Le Cloud hybride est en train de s’imposer dans le système d’information des entreprises françaises. Et ce changement de modèle a des implications très directes en termes de sécurité et de conformité. Face à ce défi d’ouverture du SI, plusieurs écoles s’opposent..
Selon une récente enquête SUSE, 63 % des DSI français affirment que le Cloud hybride est désormais leur modèle d’architecture privilégié. Si, à l’origine de cette évolution, seules quelques briques bien définies du système d’information étaient confiées à des hébergeurs externes, qu’il s’agisse des sites Web puis d’applications SaaS, ce sont désormais des applications critiques qui mettent en œuvre à la fois des ressources internes et externes. Ce qui pose de sérieux défis en termes de sécurité mais aussi de compliance.
Quand la stratégie du CFO complique la vie du RSSI
Devant ce choix du Cloud hybride motivé par des gains en agilité mais aussi pour des raisons financières, le RSSI est mis devant le fait accompli : il va devoir garantir la sécurité d’un système d’information qui se compose à la fois d’infrastructures internes, d’un Cloud privé souvent hébergé par un opérateur de datacenters et enfin des ressources louées à la demande sur le Cloud public. Pour Christophe Moret, vice-président senior CyberSécurité du groupe Atos, cette problématique est désormais courante : « Le Cloud hybride est aujourd’hui quelque chose d’assez commun chez nos clients. Le Cloud public va amener à plus de sécurité physique car les datacenters de ces acteurs sont mieux sécurisés que peuvent l’être des infrastructures d’une taille plus modeste. Néanmoins, se pose la question du contrôle d’accès et de confidentialité des documents. »
Pour Leif Kremkow, directeur technique de Qualys France, les RSSI doivent garder la main sur ces stratégies Cloud : « Face à ce mouvement de migration vers le modèle hybride, les RSSI ou CISO doivent se doter d’une gouvernance adaptée. Ils doivent cartographier les risques, et c’est aux métiers de définir si ce risque est acceptable ou pas vis-à-vis du gain espéré. De son côté, le RSSI doit intégrer le fait que l’ensemble de la pile est géré par un tiers sans que l’on sache exactement où sont réellement les données. »
« Il ne suffit pas de déployer des firewalls dans le Cloud comme on a pu le faire en interne. La vraie question est d’être capable de cartographier les risques dont certains sont nouveaux car liés à l’hébergement chez un tiers. »
Leif Kremkow, Qualys France
Du côté des opérateurs de services Cloud, le discours se veut rassurant. Ceux-ci peuvent se prévaloir de multiples certificats de sécurité décrochés auprès d’organismes de certification internationaux et, de facto, la sécurité physique ou logique de leurs installations est supérieure à celle de beaucoup de salles informatiques où les entreprises exploitent leurs serveurs. De plus, tous les grands du Cloud permettent la mise en place d’architectures virtuelles très élaborées, notamment composées de solutions piochées dans leur portefeuille de solutions de sécurité. « Certains de nos clients préfèrent avoir un modèle de sécurité séparé pour la partie Cloud public de leur SI, à l’exception de leur gestion d’identité afin d’avoir un process de gestion des identités communs » explique Vincent Gervais, consultant en sécurité des SI chez Devoteam. « D’autres préfèrent mettre en œuvre une politique de sécurité commune à l’ensemble de l’architecture hybride afin de garder une cohérence en termes de sécurité, mais aussi pour conserver les certifications de sécurité. Chaque Cloud doit être certifiable, de même que le lien entre ces Clouds. »
Une responsabilité partagée de la cybersécurité s’impose
Dès lors qu’une entreprise opte pour le Cloud public, la notion de responsabilité partagée de la sécurité apparaît. Christophe Moret souligne : « L’effort à produire sur la sécurité du volet Cloud public portera beaucoup moins sur la sécurité physique et la sécurité logique, à savoir la tenue des OS et des antivirus à jour qui est du ressort de l’hébergeur, même si tous ne sont pas à mettre au même niveau sur ce plan. » Pour la sécurité de plus haut niveau, les opérateurs Cloud proposent de multiples outils : WAF, VPN, chiffrement des données stockées, gestion des identités, etc. Ces offres managées sont séduisantes, mais pour le vice-président d’Atos, les entreprises doivent à tout prix garder la main sur certaines briques de sécurité : « Les entreprises doivent faire du contrôle d’accès et de l’Identity Management leur priorité, notamment sur ce qui est la gestion des identités multiples, la gestion des accès à distance, et bien évidemment la question de la confidentialité des documents avec leur encryption, mais aussi la gestion des droits d’accès aux clés d’encryption. »
