Les enjeux et les tendances de la sécurité du cloud, interview de Vincent Ferrie

Vincent, peux-tu nous présenter le cloud et les enjeux de sa sécurisation ?

Tout d’abord, il faut savoir que la sécurité du cloud est particulièrement différente en fonction des types de cloud et de la manière de consommer des services cloud. Parmi ces services, on y retrouve trois grandes catégories : SaaS (Software as a Service), PaaS (Platform as a Service) et IaaS (Infrastructure as a Service).

Globalement la sécurité du cloud est bien distincte entre la partie PaaS / IaaS et la partie SaaS. Cela se matérialise par le principe de modèle de responsabilité partagée. Lors de la consommation d’un service cloud, le client aura accès à un certain périmètre avec un certain nombre de couches de données ou infrastructure suivant la catégorie de service cloud.

Ce modèle permet de déterminer sur quel périmètre du service la responsabilité du fournisseur de cloud ou celle du client est engagée. La partie sécurité va elle aussi être partagée sur les couches de données sur lesquelles le client va avoir la responsabilité, cela demande donc au client de s’assurer de la sécurité de son périmètre.

Dans le cadre du SaaS, pour donner un exemple, Microsoft Office 365 est un service où le client intègre ses données et n’a pas accès à toutes les couches basses du service. Le client ayant peu d’accès à la configuration du service et par conséquent sur la sécurité, il peut exiger contractuellement un niveau de sécurité auprès de son fournisseur qui aura la main sur la configuration du service.

Au contraire, sur des solutions PaaS ou IaaS, le client aura accès aux couches inférieures et aura donc la responsabilité de les configurer pour se garantir de leur sécurité si elles ne sont pas gérées par le fournisseur de services. Le client peut toujours exiger certains éléments mais la responsabilité du client sera engagée sur une partie importante de la configuration et de l’utilisation sécurisée du service cloud.

La sécurité du cloud soulève particulièrement un sujet contractuel puisque ce n’est pas le service du client lui-même mais celui d’un tiers. Cela amène des enjeux de sécurité à part entière et en particulier la question de ce que le client peut exiger à son fournisseur en termes de sécurité des données. Ces exigences sont amenées à évoluer en fonction de la nationalité du fournisseur.

Cet enjeu de sécurité induit également des changements d’organisation. La consommation de service cloud doit impliquer de repenser l’organisation de la DSI et sa manière de fonctionner au sens large avec une inclusion de la sécurité dans les nouveaux processus. Dans cette démarche d’agilité, la sécurité doit également l’être avec des pratiques type DevSecOps.

 

Quelles sont les tendances du marché du cloud et de sa sécurisation ?

Il y a encore quelques années les clients étaient retissant à s’orienter vers des solutions cloud alors qu’aujourd’hui, le sujet fait consensus, il s’impose de plus en plus. Un des facteurs majeurs à son développement est la solution Office 365 de Microsoft Azure.

La tendance du marché côté client est de lancer des grands programmes de migration cloud afin d’être accompagné dans cette démarche, notamment s’ils doivent faire appel à un seul ou plusieurs fournisseurs. Le sujet du multisourcing est particulièrement important en ce moment. Les clients se demandent également comment organiser leur DSI afin d’adopter des principes agiles et DevOps et ainsi réaliser leur transformation de manière intelligente. L’objectif n’est pas de réaliser du “lift and shift”, soit migrer une application on-premise existante sans effectuer de modification ou de refonte en l’intégrant directement dans le cloud.

Les clients se rendent compte que la gestion du système d’information suppose des coûts très importants et que cela ne correspond pas au cœur de leur métier. L’offre cloud permet de laisser les entreprises avec cette expertise, les fournisseurs de services, réaliser la migration de ces plateformes cloud. Cela permet au client de se concentrer sur ses processus métier et réduire le time to market, le temps nécessaire pour réaliser une idée initiale et livrer un produit fini aux consommateurs.

En termes de sécurité, une tendance pour les grands programmes est d’accompagner de manière sécurisée les migrations cloud. Cela passe par plusieurs éléments :

  • Un accompagnement sur la contractualisation avec le fournisseur cloud concernant le modèle de responsabilité partagée et ce que le client peut migrer ou non ;
  • Sur l’organisation de la DSI pour qu’elle devienne DevSecOps, approche qui permet d’intégrer la sécurité dans l’ensemble du cycle de vie des projets, du développement à la mise en œuvre, en utilisant des méthodes flexibles et l’approche DevOps ;
  • Pour les clients plus avancés ayant déjà entamés une migration et qui possèdent déjà un multicloud, l’objectif est de les accompagner dans l’harmonisation de ces différentes plateformes cloud et en particulier en termes de sécurité.

Du côté des éditeurs de solution de sécurité pour le cloud, la tendance est de proposer des offres multicloud mais tout en cloisonnant les différents types de cloud (IaaS, PaaS, SaaS) afin de proposer des outils spécialisés. Les outils dits CSPM (Cloud Security Posture Management) qui permettent de réaliser des contrôles de conformité sur des plateformes multicloud sont la dernière tendance du marché. Sur le volet chiffrement qui est un sujet sensible pour nos clients, la dynamique d’accompagnement du multicloud s’articule autour d’offres de service type HSMaaS ou KMSaaS qui permettent de provisionner des clés, appartenant au client – de type BYOK, utilisables d’un cloud à l’autre.

