Sécurite du Cloud : Une responsabilité partagée

La sécurité du cloud regroupe l’ensemble des mesures (politiques, technologies, contrôles, etc.) mises en place pour protéger les données, les applications et les infrastructures liées à l’exploitation du cloud computing.

Pour gagner en agilité et réduire leurs coûts, les entreprises répartissent de plus en plus leurs applications cloud (et les données associées) sur divers environnements. Clouds privés, clouds publics (hybrides ou dédiés), applications SaaS… chaque environnement possède ses propres avantages, mais soulève également des questions de sécurité.

Inquiètes de voir leurs données exposées, les entreprises ont fait de la sécurité du cloud une priorité absolue. Pour elles, l’enjeu consiste donc à trouver un point d’équilibre entre leur besoin d’agilité et celui de renforcer la sécurité des applications et des données qui transitent d’un cloud à un autre. Bref, il est désormais capital de pouvoir à la fois gagner en visibilité et bloquer les tentatives d’exfiltration (via des attaques extérieures et des mouvements latéraux sur le réseau), quel que soit l’emplacement des données et des applications.

Selon les entreprises, la sécurité du cloud peut incomber à différentes fonction et équipes de l’organisation : réseau, sécurité, conformité, applications ou infrastructures. Toutefois, il s’agit aussi et avant tout d’une responsabilité partagée entre l’entreprise et son fournisseur cloud.

Cloud privé – Réseau physique, infrastructure, hyperviseur, réseau virtuel, systèmes d’exploitation, pare-feu, configuration de service, gestion des accès et des identités... l’entreprise est responsable de tous les aspects de la sécurité d’un cloud privé car elle l’héberge dans ses propres data centers. Elle est également la propriétaire et la dépositaire des données, et en assure la sécurité.

Cloud public – Lorsqu’une entreprise exploite un cloud public comme AWS® ou Microsoft® Azure™, le fournisseur est le propriétaire de l’infrastructure, de l’hyperviseur et du réseau physique. L’entreprise, elle, reste propriétaire et responsable des données, des applications, du réseau virtuel, du système d’exploitation et des accès au compte/à l’environnement.

SaaS – Les fournisseurs de solutions Software-as-a-Service sont avant tout responsables de la sécurité de leur plateforme (environnement physique, infrastructure, applications, etc.). Ils ne sont ni propriétaires des données du client, ni responsables de la manière dont les clients utilisent les applications. De fait, il incombe à l’entreprise de réduire au maximum les risques d’exfiltration de données, d’exposition accidentelle et d’infiltration de malwares.

À mesure que les entreprises migrent d’un environnement de cloud privé vers un cloud public ou des applications SaaS, une part croissante de la sécurité des données, des infrastructures et des applications est transférée vers les fournisseurs. Toutefois, elles restent entièrement responsables de la sécurité de leurs propres données, indépendamment de la plateforme utilisée.

Les fournisseurs cloud doivent mettre en place des mesures de protection appropriées des données et des applications. Pour les équipes informatiques, c’est une condition essentielle à des déploiements applicatifs en toute sécurité. Pour assurer la sécurité des éléments sortant du champ de responsabilité du fournisseur, notamment les données, l’entreprise doit elle aussi se doter d’outils efficaces de gestion du risque. Ces outils doivent fournir 1) une visibilité sur l’activité au sein des applications SaaS : 2) des analyses détaillées des modes d’utilisation pour prévenir les risques de violation et de non-conformité ; 3) des contrôles de politiques basés sur le contexte pour assurer une mise en quarantaine en cas de violation ; et enfin 4) une Threat Intelligence en temps réel sur les menaces connues et inconnues pour éviter l’apparition de nouveaux points d'entrée pour les malwares.