Même si les géants du Cloud ont fini par se doter d’infrastructures en France, le spectre du “Patriot Act” pèse toujours sur les données stockées sur leurs infrastructures. Le chiffrement est non seulement nécessaire, mais les entreprises doivent conserver en interne leur infrastructure de gestion de clés pour protéger leurs documents les plus confidentiels, même si les opérateurs de Cloud proposent leur solution de gestion de clés. C’est la position de Christophe Moret pour qui, selon le niveau de confidentialité des documents, la confidentialité des clés peut être extrêmement importante. « Pour les documents les plus confidentiels, les clés doivent être gérées en interne, avec des HSM. Les environnements Cloud permettent aujourd’hui d’avoir un HSM déporté, même si ce n’est pas toujours très simple à mettre en place. Pour des contenus moins confidentiels : les opérateurs de Cloud fournisseurs des HSM matériels ou virtuels, les VHSM qui permettent de gérer des clés avec une confiance théoriquement moins forte qu’avec un HSM physique, mais pour un coût bien moins élevé. »
Le SIEM doit garder le Cloud public à l’œil
La dimension cybersécurité doit pleinement être intégrée au moment où l’entreprise signe son contrat avec son opérateur de Cloud, notamment si celle-ci veut placer ses infrastructures Cloud sous l’ombrelle de son SOC. Le SIEM doit en effet être capable d’intégrer tous les logs de ces infrastructures, ce qui ne va pas nécessairement de soi lorsque celles-ci sont hébergées par un tiers. « Pour pouvoir fonctionner, nos systèmes de surveillance ont besoin de l’autorisation de l’hébergeur Cloud » explique Jean-Nicolas Piotrowski, PDG d’Itrust. « Les gros hébergeurs ont tendance à imposer des délais avant de délivrer ces autorisations. Il est important que les entreprises aient bien intégré à leurs contrats Cloud que leur opérateur s’aligne sur les demandes de leurs prestataires de sécurité. Techniquement, il reste difficile d’atteindre le même niveau de granularité que sur le SI de l’entreprise. Il n’est pas possible d’avoir des données de niveau v0, c’est-à-dire les noyaux de virtualisation. Les opérateurs refusent de nous les livrer lorsque le client est sur des serveurs mutualisés et sur lesquels il y a plusieurs clients. » Il est ainsi recommandé de privilégier les serveurs dédiés si on ne veut pas que le périmètre de surveillance ne soit réduit du fait de ces contraintes.
« La cybersécurité repose sur le principe du maillon faible. Alors que l’on est passé du modèle de la défense périmétrique à celui d’une défense en profondeur, il faut être capable d’avoir une cohérence de cette protection. »
Jean-Nicolas Piotrowski, ITrust
La détection des vulnérabilités est aussi impactée par le recours à des ressources localisées dans le Cloud public. Inventorier les serveurs devient d’autant moins aisé qu’il n’est pas possible de faire un simple “Ping Tree” pour détecter les machines sur le réseau. En outre, pour les SI les plus performants, les ressources sont provisionnées/ déprovisionnées en temps réel en fonction des besoin, si bien qu’avoir une image complète du SI à l’instant T est plus complexe que sur une infrastructure traditionnelle : « Nous avons créé des connecteurs qui s’interfacent avec les fournisseurs de Cloud, dont Microsoft Azure, AWS, Google, Alibaba pour interroger leurs systèmes de gestion d’assets et localiser les instances actives » explique Leif Kremkow, de Qualys. Si les VM hébergées dans le Cloud, bien souvent déjà protégées par des firewalls présentent une surface d’attaque réduite, c’est sur le trafic entre machines, le trafic East-West, que les RSSI doivent porter leur vigilance. « IDS, IPS et WAF et firewall sont bien souvent placés en bordure du SI et il n’y a plus rien à l’intérieur » explique l’expert. « Notre récent partenariat avec Illumio va nous permettre de relever le trafic East-West et faire un paramétrage très fin des flux autorisés/interdits. » Ainsi, il est possible de réduire le risque d’une attaque qui exploiterait un port ouvert sur un serveur Cloud puis rebondirait d’un serveur à un autre afin d’accéder à une ressource interne.
Le CASB, un outil indispensable
De même, le rôle du CASB va être renforcé alors que les entreprises vont intensifier leurs usages du Cloud public et que les architectures hybrides vont se généraliser. Dans un premier temps concentrées sur les accès aux applications Saas, ces solutions se posent de plus en plus comme le pivot d’une approche multi-Cloud. « En jouant un rôle de proxy, le CASB se pose en outil indispensable si on veut vraiment aller vers le Cloud hybride » estime Christophe Moret, d’Atos qui ajoute : « il s’impose notamment lorsqu’on a plusieurs hébergeurs Cloud afin de pouvoir gérer les droits d’accès mais aussi mettre en place de l’encryption, du contrôle d’accès voire de Data Loss Prevention (DLP). » Les éditeurs de CASB ont bien vu l’opportunité que leur procurait cette marche vers le Cloud hybride de leurs clients. Outre le support des principaux IaaS du marché, les éditeurs ont concentré les fonctions de sécurité sur leurs solutions : outre le contrôle d’accès, le chiffrement, le DLP, ceux-ci fournissent désormais des fonctions de gestion des incidents de sécurité, la Threat Protection.
