• Print
  • Decrease text size
  • Reset text size
  • Larger text size
04/05/2019

Comment aborder les enjeux de sécurité dans le Cloud ?

Bien que l’adoption du Cloud se soit accélérée ces dernières années (d’après une étude Statista, le marché du Cloud a généré 180 milliards de dollars en 2018 et devrait générer 411 milliards en 2020), de nombreuses entreprises restent encore réticentes à migrer vers le Cloud, notamment pour des raisons de sécurité et de protection des données.

En effet, selon cette même étude, 70% des professionnels de la cybersécurité estiment encore qu’il est plus difficile de sécuriser les données dans un environnement Cloud. Effectivement, l’externalisation du SI entraînant celle des données associées, ces dernières se retrouvent exposées à des risques supplémentaires que les organisations ne peuvent pas forcément contrôler (p. ex. perte ou vol de données, espionnage, altération des données, …). Perdant toute maîtrise de la mise en œuvre de la sécurité, les organisations refusent de confier leurs données à des entités externes et préfèrent garder la main sur leur sécurité. Pourtant comme nous allons le voir par la suite, les moyens mis en œuvre par les fournisseurs Cloud permettent tout aussi bien, si ce n’est mieux, d’assurer la sécurité des données dans le Cloud.

Comment assurer la sécurité des données dans le Cloud ?

La donnée est aujourd’hui un élément essentiel du SI et un actif clé indispensable au bon fonctionnement de l’organisation. Tout incident la concernant peut avoir des conséquences lourdes pour l’organisation (baisse de la productivité, altération de l’image de l’entreprise, baisse de performance, voire arrêt de l’activité, pertes économiques, …). Il est donc important d’en garantir la disponibilité (possibilité d’accéder aux données au moment voulu), l’intégrité (les données ne peuvent pas être modifiées par des utilisateurs qui n’en ont pas l’autorisation) et la confidentialité (seuls les utilisateurs habilités peuvent accéder aux données).

Dans le Cloud, au-delà de l’aspect contractuel, le maintien de la disponibilité des données est naturellement garanti. En effet, le coût unitaire de la ressource Cloud étant faible, il est désormais plus facile d’investir dans la sauvegarde multiple d’un même ensemble de données pour en assurer la redondance. Il devient ainsi possible de mettre en place des systèmes de récupération pour aider à la restauration des données en cas d’incident et limiter la perte généralisée des données. Cela est particulièrement utile pour la mise en œuvre des Plans de Reprise d’Activité (PRA) avec des systèmes de secours à moindre coût.

Les risques reposent finalement davantage sur le maintien de l’intégrité et de la confidentialité des données dans ce contexte. En effet, étant hébergées à distance et gérées par une entité extérieure à l’organisation, les données sont exposées à davantage de risques potentiels du fait de leur communication par le biais de canaux externes que l’entreprise ne peut pas maîtriser (réseau de l’hébergeur, réseau public entre l’hébergeur et l’organisation et l’organisation et l’utilisateur). Afin de garantir leur intégrité, la mise en place de dispositifs de chiffrement ou d’anonymisation des données, le hachage ou encore l’utilisation de protocoles de communication sécurisés (p. ex. HTTPS ou utilisation d’un VPN) est nécessaire. Enfin, étant donné que le Cloud, notamment dans sa version publique, entraîne la cohabitation des données de différentes organisations sur une même instance physique (multi-tenancy), il revient au fournisseur Cloud d’assurer une bonne isolation des données qu’il héberge, par exemple grâce à une bonne gestion des identités (voir notre article IAM dans le Cloud), afin d’assurer la confidentialité des données.

 

Quand la réglementation s’en mêle

Les réglementations en matière de protection des données (RGPD, California Consumer Privacy Act, Cloud Act, …) imposent des contraintes supplémentaires à la fois aux fournisseurs de Cloud mais aussi aux organisations qui font appel à leurs services. Par exemple lors de la mise en place du RGPD, de nombreux fournisseurs Cloud, ayant au sein de leur portefeuille des clients concernés par cette nouvelle réglementation, ont dû mettre en place l’ensemble des dispositifs nécessaires à son application afin de conserver leurs clients. Les fournisseurs Cloud se doivent donc de rester constamment au fait des nouvelles règlementations et de se mettre en conformité avec celles-ci afin de fidéliser leurs clients déjà acquis, mais également pour en faire un atout concurrentiel face à d’autres fournisseurs et ainsi attirer de nouveaux clients. Google a par exemple consacré une équipe entière au sujet de la protection des données qui est amenée à intervenir à tous les niveaux, que ce soit lors de la conception des projets (Security by Design) ou lors de leur déploiement.

Du fait des différentes réglementations qui peuvent exister, les organisations doivent également porter un œil attentif aux fournisseurs qu’elles choisissent, à la fois pour vérifier que les réglementations auxquelles elles sont soumises, comme le RGPD, sont bien respectées, mais également pour s’assurer qu’elles ne seront pas contraintes par d’autres réglementations imposées aux fournisseurs telles que le Cloud Act qui autorise les autorités américaines à accéder aux données personnelles stockées à l’étranger par une entreprise américaine, mettant en péril la confidentialité des données.

