questions_sécurité_cloud

10 avril 2023

L'adoption massive du Cloud par les entreprises n'a pas réduit les inquiétudes sur la sécurité : il y a encore quelques réticences à évoluer vers le Cloud, notamment venant de secteurs très réglementés comme la Finance ou la Santé. Quelles sont les grandes questions de sécurité dans le cloud ?

Qu'est-ce que la sécurité dans le Cloud ?

Depuis quelques années, les entreprises ont repensé leur infrastructure IT dans l’optique de rester compétitives. Elles ont ainsi fait la balance entre garder leurs ressources informatiques on-premise ou bien migrer vers des Cloud Providers.

La sécurité dans le Cloud est une discipline qui provient de la cybersécurité. Elle est dédiée à la sécurisation des systèmes IT dans le Cloud. Son objectif est de conserver la confidentialité et garantir la sécurité des données et des applications.

Vous entendrez d'ailleurs souvent parler de DevSecOps, c'est la collaboration entre les développeurs, les ops et les équipes de sécurité. Ce qui est essentiel pour établir une bonne stratégie de sécurité dans son entreprise.

De façon générique, la sécurité dans le cloud permet entre autres de protéger les éléments ci-dessous :

  • Serveur de données
  • Les informations stockées
  • Les applications 

Sécurité on-premise vs sécurité Cloud

L’une des premières questions qui émerge concerne la différence de sécurité entre du Cloud et du on-premise

on-premise

Lorsque l’on parle d’on-premise, on sous-entend que les serveurs ainsi que les données sont localisés au sein des entreprises. Les entreprises possèdent alors un service IT interne qui s’occupe de la gestion et la maintenance du réseau.

Si la sécurisation des données sensibles (ou moins sensibles) peut sembler optimale, car gérée par l’entreprise, il s'avère pourtant que la plupart des systèmes sur du on-premise ne sont pas équipés afin d’assurer un haut niveau de sécurité sur différentes couches système (infra, réseau, application, données).

Par ailleurs, il est à souligner que les investissements de base sont conséquents et que la scalabilité de l’infrastructure reste complexe et inclut des coûts additionnels.

Gérer sa sécurité sur une infrastructure on-premise permet d’avoir certes un niveau de personnalisation élevé, mais demande en contrepartie d’avoir au sein de ses équipes, des personnes expertes dans le domaine de la sécurité.

security

La sécurité dans le Cloud réside sur un modèle de responsabilité partagée dont nous reparlerons plus bas. Aujourd’hui, les Cloud Providers offrent un système de base sécurisé, régulièrement mis à jour pour pallier les attaques potentielles.

Les services basés sur le cloud public impliquent de faire confiance à un tiers avec vos datas les plus précieuses, mais d'un autre côté, ce sont des experts sur lesquels s’appuyer.

Enfin, il est important de s’assurer que votre fournisseur de Cloud permet le respect des réglementations nécessaires sur les aspects de compliance (à trouver dans le réglement général).

Quelle est la responsabilité de l’entreprise pour la sécurité sur le Cloud ?

La seule responsabilité de la sécurité du Cloud n’incombe pas exclusivement au Provider, alors que les données et les applications sont déplacées vers celui-ci.

La migration vers le Cloud nécessite pour l’entreprise d’entreprendre des actions pour protéger les serveurs, le stockage, les applications ainsi que les données.

Les fournisseurs de services Cloud vont offrir des contrôles de sécurité assez robustes suivant l’offre de prestation choisie. Mais l’entreprise reste tributaire de protéger ses actifs.

Si on prend l’exemple avec AWS comme Provider :

aws_security

  • AWS va être responsable pour la sécurité du Cloud et donc de la protection des infrastructures qui utilisent les services proposés par AWS.

  • La responsabilité du client quant à lui sera déterminée suivant les services Cloud AWS choisis. Les services déterminent le niveau de configuration que le client devra effectuer dans le cadre de sa responsabilité en matière de sécurité. 

Quelles sont les menaces de sécurité dans le Cloud auxquelles se préparer ?

Une seconde question se pose : la nature des menaces de sécurité à laquelle on doit se préparer lorsque l’on migre vers le Cloud.

Si le Cloud est considéré comme sécurisé, les entreprises sont aujourd’hui sous la menace croissante de malwares, d’attaques de virus ou bien de brèches au niveau réseau.

Bien entendu, les menaces dépendent en partie de l'architecture existante, de la base de données, des applications et de la nature en elle-même de l’entreprise.

Les principales menaces de sécurité sont les suivantes :

  • Interfaces et API non sécurisées
  • Mauvaise configuration de la plateforme
  • Violations, pertes et fuites de données
  • Détournement de comptes
  • Menaces internes

En résumé, les menaces de sécurité restent assez similaires sur du on-premise ou sur du Cloud. Les providers sont responsables de la sécurité de leurs services et sont aussi en capacité de détecter les attaques qui ne dépendent non pas de leur scope mais de celui de l’entreprise.

Enfin, L’une des choses les plus dommageables, c’est le manque de compétences des équipes IT dans les technologies Cloud qui peut fragiliser la sécurité des infrastructures.

Existe-t-il des stratégies ou des outils pour avoir un Cloud sécurisé ?

Il existe différentes stratégies qui peuvent être mises en place afin de garantir la sécurisation de votre Cloud :

  • Avoir un système de gestion des identités et des accès (IAM) bien implémenté permettant de contrôler l'accès à la donnée et de définir des droits. Une authentification forte ou à deux facteurs est une pratique largement recommandée 

  • Installer des systèmes de détection et prévention :
    • IDS : Système de détection des intrusions et de surveillance réseau qui permet de détecter des activités malveillantes. L’objectif de ce système est de préserver la sécurité des systèmes en cas de défaillance technologique.

    • IPS : Système de prévention des intrusions dont l’objectif est de contrôler les accès au réseau informatiques. Ce type de système va monitorer les données d’intrusion et mettre en place des actions correctives.

  • Effectuer des scans de vulnérabilités et de tests d'intrusion sur l'infrastructure Cloud afin d'identifier les potentielles failles et réduire les risques de sécurité.

Conclusion

Pour conclure, la sécurité dans le Cloud va vous permettre d’atteindre un ou plusieurs objectifs :

  • Récupérer rapidement vos données en cas de perte si vous avez bien fait des sauvegardes en amont
  • Réduire les erreurs humaines
  • Réduire le risque de compromission des données / ou du système en cas de détection des attaques de votre Cloud Provider

Vous êtes prêt à sauter le pas ? Nos équipes vous accompagnent sur la sécurité de votre infrastructure dans le Cloud 🚀