En gérant plusieurs Clouds, une organisation élargit sa surface d’exposition aux risques. Classification des données, chiffrement, approche Zero Trust… Un certain nombre de dispositifs permettent de sécuriser au mieux ces environnements multiples.
La logique est respectée. En adoptant une approche multicloud, une entreprise augmente de facto son exposition aux risques cyber. Non seulement ses données sont disséminées dans différents environnements, mais elle investira du temps et des ressources pour maîtriser les mécanismes de protection propres à chaque plateforme et les paramétrer au mieux.
Une DSI doit, par ailleurs, jongler entre plusieurs consoles d’administration et comptes. Selon le rapport de Check Point sur la sécurité du Cloud en 2022, un quart des organisations (27 %) ont connu un incident de sécurité dans le Cloud public, en hausse de 10 %. Les erreurs de configuration (23 %) arrivent en tête des incidents de sécurité devant la compromission de compte (15 %). Une majorité de répondants reconnaît que la gestion de plusieurs fournisseurs de Cloud a créé une complexité plus grande qu’imaginée au départ.
« En termes de sécurité, le multicloud multiplie mécaniquement les points de contrôle, les interconnexions et donc les surfaces d’attaque, résume Benjamin Chossat, référent stratégie cloud du centre d’excellence cloud de Sopra Steria. Il faut, bien sûr, protéger ses données mais également ses charges de travail. »
« En termes de sécurité, le multicloud multiplie mécaniquement les points de contrôle, les interconnexions et donc les surfaces d’attaque »,
Benjamin Chossat
Partage de responsabilités entre l’entreprise et le provider
Dans le domaine du Cloud public, il y a un partage de responsabilités entre l’entreprise et le provider, rappelle-t-il. « Le provider va garantir la sécurité physique de son infrastructure et les couches sous-jacentes – matériel, réseau, virtualisation, stockage. L’entreprise prend, elle, en charge la sécurité applicative. En configurant mal les dispositifs de protection mis à sa disposition par le provider, elle peut créer elle-même des failles de sécurité ».
« Les providers proposent nativement des services de protection comme un firewall applicatif, un module d’authentification ou des solutions de chiffrement, complète Alexis Dupuydauby, en charge de la stratégie et du développement des services multicloud chez Orange Business. Comment mettre ensuite en place une politique de sécurité dont les règles seront respectées dans les différents Clouds ? »
Si l’objectif est bien d’appliquer une politique homogène de sécurité à tous ses environnements, cette unification ne doit toutefois pas être une fin de soi, estime Benjamin Chossat. « Une politique systémique trop restrictive peut conduire à renchérir la mise en place de la sécurité sur certains domaines : l’important est de disposer du niveau de sécurité adapté à chaque contexte. »
A ses yeux, la priorité reste d’apporter le meilleur niveau de sécurité à chaque environnement. « Une entreprise engagée dans le multicloud peut avoir une approche différenciée en fonction du provider et de l’exigence de protection. Ce qui n’empêche pas d’avoir un SIEM [Security Information and Event Management, plateforme dédiée à la gestion des informations et des événements de sécurité NDR] unique mais avec des configurations et des capacités d’analyse différentes suivant les environnements. »
Chiffrement et informatique confidentielle
Cela suppose, comme préalable, d’assurer une classification de la donnée en lui associant un niveau de sécurité en fonction de sa criticité ou de son format (structuré, non structuré). « La labellisation de la donnée permet d’établir des règles pour le Cloud privé ou le Cloud public », note Frédéric Autin, expert cybersécurité pour la France et le Luxembourg de DXC Technology
Des solutions come Prisma de Palo Alto Networks, Microsoft Defender for Cloud ou Security Guardium d’IBM permettent de dresser cet inventaire des données puis de monitorer les accès. Qui accède à quelle donnée ? Le risque porte sur le vol mais aussi l’altération de la donnée. Dans cette approche data centric, le chiffrement reste la meilleure parade à la complexité du multicloud (lire encadré). Il s’agit d’assurer un chiffrement de bout en bout et non seulement un chiffrement des données au repos comme le proposent nativement les providers.
« La protection des données dans un environnement multicloud implique de passer par une approche Zero Trust »,
Mimoun Lakri
En permettant aux entreprises de gérer leurs propres clés de chiffrement, des solutions de type BYOK (Bring your own key) ou BYOE (Bring your own encryptions), distribuées par nCipher Security, Anaplan, IBM ou Entrust, viennent compléter le dispositif mis en place par les plateformes de cloud public. Vice-présidente cloud EMEA d’IBM, Juliette Macret conseille d’aller un pas plus loin en faisant appel au confidential computing. « Alors que le chiffrement se limite aux données au repos et en transit, cette informatique confidentielle étend cette protection aux données en cours de traitement. »
De l’IA et de l’humain
Par ailleurs, l’intelligence artificielle est devenue incontournable pour détecter des événements suspects en analysant un grand volume de données le plus rapidement possible. Les plateformes de Darktrace, Vectra, Deep Instinct ou IBM (Sécurity QRadar Suite) recourent aux technologies de machine learning et de deep learning pour assurer cette analyse comportementale.
L’IA vient aussi épauler les équipes du SOC (Security operation center, centre de sécurité opérationnelle) en les déchargeant d’un travail de monitoring fastidieux et en apportant une aide à la décision. Mais la technique seule ne suffit pas, il faut aussi changer de paradigme. Pour Mimoun Lakri, Technical Sales Director chez IBM, « la protection des données dans un environnement multicloud implique de passer par une approche Zero Trust. »
Fonctionnant sur le principe de l’accès au moindre privilège, celle-ci part du postulat que l’on ne peut pas faire aveuglément confiance à un utilisateur ou à un terminal sur la seule base de son emplacement physique ou réseau. Cette approche Zero Trust repose, entre autres, sur la segmentation du système d’information en micro-périmètres.
Enfin, c’est bien connu, l’homme reste le maillon faible de toute politique de sécurité. Par négligence, inadvertance ou méconnaissance, un collaborateur de la DSI peut générer une faille de sécurité. Un effort de sensibilisation doit être particulièrement entrepris auprès des développeurs intervenant sur des environnements cloud de test ou de préproduction. Ils n’ont pas nativement la culture de la sécurité de leurs collègues de la production. Une approche de « security by design » ou de DevSecOps permet également d’unifier les pratiques au sein des équipes IT.