Les entreprises exploitent désormais massivement le Cloud public dans le cadre de leur transformation digitale. Un mouvement de fond qui a un lourd impact sur la cybersécurité, tant dans les solutions à mettre en œuvre qu’en termes de politique de sécurité.
S’appuyant sur une récente étude menée par le CESIN, Jamal Dahmane, CISO du groupe Essilor et membre du comité directeur du CESIN, soulignait lors de la dernière édition du Cloud Security Summit de Palo Alto Networks à Paris la forte montée du modèle hybride dans le système d’information des entreprises françaises. « 87 % des adhérents du CESIN nous disent que leur entreprise a des informations dans le Cloud. 52 % disent qu’il s’agit de Cloud public, 35 % d’un Cloud privé et 34 % de Cloud hybride. Et ce qui arrive en tête des soucis des responsables de la sécurité, c’est la difficulté du contrôle des accès administrateur, devant la maîtrise de toute la chaîne des sous-traitants », constate-t-il
L’enquête du CESIN fait apparaître que les responsables sécurité mettent en œuvre en moyenne 11,6 outils de sécurité.
40 briques de sécurité dans une même entreprise
Ce chiffre grimpe jusqu’à 40 solutions de sécurité chez certaines entreprises et l’essor du Cloud ne fait qu’ajouter un peu plus à cette complexité avec l’arrivée des CASB, solutions de chiffrement end to end, des briques de sécurité classiques transformées en appliances virtuelles sans compter toutes les solutions de sécurité proposées par les fournisseurs de Cloud eux-mêmes. Les entreprises ont dû créer un nouveau silo de sécurité dans le Cloud et les fournisseurs comme Juniper Networks cherchent à rapprocher ces deux silos. Ramyan Selvam, ingénieur système chez l’équipementier américain résume sa stratégie : « Toute la politique de sécurité qui est mise en œuvre dans le datacenter de l’entreprise doit être transposable sur le Cloud. Nos solutions hardware ont été converties en appliances virtuelles et sont disponibles sur les marketplaces AWS, Azure et Google Cloud cette année. Notre outil d’administration va piloter ces appliances et ainsi offrir cette unification de la politique de sécurité et proposer une sécurité de bout en bout. »
Autre fournisseur très actif sur le Cloud, Palo Alto Networks qui a réalisé les acquisitions coup sur coup d’Evident.io et de RedLock, deux spécialistes de la sécurité du Cloud. « Nous avons fusionné leurs offres afin de proposer une solution multi-Cloud » explique Raphaël Bousquet, vice-président EMEA South de Palo Alto Networks. Il précise : « La solution permet notamment de vérifier le niveau de conformité d’un déploiement d’application sur le Cloud public. Beaucoup d’entreprises sont aujourd’hui dans une approche multicloud, or s’appuyer sur les solutions de chaque CSP empêche d’avoir une application uniforme de la politique de sécurité. Notre offre vient se placer au-dessus et se veut agnostique en termes de Cloud. » Le fournisseur, tout comme ses concurrents travaille désormais sur une console d’administration unique, l’objectif à terme étant de piloter la sécurité des ressources IT dans le datacenter ou sur le Cloud public depuis un même outil.
Jean-Noël de Galzain, PDG de Wallix
« Dans le Cloud, le PAM devient le seul moyen de contrôler les accès.»
« Tout éditeur de solutions de sécurité se doit aujourd’hui d’offrir un continuum de solutions entre l’environnement on-premise et le Cloud public et nos clients nous demandent d’être capables de supporter ces deux environnements. Sur les environnements de Cloud public, on ne maîtrise plus les couches d’infrastructure, par conséquent le PAM, la gestion des comptes à privilèges devient le seul moyen de contrôler les accès. Autre phénomène, celui d’entreprises qui confient leur informatique à des infogérants qui eux-mêmes s’appuient sur du Cloud. Là encore, le PAM est indispensable pour contrôler les accès de toute cette chaîne de sous-traitants. Le PAM est l’outil de sécurité qui doit être le tiers de confiance qui va prévenir les risques liés à l’accès. »