Sécurité du cloud : l’importance d’être accompagné


Si le cloud a conquis la plupart des entreprises, ces dernières ne sont pas toujours rassurées sur la sécurisation des architectures et sur les risques portés sur leurs données.

Louis-Alexis Brenac, consultant sécurité chez Orange Cyberdefense et spécialiste des enjeux liés au cloud, accompagne de nombreuses sociétés sur ces problématiques. Voici son analyse.

Cloud : à nouveaux usages, nouveaux risques

De nos jours, les solutions cloud couvrent des besoins variés et complexes tels que la fourniture d’outils bureautiques collaboratifs, l’analyse comportementale de données massives grâce au big data et au machine learning, la gestion centralisée d’objets connectés (IoTaaS) et même la création de réseaux de blockchain.

 

L’émergence puis l’adoption massive de toutes ces solutions en mode XaaS (Everything as a Service), ont bouleversé nos usages informatiques aussi bien personnels que professionnels : la disponibilité permanente des ressources, l’accès aux services en tout lieu et depuis tout périphérique rendent par principe l’information surexposée et donc potentiellement plus vulnérable.

 

Les risques inhérents à un système d’information s’appliquent naturellement à un environnement cloud, notamment :

  • la compromission d’une application suite à une intrusion,
  • la divulgation d’informations sensibles par un mécanisme d’accès faillible ou une mauvaise gestion de droits,
  • l’usurpation d’identité par ingénierie sociale,
  • la perte de disponibilité par une attaque du type déni de service (DDoS)[1].

 

Du fait de ses caractéristiques intrinsèques, qu’elles soient techniques, fonctionnelles, et même économiques, le cloud induit également des risques secondaires tels que :

 

  • le conflit juridique dû à une répartition des responsabilités trop floue entre le Cloud Services Provider(CSP) et son client ;
  • la perte de maîtrise et de gouvernance lorsque les solutions sont entièrement développées et administrées par le CSP ;
  • le non-respect d’exigences règlementaires telles que le Règlement général sur la protection des données (RGPD) par une mauvaise localisation géographique des données ;
  • la mise en place d’applications cloud, rapidement, sans effort et en se passant de l’approbation du service IT (shadow IT)
  • la divulgation ou la compromission de données sensibles, par un manque d’isolation physique ou logique des environnements partagés entre plusieurs clients.

La sécurisation d’architectures, principalement hybrides

Si nos clients nous sollicitent pour les accompagner sur toutes les problématiques impliquant des environnements cloud, nous sommes le plus fréquemment amenés à sécuriser des architectures hybrides, constituées à la fois de cloud public et de cloud privé.

 

Les environnements cloud public sont en effet quasi-systématiquement interconnectés avec le système d’information (SI) interne des entreprises, par exemple pour fédérer l’authentification aux ressources dans le cloud, ne pas exporter les données les plus critiques ou tout simplement pour faire communiquer des applications internes avec des solutions externalisées.

 

Nos prestations d’accompagnement peuvent ainsi débuter très en amont, dès le moment où le client entame sa réflexion d’étendre son SI vers le cloud. Dans ce cas de figure, nous pouvons définir la stratégie de sécurité globale qu’il devra appliquer sur ses environnements externalisés dans le cloud mais également identifier avec lui les impacts organisationnels, fonctionnels et techniques que ce changement pourrait impliquer.

 

Toute cette étude se traduit par des analyses de risques cloud spécifiques au contexte du client et par la rédaction de référentiels cloud. La définition puis l’accompagnement à la mise en œuvre de mesures de sécurité opérationnelles sur les environnements cloud demeurent également primordiaux.

 

Pour les clients ayant déjà migré vers le cloud, nous revêtons alors notre casquette d’auditeur pour évaluer la sécurité des environnements déjà en place. Nous réalisons alors une analyse à 360 degrés permettant de traiter les aspects aussi bien techniques qu’organisationnels. Nous évaluons ainsi la sécurité de l’architecture conçue, le niveau de protection des infrastructures, des systèmes et des applications ainsi que la configuration des services cloud, à la fois sur les couches d’infrastructures (IaaS), de plateforme (PaaS) et d’applications (SaaS).

 

Cette analyse très opérationnelle est complétée par un audit de l’organisation et des processus mis en place pour la conception et le maintien en conditions de sécurité de ces environnements. Nous insistons également de plus en plus sur les méthodes, les technologies et les processus de déploiement et d’intégration continue (DevSecOps)

Interrogations courantes des entreprises et solutions

Le cloud soulève un certain nombre de questions pour les entreprises. Si, pour y répondre de manière pertinente, il reste primordial de les replacer dans le contexte business et sécurité de chaque client, voici quelques premières informations.