Outils Cloud natifs ou solutions de sécurité traditionnelles ?
D’autres briques de sécurité plus classiques doivent à leur tour être adaptées à ces contextes hybrides. Illustration de cette adaptation, Bitdefender qui propose ainsi la solution de protection Gravity Zone pour les infrastructures Cloud. « Il est maintenant possible de gérer la sécurité d’une architecture hybride depuis la même console et avoir un même niveau de sécurité où que se trouve la donnée » explique Vincent Meysonnet, directeur technique pour les produits B2B de l’éditeur. « L’approche permet d’éviter de manipuler diverses consoles, selon qu’il s’agit d’administrer les machines en interne ou des machines dans le Cloud public. » Autre point soulevé par l’expert, la consommation de ressources Cloud par les solutions de sécurité. « Les architectures Cloud posent le problème de performance. Nous proposons donc d’exploiter des VM de type “serveurs de sécurité“sur lesquels seront centralisés tous les moteurs d’analyse, ce qui évite ainsi toute surconsommation de ressources sur les VM hébergées dans le Cloud public. »
Cette capacité de pouvoir déployer la même brique de sécurité sur le Cloud interne et sur le Cloud public présente l’avantage pour les entreprises d’adopter une approche globale et ne pas avoir à multiplier les compétences sur les solutions proposées par les fournisseurs de Cloud. C’est aussi un moyen de réduire leur dépendance vis-à-vis de ces derniers. Edouard Viot, chef de produit chez DenyAll explique : « Face à l’hybride, les entreprises doivent privilégier une approche globale. Si on prend l’exemple du WAF (Web Application Firewall), Amazon Web Services propose sa propre solution, de même que Microsoft sur Azure. Ce que nous leur opposons, c’est une vision totalement agnostique vis-à-vis de l’opérateur Cloud, avec une console d’administration unique pour les WAF déployés sur AWS, Azure, un Cloud privé hébergé par Telehouse, ou en interne. »
L’éditeur propose ses solutions dans les marketplaces des opérateurs de Cloud en mode classique ou en mode managé. Avec Cloud Protector, version managée de DenyAll Web Application Firewall, c’est l’éditeur qui est responsable de l’exploitation du WAF : « L’approche managée permet à l’entreprise de ne plus avoir à assumer l’administration de cette brique de sécurité. Mis à part les OIV, les RSSI qui doivent sécuriser des infrastructures sur Cloud public s’intéressent de plus en plus à cette approche managée. »
« L’enjeu du Cloud public est de savoir où est localisée la donnée et savoir comment elle est protégée. » Vincent Meysonnet, Bitdefender
Le passage au Cloud, un tsunami pour les process de sécurité traditionnels
Si le passage au Cloud public et à une architecture hybride pose des défis de sécurité purement techniques, il est un aspect bien trop souvent négligé par les directions, c’est le coup d’accélération qui va généralement de pair avec cette migration. Les entreprises optent pour le Cloud afin d’accompagner une gestion de projet qui évolue vers les méthodes agiles et donc des raccourcissements considérables des cycles de mise en production d’application. Cette accélération met à mal les process de sécurité des grands comptes comme l’explique Leif Kremkow, directeur technique de Qualys France : « Dans une grande organisation, une demande de changement nécessite quelquefois 3 à 4 mois de délai avant d’être validée. Avec l’arrivée du Cloud, l’approche Waterfall ne fonctionne plus ! » Les équipes de développement et de production travaillent de plus en plus en équipes DevOps et les équipes de sécurité doivent se mettre au diapason. Le directeur technique ajoute : « Il faut adapter les façons de travailler, les process de sécurité à l’agilité et à la vitesse apportées par le Cloud. C’est un vrai challenge et les startups en tirent avantage pour prendre de vitesse les grandes entreprises engluées par leurs réunions de planifications, leurs process internes. »
La technologie avance plus vite que les compétences
Laisser s’introduire un gap entre les process de développement et ceux de la sécurité présente des risques de sécurité. Ainsi, les prestataires Cloud effectuent de fréquentes montées de versions de leurs stacks ; or si le RSSI n’est pas averti par les métiers de ces mises à jour, cela peut introduire des failles de sécurité. De même que les développeurs se ruent aujourd’hui sur la containérisation, tous les fournisseurs de solutions de sécurité n’ont pas tous d’offres pour sécuriser ces nouvelles architectures. Leif Kremkow résume cette accélération d’une phrase : « La technologie avance beaucoup plus vite que les gens qui ont les compétences pour les gérer et plus vite encore que les process ».