Sécurité

Quelles sont les spécificités de la sécurité dans le cloud ?

La sécurité dans le cloud correspond à la protection des données, applications et infrastructures impliquées dans le cloud computing. Plusieurs aspects de la sécurité dans les environnements cloud (public, privé ou hybride) sont similaires à ceux d'une architecture sur site.

Certains problèmes de sécurité critiques (tels que l'exposition et la fuite de données sensibles, les contrôles d'accès faibles, la vulnérabilité aux cyberattaques, les interruptions de la disponibilité) affectent les systèmes traditionnels aussi bien que les systèmes cloud. Pour assurer la sécurité dans le cloud, comme dans n'importe quel autre environnement informatique, vous devez prévoir des mesures de protection adéquates pour :

  • garantir la sécurité des données et des systèmes ;
  • connaître l'état actuel de la sécurité ;
  • détecter immédiatement tout événement inhabituel ;
  • suivre les événements inattendus et réagir.

Origine des spécificités de la sécurité dans le cloud

Si de nombreux utilisateurs comprennent les avantages du cloud computing, ils se laissent souvent dissuader par les menaces qui le guettent. Nous sommes bien conscients qu'il est difficile d'appréhender quelque chose qui existe quelque part entre des ressources immatérielles envoyées sur Internet et un serveur physique. Il s'agit d'un environnement dynamique où tout évolue en continu, à l'instar des menaces qui pèsent sur la sécurité. Pourtant, dans l'ensemble, la sécurité dans le cloud équivaut à la sécurité informatique. Une fois que vous avez compris les différences, le terme « cloud » ne semble plus aussi dangereux.

Périmètres mouvants

La sécurité rime souvent avec accès. Dans les environnements classiques, les accès sont habituellement contrôlés à l'aide d'un modèle de sécurité du périmètre. Les environnements cloud sont hautement connectés. Pour le trafic, il est donc facile de contourner les défenses classiques du périmètre. API non sécurisées, solutions de gestion des identités et des identifiants peu efficaces, vols de comptes, utilisateurs malintentionnés sont autant de menaces pour le système et les données. Pour empêcher les accès non autorisés dans le cloud, il faut adopter une approche centrée sur les données. Chiffrez les données, renforcez les processus d'autorisation, exigez l'utilisation de mots de passe complexes, optez pour l'authentification à deux facteurs, intégrez la sécurité à tous les niveaux.

Le « tout logiciel »

Le « cloud » correspond aux ressources hébergées qui sont distribuées à un utilisateur via un logiciel. Les infrastructures de cloud computing (ainsi que les données traitées) sont dynamiques, évolutives et portables. Par conséquent, les contrôles de sécurité dans le cloud doivent s'adapter aux variables environnementales et protéger les charges de travail et les données, au repos et pendant leur transit, qu'elles fassent partie des charges de travail (par exemple pour le chiffrement) ou qu'elles fonctionnent de manière dynamique via un système de gestion du cloud et des API. Ainsi, vous pouvez éviter la corruption des systèmes et les pertes de données dans votre environnement cloud.

Menaces sophistiquées

Les menaces sophistiquées correspondent à tout ce qui affecte négativement les systèmes informatiques modernes, y compris, bien évidemment, les clouds. Certains logiciels malveillants de plus en plus sophistiqués et autres attaques, telles que les APT (Advanced Persistent Threats), sont conçus pour contourner les défenses du réseau en ciblant les vulnérabilités de la pile informatique. Une fuite de données peut entraîner la divulgation d'informations confidentielles et la falsification de données. Il n'existe pas de solution miracle pour contrer ces attaques. Vous devez donc rester au fait des dernières pratiques en matière de sécurité dans le cloud à mesure qu'elles évoluent pour suivre le rythme des menaces émergentes.


La sécurité du cloud est une responsabilité partagée

Quel que soit le cloud que vous avez choisi de déployer, vous êtes responsable de la sécurité de votre espace au sein de ce cloud. Vous avez opté pour un cloud géré par un prestataire tiers ? Attention, cela ne signifie pas pour autant que vous pouvez vous en désintéresser. Les failles de sécurité découlent souvent d'un manque de précautions. La sécurité du cloud concerne tout le monde et pour vous en assurer, appliquez les principes de précaution suivants :

Utiliser des logiciels fiables

Le contenu de votre cloud a de l'importance. Comme pour n'importe quel code que vous téléchargez à partir d'une source externe, vous devez chercher à savoir d'où viennent les paquets que vous téléchargez, qui les a créés et s'ils contiennent du code malveillant. Téléchargez vos logiciels à partir de sources fiables et connues et assurez-vous qu'ils incluent des mécanismes pour récupérer et installer les mises à jour au moment opportun.

Comprendre les exigences en matière de conformité

Les données personnelles, financières et autres informations sensibles peuvent être soumises à des réglementations strictes. Les lois varient en fonction de l'endroit où vous menez vos activités (et des parties prenantes avec lesquelles vous les menez). Par exemple, dans l'Union européenne, c'est le Règlement général sur la protection des données (RGPD) qui s'applique. Vérifiez bien les exigences en matière de conformité qui vous concernent avant de choisir votre cloud.

Gérer les cycles de vie

Dans un environnement cloud, il est facile de déployer de nouvelles instances, mais aussi d'oublier celles qui s'y trouvent déjà. Les instances négligées (actives, mais non surveillées) peuvent devenir dangereuses, car elles deviennent très vite obsolètes et ne bénéficient plus de nouveaux correctifs de sécurité. Pour éviter cette situation, optez pour une solution de gestion et de surveillance du cycle de vie.