Les données et les infrastructures sont-elles bien sécurisées dans le cloud ?

« Cloud » n’est pas synonyme de « non sécurisé » ou « faillible », bien au contraire ! Les principaux CSP proposent un ensemble complet de protections sur les différentes couches de traitement de l’information, depuis l’infrastructure jusqu’à l’application, que ce soit en service managé ou grâce à des partenariats avec les principaux acteurs du marché de la SSI.

 

Le niveau de sécurité d’un environnement cloud repose surtout sur la connaissance technique de ces solutions par les équipes opérationnelles, et in fine la manière dont ces moyens de protection seront configurés. Toute la difficulté repose sur la veille technologique : en moyenne un nouveau service cloud est mis en ligne chaque jour chez Amazon ou Microsoft. Se maintenir à flot peut ainsi devenir un réel challenge face à une cadence si élevée !

Comment s’assurer que les hébergeurs et fournisseurs de solution (tout comme des agences de renseignement) n’auront pas accès aux données stockées ?

Le risque zéro n’existe pas. Une règlementation telle que le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) qui autorise les autorités américaines à consulter, sous mandat, des données hébergées par des entreprises américaines, comme les GAFAM – peut entrevoir l’éventualité d’un accès non contrôlé aux données par des agences de renseignement étrangères.

 

Identifier et prendre en compte ce type de risques dans l’analyse menée en amont est primordial pour déterminer la nature et la sensibilité des données susceptibles d’être hébergées dans le cloud. Définir des moyens de protection adaptés permet d’assurer la sécurité de son patrimoine informationnel.

Une partie de mon SI est externalisée. Que se passe-t-il si le prestataire met la clé sous la porte ?

La probabilité qu’un acteur comme Microsoft, Google ou Amazon s’effondre reste minime et peu réaliste. Dans les situations où un client doit s’adresser à un hébergeur ou un fournisseur de services cloud proposant moins de garanties que les acteurs majeurs du marché, il est indispensable de traiter juridiquement le risque d’arrêt définitif de service. Il faut ainsi établir contractuellement les exigences sécurité à respecter par le prestataire, pouvoir les contrôler – par exemple au travers d’audits de sécurité – prévoir et surtout tester les modalités de réversibilité en cas de rupture de contrat. Ce principe s’applique d’ailleurs également pour gérer le cas de transfert de l’activité à un autre fournisseur de service, ou voire même sa ré-internalisation.

Comment s’assurer que les collaborateurs vont bien utiliser les outils mis à disposition et ne pas être tentés d’utiliser d’autres services à risques ?

Quels que soient les usages et les technologies, l’accompagnement et la sensibilisation des employés demeurent primordiaux. Cela est d’autant plus vrai pour le cloud où le risque de « shadow IT » demeure bien réel et peut engendrer de lourdes conséquences en cas de fuite, même accidentelle, de données.

Ainsi, nous conseillons de former les collaborateurs à l’utilisation de solutions cloud, de les sensibiliser aux risques, leur rappeler régulièrement les bonnes pratiques à respecter (qui reprennent généralement les mêmes règles que l’on retrouve sur tout système d’information) mais aussi les usages à éviter.

Sécuriser son SI et ses données dans le cloud : quelques conseils

Avant toute chose, il s’agit de bien évaluer dans quel usage s’inscrit une solution ou un environnement cloud et le niveau de risques auquel l’entreprise est exposé, en fonction de différents critères :

  • la population d’utilisateurs cibles,
  • la nature et la criticité des données traitées,
  • les moyens de sécurisation techniques proposés par le fournisseur de services sur l’infrastructure,
  • les systèmes et les applications,
  • les informations fournies par ce même fournisseur sur sa propre sécurité[1].

 

De cette analyse découlera un ensemble de règles de sécurité qu’il restera à appliquer, règles plus ou moins poussées selon l’évaluation du niveau de criticité de l’environnement en question.

 

Pour conclure, le cloud ne déroge pas aux règles de sécurité à utiliser en toute circonstance, à savoir : appliquer par défaut un principe de précaution, ne pas faire confiance sans quelques garanties, ne pas mettre tous ses œufs dans le même panier et surtout faire preuve de bon sens !

Notes

[1]Cette liste n’est pas exhaustive. 

A propos du blogueur

Ingénieur de formation, Louis-Alexis Brenac est aujourd’hui consultant sécurité et manager d’équipe chez Orange Cyberdefense. il est notamment spécialisé sur les enjeux de sécurité liés au cloud.

Découvrez les blogueurs du Blog Orange Cyberdefense