 

Choisir le Cloud pour assurer la sécurité de ses données

La sécurité étant un élément essentiel au bon fonctionnement du SI, les organisations souhaitent garder le contrôle sur la façon dont elle est assurée. C’est exactement ce qui les rend réticentes à passer au Cloud. N’ayant pas de visibilité sur la façon dont les mesures de sécurité sont mises en place chez les fournisseurs de Cloud, les organisations craignent que le niveau de sécurité soit insuffisant.

Pourtant, au-delà de l’hébergement des données, assurer leur sécurité constitue un des cœurs de métier des fournisseurs Cloud. En effet, n’ayant pas d’autre choix que de fournir un service fiable inspirant la confiance à leurs clients, les fournisseurs Cloud doivent redoubler d’effort pour assurer la sécurité au niveau de chacun de leurs services. Ils mettent donc en place des équipes dédiées uniquement à l’application des principes de sécurité, à l’exemple de Google qui a mis en place une équipe de plus de 500 personnes destinées à assurer la protection des infrastructures (réseau, systèmes, services), mettre en place et superviser les processus de contrôle de sécurité et de mettre en œuvre les politiques de sécurité de Google. En plus de cela, le fournisseur américain possède une équipe dédiée en charge d’effectuer des diagnostics de sécurité, des tests d’intrusion et des contrôles de qualité logicielle. Enfin le fournisseur américain a également une équipe dédiée à la conduite d’audits de sécurité réguliers pour assurer la conformité de ses systèmes avec l’ensemble des standards de sécurité.

Pour renforcer leur dispositif de sécurité, les organisations peuvent par ailleurs faire appel à un Cloud Access Security Broker (CASB), qui intervient en tant que rempart entre les services Cloud et les utilisateurs et gérer les principales menaces liées à l’utilisation du Cloud lorsque les données se trouvent dans le périmètre extérieur à l’organisation (fuite de données, vulnérabilités liées à l’utilisation d’APIs, usurpation d’identité, intrusions, …) et par conséquent assurer une protection des données de bout en bout. Grâce au CASB, les organisations peuvent enfin gagner en visibilité sur l’ensemble de leur écosystème Cloud et sa sécurité.

 

 

Comment déterminer si un fournisseur répond à mes besoins en matière de sécurité ?

La sécurité est un des critères principaux entrant en jeu lors de la sélection de son fournisseur de service Cloud. Pour l’évaluer il est important de bien définir les critères à prendre en considération dans son choix afin de choisir le type de Cloud qui correspond le plus à son besoin.

Dans un premier temps, il convient d’évaluer son besoin en matière de sécurité :

  •  Quelle est la nature et la sensibilité des données concernées ? Pour répondre à cette question, il est possible de classer les données par utilisation et niveau de sensibilité.
  • Pour chacune des catégories définies précédemment, quelles sont les exigences requises en matière de sécurité ?
  • Quel pourrait être l’impact sur mes données et mon activité en cas de faille de sécurité ?
  • Quelle est la probabilité qu’une telle faille survienne ?
  • Quel est le niveau de sécurité actuel de mon SI ?
  • Mon organisation est-elle soumise à des contraintes légales et/ou réglementaires ?

Sur la base de cette première évaluation, il est ensuite possible d’échanger avec les fournisseurs afin d’évaluer la façon dont ils y répondent :

  • Quels sont les dispositifs mis en place par le fournisseur pour gérer les différents niveaux de sensibilité (chiffrement, hashage, isolation des données, gestion des identités, …) ?
  • Le fournisseur autorise-t-il l’utilisation d’applications tierces pour la gestion de la sécurité si je souhaite garder le contrôle sur certains volets ? Est-il facile d’interfacer le service de mon fournisseur avec un éditeur tierce ?
  • Le fournisseur propose-t-il un service flexible sur lequel il est possible de mettre en place des dispositifs particuliers afin de répondre plus précisément à mes besoins en termes de sécurité ?

En plus de cela, il convient de vérifier que le fournisseur a mis en place des mesures plus générales :

  • Où sont localisés leurs datacenters ? En effet, comme vu précédemment, l’emplacement des datacenters peut avoir un impact sur la réglementation à laquelle mes données seront soumises.
  • Quelles sont les mesures mises en place pour respecter les réglementations auxquelles les fournisseurs ainsi que leurs clients sont soumis ?
  • L’éditeur réalise-t-il des audits de sécurité réguliers ? M’autorise-t-il à réaliser un audit de sécurité afin de vérifier que son dispositif réponde bien à mes attentes en matière de sécurité ?

 

Bien que le Cloud présente de nombreux avantages (faible coût, appui à l’innovation, optimisation de la performance, accélérateur de la transformation, …), il ne faut pas pour autant se précipiter pour migrer vers celui-ci. Il est impératif de mener au préalable une réflexion sur les niveaux de sécurité attendus, les modalités de migration et de rétention des données en portant une attention particulière sur la sécurité. L’analyse des contrats Cloud est également un point structurant : qui porte la responsabilité sur quoi ? Comment est mesuré le service ? Quels sont les garanties apportées par le fournisseur (preuves d’audit…) ? Quel est le niveau de granularité de la clause de réversibilité ?

---------------------------------------------

 

Article rédigé par Mirana RANDIMBIVOLOLONA, Consultante

0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top