D’un point de vue technologique, la tendance de fond reste le serverless. C’est un modèle de développement cloud qui permet aux développeurs de créer et d’exécuter des applications sans avoir à gérer des serveurs. La conteneurisation et les technologies Dockers ou Kubernetes sont en cours de déploiement à grande échelle chez nos clients entrainant des grands enjeux de sécurité.

 

Quelles sont les difficultés que nos clients rencontrent sur les sujets abordés ? En quoi cela constitue un réel challenge ?

Les clients ayant une faible maturité sur le sujet qui sont réticents à migrer dans le cloud sont généralement les entités qui traitent des données avec un très haut niveau de confidentialité (ex : prestataire de santé, armement, etc.). Ils se demandent notamment comment ils peuvent faire confiance à une entreprise américaine. Actuellement quand on parle cloud, on parle principalement d’acteurs américains : Microsoft, Amazon et Google, qui possèdent la quasi-totalité du marché du cloud public.

Pour répondre à cette interrogation, on met en avant que lorsque l’on fait appel à un fournisseur de cloud, il faut une totale confiance envers lui. L’objectif est de définir la partie contractuelle en amont de la migration du client pour s’assurer d’une total confiance envers le fournisseur sur l’accès aux données qu’on va lui transmettre. Cela peut notamment passer par une garantie contractuelle, des contrôles de sécurité, etc.  À noter que le chiffrement n’empêchera jamais le fournisseur d’accéder aux données, il faut donc s’assurer de sécuriser le cloud contre les vraies menaces.

Certes, on accepte un risque infime que le fournisseur puisse accéder à ses données, puisqu’elles lui sont transmises, mais le risque reste négligeable par rapport au risque en tant que client d’effectuer une mauvaise configuration du service cloud. Ainsi, les principaux incidents de sécurité du Cloud concernent le vol de données exposées publiquement au travers de services de stockage (S3 bucket, Azure storage, etc.). La responsabilité du fournisseur n’est pas engagée dans ces cas-là puisque c’est au client de garantir la bonne configuration des services PaaS qu’il utilise afin qu’ils soient utilisés en mode privé et non exposé.

Cela nécessite bien évidemment un effort sur les compétences pour consommer des services cloud de manière intelligente tout en le sécurisant.

Pour les clients plus avancés, le vendor locking est un sujet dominant. Si demain, le fournisseur de cloud avec qui le client collabore est amené à arrêter son activité ou est indisponible pour une durée définie, le client perd l’accès à son SI. C’est d’ailleurs pour cette raison que les clients se tournent vers des stratégies multicloud.

 

Comment répondre à ces problématiques et comment Wavestone peut intervenir ?

Notre conviction chez Wavestone, c’est que le cloud peut être un facilitateur pour la sécurité du SI. Une porte d’entrée pour construire un SI sur des bases saines et s’appuyer sur des technologies qui fonctionnent. Vous pouvez en profiter pour mettre la sécurité au bon endroit dès le début et une des clés pour y arriver est l’automatisation.

L’automatisation doit être mise en place dans le déploiement, les infrastructures mais également la sécurité afin d’obtenir une véritable plus-value. Si le client pose les bonnes règles de sécurité et que ces règles techniques sont traduites dans les chaines d’intégration et de déploiement (CI/CD), le client aura la garantie que le déploiement ses ressources et infrastructures seront sécurisées dès leur déploiement.

Wavestone accompagne également les clients à contractualiser avec des fournisseurs cloud. Nous aidons nos clients à construire des landings zones, c’est-à-dire les bases des architecteurs de sécurité qui vont être déployée dans le cloud. Nos équipes sont intégrées dans des centres d’excellence cloud chez nos clients et travaillent tous les jours à la sécurisation des infrastructures de cloud. Nous avons également la capacité d’aider nos clients dans leur transformation agile et notamment sur les sujets DevSecOps, afin d’apporter la sécurité au plus près de leurs projets.

 

Quel avenir pour la sécurité du cloud ?

La tendance émergente du moment est le Zéro Trust. C’est un nouveau modèle de sécurité qui répond aux enjeux cloud et usages actuels de mobilités des personnes et de la donnée. Le modèle Zero Trust a pour objectif d’accorder l’accès sur le besoin d’en connaitre et donc de remettre la sécurité au plus proche des ressources.

L’objectif est de remettre l’utilisateur au centre avec la garanti du moindre privilège et de contrôler l’accès à une ressource à chaque fois que quelqu’un en exprime le besoin. Cette vérification se fera quelle que soit son origine même si c’est un collaborateur interne. L’identité et l’authentification sont au centre, tout comme les moyens de détection et de contrôle.

La définition des algorithmes d’attribution des moindres privilèges et la vérification systématique à chaque nouvelle demande d’entrée drainent de vastes sujets autour de la gouvernance des identités pour nos clients. Leur traduction technologique, comme avec Azure AD pour citer la technologie de Microsoft, nécessite de solides connaissances techniques et un accompagnement au changement pour être en mesure d’identifier et configurer les bons moyens d’authentification (MFA, attribution de droits temporaire, etc.) et de contrôles (Conditional Access Policy, sign-logs, etc.) disponibles.

Ce modèle est particulièrement adapté à un usage cloud puisque la plupart des fournisseurs de cloud public permettent l’utilisation de technologies plus fiables et configurables qu’on-premise pour gérer les identités, l’authentification et la détection.

 

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top