A l’heure où les DSI adoptent un modèle hybride, sécuriser des infrastructures hétérogènes entraîne de nouvelles contraintes. Entre volonté de continuité et innovation, les RSSI doivent trouver le bon équilibre.
Chaque CSP (Cloud Service Provider) offre aux entreprises de multiples outils pour sécuriser les applications qu’elles transfèrent sur leur Cloud. Face à ces pure players, DOSI et RSSI doivent désormais choisir entre répliquer la sécurité qu’ils ont déployée sur leurs infrastructures on-premise ou repartir d’une page blanche.
Les éditeurs de sécurité ont tous pris le train du Cloud
Comme beaucoup, Arista Networks a porté ses solutions dans le Cloud sous forme d’offres virtualisées. Christophe Compain, responsable de l’engineering systèmes explique la démarche de l’équipementier : « Nous avons porté notre système d’exploitation réseau sous forme de VM afin d’être déployés à la fois en on-premise KVM ou ESX ou dans le Cloud public et avoir ainsi une architecture hybride uniforme. Avec Palo Alto Networks, nous proposons une macro-segmentation qui permet d’insérer une chaîne de sécurité dynamiquement dans une connexion réseau. Le réseau va automatiquement appliquer la politique de sécurité Palo Alto Panorama. »
Outre ses solutions virtualisées, Barracuda Networks, partenaire Microsoft Azure, propose aussi des solutions de backup Office 365, de sécurité SD-WAN pour les liens entre le réseau de l’entreprise et le Cloud public, mais aussi le service Cloud Security Guardian. Cette solution de gestion de la conformité des règles de sécurité permet de s’assurer du respect des règles de sécurité de l’ensemble des firewalls déployés, qu’ils soient on-premise ou dans le Cloud.
Une autre approche pour sécuriser le Cloud ?
Pour Zscaler, une solution de CASB permet de découvrir le Shadow IT, assurer un contrôle nord-sud entre l’utilisateur et ses applications Cloud, mais reste aveugle sur le trafic Est-Ouest, c’est-à-dire d’un Cloud vers un autre. Pour Ivan Rogissart, directeur avant-ventes chez Zscaler, le Cloud impose de revoir l’approche de la cybersécurité traditionnelle : « Notre approche n’est pas de répliquer dans le Cloud l’architecture de protection du datacenter. Avec Zscaler Private Access, il s’agit d’instaurer un Software-Defined Perimeter qui isole complètement les applications et n’ouvre plus aucune communication entrante. Le chemin réseau est basé sur des tunnels et l’utilisateur doit s’authentifier avant que la solution ne génère les liens réseaux. »
Si disposer d’une sécurité sans couture sur une architecture hybride n’est encore qu’un objectif à atteindre, les RSSI disposent de nombreux outils pour sécuriser un système d’information à la fois hybride et multi-Cloud.
Rohde & Schwarz Cybersecurity
Le rôle prépondérant du WAF dans le Cloud
Edouard Viot, chef de produit chez Rohde & Schwarz Cybersecurity, explique : « Le moteur de notre WAF protège contre les vulnérabilités Web classiques, mais intègre aussi des mécanismes de protection des API. La solution se comporte comme un reverse-proxy et vient se placer devant l’application d’entreprise qui expose des API. Elle intercepte le trafic afin de protéger l’application des requêtes malveillantes et va remonter des données détaillées vers le SIEM afin de signaler des signaux faibles ou les attaques avérées au SOC.»