En diversifiant leurs fournisseurs de cloud, les entreprises multiplient les risques d’accès à leurs applications par des pirates. Contrôles d’accès fondés sur les rôles, micro-segmentation réseau, chiffrement des données, certifications… Voici quelques points de vigilance à garder en tête et bonnes pratiques à mettre en œuvre.
Selon une étude de Markess by exaegis menée auprès de 120 DSI et CTO, 51 % des décideurs interrogés confient qu’ils vont avoir de plus en plus recours à différentes formes de cloud (différents IaaS publics, IaaS public avec IaaS privé, etc.).
Pour les personnes interrogées, cette stratégie multi-cloud et cloud hybride apporte de nombreux bénéfices : agilité, accès à des services innovants (data analytics, intelligence artificielle / machine learning, nouvelle génération de bases de données…), plus grande réactivité dans les réponses aux demandes des clients internes, possibilité de conserver des environnements on premise pour certaines activités non éligibles au cloud ou encore indépendance face à un prestataire unique de cloud.
Mais selon l’édition 2020 du Cloud Security Report publié par Check Point et Cybersecurity Insiders, 75 % des répondants déclarent être très préoccupés par la sécurité du cloud. Et toujours selon ce rapport, plus de trois solutions cloud sont déployées dans les organisations déclarant s’appuyer sur des solutions multi-cloud.
La maîtrise de la complexité des différents types de cloud exige une expertise qui n’est pas encore si courante sur le marché. Certes, les différentes plateformes de cloud ont des points communs mais il est nécessaire de s’approprier un certain nombre de caractéristiques techniques propres à chacune d’entre elles si l’on souhaite éviter tout risque de sécurité. En outre, appliquer les bonnes pratiques suivantes permet de faire face à ce nouvel enjeu.
- Privilégier les contrôles d’accès fondé sur les rôles
Le contrôle d’accès fondé sur les rôles, ou RBAC (Role-based access control) permet de n’accorder des délégations que selon les principes du moindre privilège et sur le plus petit périmètre possible.
Pour contrer toute utilisation abusive des droits des utilisateurs à privilège, il est important de mettre en place au sein du système d’information un certain nombre de contrôles. Il faut tout d’abord commencer par l’enregistrement des sessions provenant d’utilisateurs à privilèges, puis intégrer ces accès au sein du SIRH de l’entreprise et, enfin, procéder à la détection des comptes utilisateurs atypiques.
- Déployer la micro-segmentation réseau
La micro-segmentation est une technique de sécurité appliquée au réseau. Elle est à la base même de l’approche « zéro confiance » (ou « zero trust » en anglais) qui postule qu’aucun utilisateur ni service n’est digne de confiance à 100 %. Elle permet de diviser une infrastructure cloud en différentes sections logiques tenant compte des charges de travail et de définir des contrôles de sécurité pour chacun des segments définis.
Dans les environnements cloud, les technologies de micro-segmentation peuvent être abordées sous deux angles principaux : grâce à des agents ou via des composants hyperviseurs. L’utilisation d’agents permet de vérifier les caractéristiques des workloads (versions, OS, communications actives…). Les solutions de micro-segmentation peuvent également s’appliquer aux composants de l’hyperviseur, notamment lorsque l’infrastructure est équipée de la plate-forme de virtualisation du réseau et de la sécurité VMWare NSX.
- Chiffrement des données au repos
Le chiffrement des données au repos diminue fortement les risques de perte (suite à un vol de données ou une violation de sécurité) et limite la surface d’attaque. Car même si la sécurité des couches matérielles et logicielles inférieures est compromise (via un accès physique à l’infrastructure par exemple), les données continuent d’être protégées.
L’utilisation d’un chiffrement symétrique permet de chiffrer et déchiffrer de grandes quantités de données tout en gardant une grande rapidité d’exécution. Cette technologie permet également de partitionner les données, des clés différentes pouvant être utilisées pour chaque partition.
- S’assurer du respect des principaux standards
Lors du choix d’un ou de plusieurs fournisseurs de cloud, s’assurer que les services proposés répondent aux principaux standards en vigueur est incontournable. Il peut s’agir de la conformité à la norme PCI DSS (Payment Card Industry Data Security Standard) qui s’applique à l’industrie des cartes de paiement. Ou de la certification ISO 27001, norme internationale relative à la sécurité des systèmes d’information.
La liste des certifications qu’un fournisseur de cloud peut posséder est longue, elle peut s’étendre aux systèmes de management de la qualité comme ISO 9001:2015 ou aux systèmes de management environnemental (SME) avec la norme ISO 14001:1015.
- Créer une relation de proximité avec ses fournisseurs
Un fournisseur de cloud n’est pas un fournisseur comme un autre. Il est important d’établir une relation de proximité avec lui et de mettre en place des processus de reporting et d’échanges réguliers. Ces derniers peuvent d’ailleurs être prévus dans le cadre du contrat de SLA (Service Level Agreement). La transparence est un facteur clé de réussite de la collaboration sur le long terme et un critère de sécurité non négligeable.
Il faut par ailleurs être certain que la stratégie du fournisseur de cloud est bien en phase avec celle de l’entreprise. Si le fournisseur envisage de se faire racheter (notamment par un acteur étranger), il est nécessaire d’en être informé dans les grandes lignes en amont, même si ce type d’information reste généralement confidentiel jusqu’au dernier moment. Le côté humain est donc déterminant dans la relation que l’on entretient avec un ou plusieurs fournisseurs de service cloud.
Par Fabien Azra, juin 2021