le client lui-même. En outre, la sécurité du code revêt une importance considérable, dans la mesure où l’accès à d’autres ressources ne peut être que difficilement contrôlé. Les mesures et questions décisives sont les suivantes:

  • Vérification du code – la qualité du code est-elle adéquate ou les saisies sont-elles par exemple vérifiées de manière incorrecte?
  • Sécurité des dépendances – les bibliothèques sont-elles par exemple reliées à des failles de sécurité connues?
  • Sécurité du référentiel – la source du code est-elle fiable? Qui y a accès et qui a été le dernier à modifier le code?
  • Contrôles d’accès – quelles fonctions peuvent être appelées par telle ou telle fonction, et depuis quel emplacement est-il possible d’accéder aux données?
Sécurité SaaS

Les applications SaaS permettent la mise à disposition de l’ensemble de l’application; l’accès se fait souvent via un navigateur. Chaque entreprise utilise aujourd’hui des applications SaaS – peut-être n’en sont-elles pas toujours conscientes. Les applications les plus répandues sont celles destinées au travail à plusieurs sur les fichiers, les systèmes collaboratifs et de vidéoconférence, les plateformes RH, CRM et de support, les environnements de développement et bien d’autres encore. C’est pourquoi il est particulièrement important de garder une vue d’ensemble et de prendre des mesures adéquates pour assurer la protection de l’accès et la sécurité des données. Il convient pour cela de prendre en compte les aspects suivants:

  • Détecter le «shadow IT» – quelles offres SaaS sont utilisées?
  • Contrôler les exigences de protection des données – l’utilisation des applications est-elle légalement autorisée?
  • Contrôles d’accès – qui a le droit d’accéder à telle ou telle partie applicative, et depuis quel emplacement?
  • Authentification forte – empêcher l’utilisation abusive de données d’accès volées
  • Contrôle des contenus – les contenus malveillants sont-ils tous stockés dans le SaaS (par exemple les e-mails de phishing, les logiciels malveillants dans le dossier partagé)
  • Contrôle de la transmission des données – quelles données peuvent être partagées et avec qui? Les liens de partage publics sont particulièrement problématiques

Pour pouvoir mettre en œuvre ces mesures de protection, il est nécessaire d’obtenir l’assistance du fournisseur de SaaS. Il doit mettre à disposition les fonctions API concernées afin de pouvoir garantir la sécurité des données du client.

Rassembler tous les services sous un même toit

Aujourd’hui, les différentes formes de cloud nécessitent différentes mesures de protection et de contrôle. Une telle initiative paraît très complexe. Fort heureusement, les principaux fournisseurs de sécurité informatique ont désormais rassemblé de nombreuses fonctions spéciales au sein d’une interface unique, permettant ainsi de gérer les différentes exigences relatives aux offres de cloud de manière centralisée et de créer des rapports de sécurité consolidés. C’est là le seul moyen de tirer profit des nombreux avantages offerts par le cloud en toute sécurité tout en évitant une trop grande sollicitation des départements de sécurité informatique et administratif.

Back To Top
×Close search
Rechercher