Alors que les usages du Cloud public se généralisent dans les entreprises françaises, ces dernières doivent remettre à plat leur cybersécurité. Sécuriser ces infrastructures accessibles via internet, dynamiques et éphémères implique de nouvelles approches, de nouvelles solutions.
La toute dernière étude MARKESS by exægis sur l’adoption du Cloud en France montre que d’ici 2021, les entreprises françaises auront migré 48% de leur parc applicatif dans le Cloud public. 25% affirme déjà avoir migré plus de 75% de leur parc actuellement. Le phénomène du Cloud public et même du multi-Cloud est une réalité avec laquelle doivent désormais vivre les RSSI, une hétérogénéité qui pose des problèmes de cohérence et donc de conformité dans la protection des données. Philippe Proix, consultant en Gouvernance de la cybersécurité au sein du cabinet Talking-Cybersecurity estime que les entreprises ne prennent pas suffisamment en compte la sécurité de l’information dans cette démarche. « Migrer des applications vers le Cloud public n’est pas une démarche anodine, même si les services proposés par ces environnements sont très faciles à mettre en place et à déployer, le niveau de sécurité des données n’est pas bien étudié et le partage des responsabilités en matière de sécurité des données entre l’offreur Cloud et l’entreprise n’est pas pris en compte.» L’expert estime que l’intégration des solutions de sécurité et leur management par l’entreprise et par les services de sécurité IT de l’offreur Cloud sont deux paramètres essentiels à prendre en compte par l’entreprise. Tout l’enjeu pour les entreprises est désormais d’assurer la sécurisation et la mise en conformité d’architectures hybrides dont le périmètre n’est pas totalement maitrisé par l’entreprise mais placé sous la responsabilité partagée avec le fournisseur Cloud.
Une surface d’attaque plus large et dynamique
Pour Vincent Gervais, Directeur Conseil Cybersécurité chez Devoteam, le caractère très particulier des infrastructures hybrides doit pousser les entreprises à porter une attention toute particulière à la sécurisation des points d’accès entre les environnements (firewalls, proxys…) et à la mise en œuvre des éléments de détection et de remédiation des vulnérabilités et des incidents de sécurité (IDS, IPS, SIEM…) Un autre point d’attention est à apporter sur le choix de plans d’adressage IP compatibles et la sécurisation des communications. Il est aussi possible d’étendre les mécanismes de gestion des identités de l’entreprise dans le Cloud et encore mettre en place des mécanismes d’authentification des communications entre les deux environnements pour l’ensemble des flux échangés. « L’adoption par l’entreprise d’une approche “Zero-Trust” pour son infrastructure hybride, basée sur l’authentification continue, répond à plusieurs de ces points.»
« Les entreprises doivent mesurer et gérer leur cybersécurité selon la position actuelle face au risque et les prédictions sur les plus importantes menaces potentielles. »
Eric Detoisien, Director of Research – Tenable
Eric Detoisien, Director of Research chez l’éditeur Tenable considère que l’adoption massive du Cloud public, notoirement amplifiée par la pandémie du coronavirus a accru le risque qui pèse sur les données d’entreprise : « Cette surface d’attaque élastique a créé une énorme brèche dans la capacité des entreprises à comprendre leur cyber-risque à tout moment. Selon l’étude Forrester “L’ascension des responsables de la sécurité sensibles aux impératifs de l’entreprise”, 90 % des répondants français ont rapporté que leur organisation avait connu une cyberattaque ayant des répercussions sur son activité dans les douze derniers mois, avec 40 % affirmant en avoir supporté cinq ou plus.» L’expert estime que les entreprises ont besoin d’une stratégie innovante afin d’identifier précisément les vulnérabilités et les mauvaises configurations dans leurs infrastructures dynamiques. « Cette stratégie devra par ailleurs fournir une orientation et des recommandations claires sur la manière de prioriser et remédier à toute exposition au risque. »
Expert de la gestion des vulnérabilités des systèmes d’information, Qualys s’est associé avec les principaux fournisseurs de services Cloud pour mettre au point une solution appelée CloudView. L’édition gratuite, appelée “Cloud Inventory”, qui permet d’établir un inventaire instantané des ressources instanciées dans le Cloud par l’entreprise et établir les relations entre elles. L’édition payante réalise une évaluation instantanée des erreurs de configuration selon les critères de référence du CIS et les meilleures pratiques des fournisseurs de services de Cloud. Une fois que des anomalies sont trouvées, elles sont exposées avec une sévérité évidente et en détaillant les étapes à suivre pour les corriger. Cette approche facilite l’établissement des priorités tout en réduisant le temps nécessaire pour y remédier. Pour Clément Rabourdin, ingénieur au bureau français de Qualys : « La gouvernance de la sécurité, en particulier dans un environnement hybride et dans le Cloud est un concept holistique qui nécessite la mise en place, le développement ou le renforcement de capacités fondamentales.» Outre une détection fine des ressources IT consommées par l’entreprise, l’éditeur estime qu’il est nécessaire d’évaluer en permanence et en temps quasi réel ce niveau de sécurité.
Les solutions CASB jouent un rôle dans la gouvernance
Les solutions de type CASB (Cloud Access Security Broker) ont aussi un rôle à jouer dans la gouvernance de la sécurité de ressources hybrides à l’image de la solution Netskope, une plateforme unifiée pour les CASB, IaaS, le Web et l’accès privé. Frédéric Saulet, directeur régional des ventes de Netskope souligne : « Les fonctions de notre solution se concentrent sur l’établissement d’un inventaire précis des infrastructures et des ressources du Cloud public tout en évaluant la configuration et l’approvisionnement de chaque environnement. Il s’agit d’identifier tout problème exposant l’environnement. Un constat commun pour le Cloud public est la mauvaise configuration des environnements qui a conduit à de nombreuses expositions de données.»
La facilité de partage de données à grande échelle et aussi de réplication offerte par le Cloud nécessite d’accorder une attention toute particulière quant à la sécurisation des espaces de partages. Une plateforme dédiée à la sécurité des données telle que celle édité par Varonis détecte les cyberattaques, notamment les menaces internes, en analysant les données, l’activité des comptes et le comportement des utilisateurs. Celle-ci prévient et limite les catastrophes en verrouillant les données sensibles et désuètes et maintient ce niveau de sécurité grâce à des capacités d’automatisation. « En moyenne, 22 % des données d’une organisation sont accessibles à chaque employé et 70 % des failles de données prennent des mois ou des années à être découvertes » argumente Jérôme Soyer, directeur avant-ventes Europe de l’Ouest chez Varonis. « La compromission d’un seul et unique endpoint peut provoquer une faille de données dès lors que les données sont surexposées et non monitorées. L’outil Automation Engine de Varonis permet d’automatiser la réduction des risques en quelques jours, et non en plusieurs années.»
La migration vers le Cloud est sans nul doute le bon moment de repartir sur des bases plus saines.