Cloud : la sécurité par défaut

Il y a peu, Vincent Strubel, Directeur Général de l’ANSSI, a affirmé que la France était une cible privilégiée des hackers. Avec un risque croissant de cyberattaques et une généralisation des stratégies go-to-cloud, la sécurité dans le cloud est un sujet primordial pour les entreprises, qui doit être abordé avec méthode. 

Livre blanc migration cloud

Bien heureusement, les fournisseurs de cloud comme AWS, Azure, GCP, AliCloud ont parfaitement pris en compte ce risque afin de proposer les services de sécurité les plus élaborés. Ils œuvrent au maximum afin de mettre en place ce qu’on appelle la sécurité par défaut. Ils ont développé un modèle de responsabilité partagée, ou Shared Responsibility Model, qui permet de répartir clairement les rôles et les responsabilités entre le fournisseur de cloud et l’entreprise. 

Le prestataire de services cloud assure la responsabilité intégrale de l’accès physique aux équipements, de l’application des correctifs sur l’ensemble de ces derniers, ainsi que du maintien de l’intégrité globale des plateformes. La charge revient ensuite au client, en tant qu’utilisateur du service cloud, de déployer toutes les solutions de sécurité mises à sa disposition par le ou les fournisseurs de services cloud. 

Les fournisseurs de services cloud offrent une plateforme sur laquelle les clients peuvent utiliser de nombreux services. En général, ces fournisseurs proposent une plateforme configurable qui, par définition, met en place des mesures de protection par défaut, empêchant toute intrusion non autorisée. Cela s’inscrit dans la logique du Zero Trust, où l’accès n’est permis qu’après une vérification rigoureuse. 

Il y a parfois des idées reçues selon lesquelles le cloud n’est pas sécurisé. En réalité, le problème ne vient pas de la sécurité intrinsèque du cloud, mais bien de la manière dont il est utilisé qui peut s’avérer non sécuritaire. 

Qu’est-ce que le Zero Trust ?

Le Zero Trust, c’est une approche dans laquelle il faut considérer que chaque connexion, action ou composant est hostile par défaut. Il ne faut plus avoir une confiance implicite, mais une confiance explicite. La phrase à retenir quand on parle de Zero Trust est : Ne jamais faire confiance, toujours vérifier. 

On va décompose le Zero Trust en quatre piliers :  

La comparaison entre le château fort et l’aéroport illustre bien les différentes approches de sécurité. Dans un environnement on-premise, la sécurité est souvent configurée autour d’un unique périmètre fortifié, à l’image d’un château fortifié où, une fois à l’intérieur, la libre circulation est presque totale. Cependant, cette seule ligne de défense, une fois franchie, laisse place à une vulnérabilité généralisée. 

À l’opposé, un aéroport fonctionne avec de multiples niveaux de sécurité, s’inscrivant dans la philosophie du Zero Trust. Cette stratégie sécuritaire repose sur l’accès graduel à des zones de plus en plus sécurisées au sein du système d’information. L’idée est d’établir de multiples couches de défense, moins imposantes mais toujours efficaces, qui offrent des niveaux de sécurité diversifiés pour une défense en profondeur. Ainsi, les fournisseurs de cloud mettent à disposition des outils conçus pour offrir cette multiplicité de protections et renforcer la sécurité des infrastructures cloud. 

L’approche Zero Trust consiste à trouver le niveau de sécurité attendu en fonction des attentes et de la criticité des données ou du service utilisé. Tous les fournisseurs de cloud fournissent l’intégralité des outils pour pouvoir mettre en place tout type de défenses. 

Les grands piliers de la sécurité dans le cloud

La sécurité cloud repose sur plusieurs fondements essentiels : 

Gouvernance : rôles et responsabilités dans le cloud

Lorsqu’une entreprise amorce sa migration vers le cloud, une équipe dédiée est généralement constituée. Cette équipe peut avoir diverses appellations : Cloud Team, CCoE, etc. 

Au cœur de cette équipe, la sécurité est toujours présente, souvent incarnée par un DevSecOps ou un RSSI. Cette personne devient, à un moment donné, le garant de la sécurité du cloud, non pas en termes de sécurité intrinsèque de la plateforme, mais plutôt en matière de bon usage des fonctionnalités de sécurité mises à disposition dans le cloud. 

Cette distinction représente un changement de paradigme important. Dans une DSI traditionnelle, on trouve des responsables sur des services spécifiques, alors que dans le cloud, la responsabilité repose sur la manière d’utiliser un service donné. 

Toutefois, la responsabilité relative à l’usage des services cloud revient aux équipes en charge des applications, et non à une DSI centralisée. On se place donc dans une dynamique différente caractérisée par une répartition des rôles bien distincte. 

Le coût des outils de Cloud Security

Les fournisseurs de services cloud mettent à disposition des outils de sécurité de base, comme les Network Security Groups chez Azure ou les Security Groups chez AWS, généralement sans frais supplémentaires. Cependant, les fonctionnalités avancées comme l’analyse et la surveillance, capables de générer des métriques précises et de détecter activement des attaques ou intrusions, s’accompagnent d’un coût additionnel. 

La subtilité de la sécurité dans le cloud réside dans le fait que les composants essentiels tels que les pare-feu et la gestion des identités sont souvent fournis à des coûts minimaux ou nuls. En revanche, pour des fonctionnalités plus sophistiquées, telles que les tableaux de bord consolidés offrant une vue d’ensemble, les coûts s’appliquent. 

Le véritable enjeu est de déterminer quel est l’investissement minimal requis pour une sécurité efficace dans le cloud. Au-delà de la sécurité, tout aspect lié au cloud doit envisager un volet FinOps pour une gestion optimale des coûts. 

Il est donc crucial, lors de l’évaluation de la maturité de l’entreprise, de bien comprendre quels outils sont utilisés, leur usage et leur finalité. Cela aide à orienter l’usage stratégique de ces outils et à anticiper les implications financières y afférentes. 

Cloud Security : les étapes de mise en place

Mettre en œuvre une stratégie de sécurité dans le cloud implique plusieurs étapes clés :