Cloud public et entreprises : qui est responsable de la sécurité ?


L’an prochain, le marché mondial du cloud public dépassera les 380 milliards de dollars selon Gartner[1].

Un chiffre représentatif de l’engouement généralisé des entreprises publiques comme privées. Cependant, une question demeure : qui, du cloud services provider ou de l’entreprise cliente est responsable de la sécurité ? Décryptage. 

83% des données de travail des entreprises seront dans le cloud d’ici à 2020 selon une étude menée par LogicMonitor[2]. Sur ces 83% :

  • 41% seront stockées au sein de plateformes publiques ;
  • 20% dans une infrastructure privée ;
  • 22% au sein d’un cloud l’hybride.
Le cloud et les entreprises avec Orange Cyberdefense

L’engouement pour le cloud public s’explique par plusieurs facteurs. Les modes de consommation et de facturation des cloud services providers (CSP) reposent sur le paiement à l’usage. Le CSP donne ainsi accès à différents services de computing et à l’utilisation d’applications (comme Office 365 par exemple). En échange, le client n’est facturé qu’en fonction de sa consommation réelle des ressources nécessaires à leur fonctionnement.

Ces modèles apportent une grande flexibilité, « scalabilité » et une forte disponibilité ainsi qu’une baisse drastique des coûts : de réels atouts pour toute entreprise. Celles-ci bénéficient d’une puissance de calcul et de développement difficilement égalables et ce, sur une échelle globalisée : leurs applications et leurs données sont accessibles depuis le monde entier. A titre d’illustration, Microsoft Azure est présent dans 140 pays.

Cependant, aucun système n’étant infaillible, le cloud (qu’il soit public, privé ou hybride) est source de risques et les fuites de données peuvent arriver. La sécurité des infrastructures, des données et des accès demeure donc primordiale. Mais qui de l’entreprise ou de son CSP doit s’en charger ?

Cloud public : qui est responsable de la sécurité ?

La prise en charge de la sécurité par le cloud services provider (CSP) n’est pas la même selon le niveau de service choisi. Qu’il s’agisse d’un service en IaaS, en PaaS ou en SaaS (Infrastructure/Plateform /Sofware as a Service), il est important de savoir que la responsabilité de la sécurisation est toujours partagée entre le CSP et son client. Par ailleurs, et point le plus important : le client reste toujours responsable de la sécurisation de ses données, du paramétrage de son environnement cloud et doit rester maître du contrôle des accès et des ressources.

x

Focus sur : le RGPD

En vertu du Règlement général sur la protection des données, il est généralement admis que les CSP soient juridiquement qualifiés de sous-traitants et bénéficient des obligations et responsabilités en matière de protection des données personnelles découlant de ce rôle, à l’image de toute autre entreprise sous-traitante. Cependant, la qualification juridique doit être étudiée au cas par cas selon l’acteur concerné, CSP ou autre. Comme énoncé au paragraphe précédent, même en cas d’incident, c’est toujours le client qui reste responsable des données qu’il héberge dans un cloud public.

Cloud : quels risques pour les entreprises ?

Les vecteurs d’attaques les plus courants

Les usurpations d’identité : les pirates, par des campagnes de phishing par exemple, peuvent récupérer les accès d’utilisateurs de cloud. A partir de là, il devient extrêmement simple pour eux de contrôler des ressources dans l’infrastructure cloud et de détourner des données.

Les malwares : ils sont capables d’endommager et de détruire un système d’information mais aussi de voler, modifier ou supprimer des données.

Les injections SQL : elles offrent aux attaquants la possibilité de cibler directement des data base choisies, et d’y dérober les fichiers et informations qui y sont stockés.

Les attaques par déni de service distribué : ces attaques ont un but très clair : rendre le service complètement indisponible. Quand un service cloud est touché par une attaque DDoS, l’infrastructure permet de compenser en exigeant plus de ressources, générant ainsi une surfacturation pour le client. Il existe des mécanismes anti-DDoS mis en place par les CSP, permettant de limiter de type d’attaque, mais un paramètre fin de la gestion des ressources est nécessaire pour éviter une surconsommation.

Les vulnérabilités des systèmes : Afin d’éviter des prises de contrôle des systèmes et des ressources, il est nécessaire de s’appuyer sur ses solutions de détection des intrusions et de gestion des vulnérabilités.

Les menaces persistantes avancées (APT) : Ces cyberattaques au long cours, extrêmement ciblées, permettent à un attaquant de s’infiltrer au sein d’un réseau sans y être détecté et ainsi porter atteinte aux données et infrastructures qu’il vise. 

A noter que les CSP offrent des services – le plus généralement en option – de protection contre ce type d’attaques, mais force est de constater qu’il convient de les compléter par des mécanismes tiers pour s’en prémunir au mieux.

Les erreurs les plus fréquentes

Les analyses de risques insuffisantes : Lorsque les entreprises définissent de nouvelles stratégies ou de nouveaux services, il est important d’évaluer les technologies utilisées dans le cloud, d’analyser les risques induits et de disposer d’une feuille de route appropriée et d’une liste de contrôles adéquats pour que ces services ne soient pas exposés aux attaques.

Les API non sécurisées : L’un des aspects clés de la sécurité des services dans le cloud se trouve souvent dans les interfaces de programmation (API) des services proposés pour créer des applications. Ces API sont l’un des éléments les plus différenciateurs offerts par les fournisseurs, mais ils doivent être conçus pour éviter toute tentative de dépassement des règles de sécurité.