Envisager la portabilité

Êtes-vous en mesure de déplacer facilement vos charges de travail d'un cloud à un autre ? Les contrats de niveau de service doivent définir clairement quand et comment le fournisseur de cloud doit transférer les données ou applications aux clients. Même si vous n'envisagez pas de migration à court terme, la situation finira probablement par se produire. Évitez les futurs problèmes de dépendance en réfléchissant dès aujourd'hui à la portabilité des applications.

Assurer une surveillance en continu

En surveillant ce qui se passe dans vos environnements de travail, vous pouvez éviter les failles de sécurité ou du moins en réduire les effets négatifs. Une plateforme de gestion du cloud unifiée (Red Hat CloudForms par exemple) peut vous aider à surveiller l'intégralité des ressources présentes dans votre environnement.

Choisir les bons collaborateurs

Choisissez des partenaires et des collaborateurs fiables et qualifiés, qui comprennent la complexité inhérente à la sécurité dans le cloud. Il arrive qu'une infrastructure de cloud public puisse être plus sécurisée que le cloud privé d'une entreprise, car le fournisseur de cloud public dispose d'une équipe chargée de la sécurité mieux informée et qualifiée.


Les clouds publics sont-ils vraiment sûrs ?

C'est une bonne question, alors parlons-en. Nous avons déjà abordé les différences entre les trois clouds (public, privé, hybride), mais ce qui vous préoccupe vraiment, c'est la sécurité au sein des clouds publics. Sachez que tout dépend de leur utilisation.

Les clouds publics sont suffisamment sécurisés pour la plupart des charges de travail, mais ils ne sont pas pour autant adaptés à tous les cas, notamment parce qu'ils ne sont pas isolés comme les clouds privés. Un cloud public vous permet de prendre en charge plusieurs clients. En d'autres termes, vous pouvez « louer » de la puissance de calcul (ou de l'espace de stockage) auprès du fournisseur de cloud en même temps que d'autres « clients ». Chaque client signe avec le fournisseur de cloud un contrat de niveau de service qui indique les responsabilités de chacun. Le principe est le même que pour la location d'un appartement auprès d'un propriétaire. Le propriétaire (fournisseur de cloud) s'engage à entretenir le bâtiment (infrastructure cloud), à conserver les clés (accès), sans pour autant s'immiscer dans la vie privée (confidentialité) du locataire (client). En retour, le locataire promet d'éviter toute action susceptible de corrompre l'intégrité du bâtiment ou de déranger les autres locataires (par exemple exécuter des applications non sécurisées). Malheureusement, vous ne choisissez pas vos voisins et il n'est pas exclu que l'un d'eux laisse un jour entrer une personne malveillante. Même si l'équipe chargée de la sécurité de l'infrastructure chez le fournisseur de cloud surveille tout événement inhabituel, certaines attaques agressives ou discrètes (par exemple les attaques par déni de service distribuées ou DDoS) peuvent toujours affecter les autres clients.

Heureusement, vous pouvez compter sur plusieurs normes de sécurité, réglementations et structures de contrôle reconnues par le secteur, notamment la matrice CCM (Cloud Control Matrix) de la Cloud Security Alliance (CSA). Vous pouvez également vous isoler au sein d'un environnement multi-client en déployant certaines mesures de sécurité supplémentaires (comme le chiffrement ou des techniques de mitigation de DDoS) qui protègent les charges de travail sur une infrastructure compromise. Et si cela ne suffit pas, vous pouvez déployer des solutions CASB (Cloud Access Security Brokers) pour surveiller les activités et renforcer les politiques de sécurité pour les fonctions d'entreprise peu risquées. Toutefois, toutes ces précautions ne suffisent souvent pas dans les secteurs régis par des règles de confidentialité, de sécurité et de conformité très strictes.

Limiter les risques avec le cloud hybride

Les décisions en matière de sécurité dépendent fortement du niveau de tolérance aux risques et de l'analyse coûts-avantages. De quelle manière les risques et les avantages potentiels peuvent-ils affecter l'état global de votre entreprise ? Quelles sont les priorités ? Toutes les charges de travail ne nécessitent pas le même niveau de chiffrement et de sécurité. Prenons un exemple concret : en verrouillant la porte de votre domicile, vous mettez tous vos biens en sécurité, mais cela ne vous empêche pas d'enfermer quand même vos objets de valeur dans un coffre-fort. Il est toujours intéressant de disposer de plusieurs options

et c'est exactement pour cette raison que de nombreuses entreprises se tournent aujourd'hui vers les clouds hybrides, qui vous offrent tous les avantages de tous les types de clouds. En effet, les clouds hybrides vous donnent la possibilité de répartir vos charges de travail et vos données en fonction des exigences en matière de conformité, d'audit, de politique ou de sécurité. Vous pouvez ainsi protéger les charges de travail sensibles dans un cloud privé et exécuter les charges de travail moins critiques dans un cloud public. Bien qu'il existe quelques problèmes de sécurité spécifiques au cloud hybride (comme la migration des données, l'accroissement de la complexité et l'élargissement de la surface d'attaque), la présence de plusieurs environnements constitue une barrière solide contre les risques de sécurité.


Découvrez les solutions qui vous aideront à sécuriser votre cloud

Solution complète de cloud privé IaaS qui assure une gestion fluide des déploiements de clouds publics et privés.

Ensemble unifié de fonctions de gestion pour les plateformes de virtualisation, de cloud privé, de cloud public et de cloud hybride.

Système logiciel d'entreprise qui offre une architecture sécurisée et évolutive, qui permet de définir et de gérer les identités vérifiées ainsi que de garantir la confidentialité des communications.

Registre réseau indépendant du système d'exploitation, qui permet aux administrateurs de stocker de façon centralisée les informations relatives à l'identité des utilisateurs et aux applications.

Vous ne savez pas encore tout sur la sécurité...