Les abus et utilisations préjudiciables des services cloud : Un mauvais contrôle des usages du cloud et de l’utilisation des ressources peut rapidement faire déborder la facture. Une gouvernance des coûts et un contrôle régulier, ainsi que la mise en place d’une politique financière quant à l’usage du cloud est nécessaire.

Une protection réseau insuffisante : Une entreprise qui choisit le cloud public doit prendre en considération le fait qu’elle demeure responsable de la gestion et de l’attribution des accès. Pour cela, elle peut s’appuyer sur des mécanismes de protection de type fire wall, segmention réseau et WAF, détaillés plus loin dans cet article.

x

Focus sur : la mise en conformité

Même si les CSP se targuent d’être conformes à toutes les règlementations en vigueur, le client reste maître de ses données et doit s’assurer régulièrement du bon paramétrage de son infrastructure et de ses services pour respecter les obligations auxquelles il est soumis. Les CSP proposent en effet des services de contrôle – de type scoring de mise en conformité par exemple – mais c’est au client de mettre en place les actions qu’il juge nécessaires : il reste le seul maître à bord pour garantir sa conformité.

Cloud : comment se protéger au mieux ?

Sécuriser toute son infrastructure réseau virtuelle, son routage, faire le bon choix des services de stockage

Une entreprise qui décide de se tourner vers le cloud public doit en fait reconstruire (selon le niveau de services choisi) toute son infrastructure réseau et applicative, son système, et son stockage au sein d’un cloud. Même un développement exécuté avec soin ne permet pas de se prémunir complètement des risques de cyberattaques. En plus de la sécurité proposée par le CSP, des solutions existent.  

Si les fire wall sont toujours indispensables à la sécurisation d’une infrastructure, ils seront renforcés par une utilisation de solutions Next Gen Fire wall tierces mais aussi par l’utilisation de WAF. Comme leur nom l’indique, les Web Application Firewall sont des pare-feu destinés aux applications web. Ils assurent que les serveurs web ne sont pas touchés par une attaque, en analysant notamment les requêtes des utilisateurs et les réponses de l’application. Les WAF protègent ainsi les applications et services web publiés dans des clouds.

Gérer les accès et les identités

 « 71,5% des violations ciblant Amazon Web Services (…) concernent des failles dans la gestion des identités et des accès », écrit Silicon.fr en 2018[3]. Si l’idée n’est pas de pointer spécifiquement Amazon – tous les CSP peuvent rencontrer les mêmes problèmes – cela met en lumière le difficile contrôle des accès dans le cloud.

La sensibilisation des collaborateurs reste clé pour assurer une politique d’accès au cloud sécuritaire. Par ailleurs, la gestion des accès, et notamment après le départ des employés doit être une préoccupation prioritaire pour les entreprises : selon Intermedia, pour 89% des entreprises, des salariés les ayant quittées bénéficient pourtant toujours des accès informatiques pour s’y connecter[4].

Les CSP offrent des mécanismes natifs de gestion des accès via l’Active Directory[5] et intègrent le chiffrement. Ces solutions permettent l’authentification, les autorisations, le SSO (single sign-on), le MFA (multi-factor authentification) pour sécuriser l’accès aux ressources et aux données. Néanmoins, l’expérience montre qu’il vaut mieux les compléter avec des logiciels tiers.

Protéger ses données

Les DLP : les Data Leakage Prevention (DLP) permettent de marquer les fichiers et de leur apporter un niveau de confidentialité. Plus une donnée est sensible, plus son accès sera restreint, et ce, selon une graduation déterminée par chaque entreprise.

Les CASB : les Cloud Access Security Brokers (CASB) analysent les flux des données et scannent les documents présents au sein d’un cloud. Ils permettent d’étendre la politique de sécurité dans le cloud en contrôlant les activités et les accès.

Les CWP : les outils de Cloud Workload Protection (CWP) vérifient les mauvaises configurations des infrastructures cloud, notamment les espaces de stockage de données. Ils offrent une vue d’ensemble des actions menées par chaque administrateur.

A noter que les CASB et les CWP ont la capacité de détecter les malwares.

x

Focus sur : les environnements multicloud

Tous les risques évoqués dans cet article sont démultipliés dans un environnement multicloud. La gestion des environnements, des accès, des ressources, de leur sécurité, de leur mise en conformité règlementaire mais aussi la gestion des budgets… tout devient beaucoup plus complexe.

Chaque environnement cloud ayant ses spécificités tant techniques qu’au niveau du paramétrage, la diversification de CSP (Amazon Web Services, Microsoft Azure, Google Cloud Storage…) apporte une complexité d’organisation, de gestion, de contrôle et de visibilité des services. Etre accompagné par un tiers dans la gestion des ressources et leur sécurisation peut s’avérer primordial.

Malgré tous les bienfondés du cloud, la sécurité reste essentielle. Le client étant toujours responsable de ses données, la mise en place de politiques de gestion et de sécurisation est indispensable pour rester conforme aux objectifs de sécurité fixés par chaque entreprise (et par la règlementation en vigueur). Quel que soit son niveau de maturité sur les questions liées à la cybersécurité, une entité ne doit pas hésiter à se faire accompagner.