Gestion des identités et des accès : quelle gouvernance mettre en place ?
Qu’est-ce que la gestion des identités et des accès ou IAM (Identity Access Management) ? L’Identity and Access Management (IAM) est...
La sécurité dans le cloud : stratégie du Zero Trust
Temps de lecture : 9 mins
Le Rhino
Cloud : la sécurité par défaut
Il y a peu, Vincent Strubel, Directeur Général de l’ANSSI, a affirmé que la France était une cible privilégiée des hackers. Avec un risque croissant de cyberattaques et une généralisation des stratégies go-to-cloud, la sécurité dans le cloud est un sujet primordial pour les entreprises, qui doit être abordé avec méthode.
Bien heureusement, les fournisseurs de cloud comme AWS, Azure, GCP, AliCloud ont parfaitement pris en compte ce risque afin de proposer les services de sécurité les plus élaborés. Ils œuvrent au maximum afin de mettre en place ce qu’on appelle la sécurité par défaut. Ils ont développé un modèle de responsabilité partagée, ou Shared Responsibility Model, qui permet de répartir clairement les rôles et les responsabilités entre le fournisseur de cloud et l’entreprise.
Le prestataire de services cloud assure la responsabilité intégrale de l’accès physique aux équipements, de l’application des correctifs sur l’ensemble de ces derniers, ainsi que du maintien de l’intégrité globale des plateformes. La charge revient ensuite au client, en tant qu’utilisateur du service cloud, de déployer toutes les solutions de sécurité mises à sa disposition par le ou les fournisseurs de services cloud.
Les fournisseurs de services cloud offrent une plateforme sur laquelle les clients peuvent utiliser de nombreux services. En général, ces fournisseurs proposent une plateforme configurable qui, par définition, met en place des mesures de protection par défaut, empêchant toute intrusion non autorisée. Cela s’inscrit dans la logique du Zero Trust, où l’accès n’est permis qu’après une vérification rigoureuse.
Il y a parfois des idées reçues selon lesquelles le cloud n’est pas sécurisé. En réalité, le problème ne vient pas de la sécurité intrinsèque du cloud, mais bien de la manière dont il est utilisé qui peut s’avérer non sécuritaire.
Qu’est-ce que le Zero Trust ?
Le Zero Trust, c’est une approche dans laquelle il faut considérer que chaque connexion, action ou composant est hostile par défaut. Il ne faut plus avoir une confiance implicite, mais une confiance explicite. La phrase à retenir quand on parle de Zero Trust est : Ne jamais faire confiance, toujours vérifier.
On va décompose le Zero Trust en quatre piliers :
- La sécurité périmétrique,
- L’usage de certificats,
- La gestion des droits et des utilisateurs
- Le chiffrement.
La comparaison entre le château fort et l’aéroport illustre bien les différentes approches de sécurité. Dans un environnement on-premise, la sécurité est souvent configurée autour d’un unique périmètre fortifié, à l’image d’un château fortifié où, une fois à l’intérieur, la libre circulation est presque totale. Cependant, cette seule ligne de défense, une fois franchie, laisse place à une vulnérabilité généralisée.
À l’opposé, un aéroport fonctionne avec de multiples niveaux de sécurité, s’inscrivant dans la philosophie du Zero Trust. Cette stratégie sécuritaire repose sur l’accès graduel à des zones de plus en plus sécurisées au sein du système d’information. L’idée est d’établir de multiples couches de défense, moins imposantes mais toujours efficaces, qui offrent des niveaux de sécurité diversifiés pour une défense en profondeur. Ainsi, les fournisseurs de cloud mettent à disposition des outils conçus pour offrir cette multiplicité de protections et renforcer la sécurité des infrastructures cloud.
L’approche Zero Trust consiste à trouver le niveau de sécurité attendu en fonction des attentes et de la criticité des données ou du service utilisé. Tous les fournisseurs de cloud fournissent l’intégralité des outils pour pouvoir mettre en place tout type de défenses.
Les grands piliers de la sécurité dans le cloud
La sécurité cloud repose sur plusieurs fondements essentiels :
- La gestion des identités et des accès, communément appelée Identity Access Management, constitue un aspect fondamental de la sécurité, relativement direct à mettre en œuvre.
- La détection d’intrusion est essentielle, avec plusieurs services qui offrent la possibilité de surveiller le système et alerter en cas d’anomalie.
- La protection des infrastructures est un autre pilier critique. Si l’infrastructure physique est sécurisée par défaut par le fournisseur de cloud, l’entreprise demeure responsable d’une part des composants. Utiliser des services gérés peut réduire cette charge de responsabilité.
- Un quatrième pilier concerne la protection des données, incluant le chiffrement des données en interaction, en transit ou stockées de manière sécurisée.
- Un dernier aspect crucial est la gestion des incidents : de nos jours, divers services sont disponibles pour assister les utilisateurs en cas d’incident de sécurité, comme Amazon Detective, par exemple.
- Et enfin, la conformité représente un pilier supplémentaire, garantissant que les pratiques de sécurité répondent bien aux normes et régulations en vigueur.
Gouvernance : rôles et responsabilités dans le cloud
Lorsqu’une entreprise amorce sa migration vers le cloud, une équipe dédiée est généralement constituée. Cette équipe peut avoir diverses appellations : Cloud Team, CCoE, etc.
Au cœur de cette équipe, la sécurité est toujours présente, souvent incarnée par un DevSecOps ou un RSSI. Cette personne devient, à un moment donné, le garant de la sécurité du cloud, non pas en termes de sécurité intrinsèque de la plateforme, mais plutôt en matière de bon usage des fonctionnalités de sécurité mises à disposition dans le cloud.
Cette distinction représente un changement de paradigme important. Dans une DSI traditionnelle, on trouve des responsables sur des services spécifiques, alors que dans le cloud, la responsabilité repose sur la manière d’utiliser un service donné.
Toutefois, la responsabilité relative à l’usage des services cloud revient aux équipes en charge des applications, et non à une DSI centralisée. On se place donc dans une dynamique différente caractérisée par une répartition des rôles bien distincte.
Le coût des outils de Cloud Security
Les fournisseurs de services cloud mettent à disposition des outils de sécurité de base, comme les Network Security Groups chez Azure ou les Security Groups chez AWS, généralement sans frais supplémentaires. Cependant, les fonctionnalités avancées comme l’analyse et la surveillance, capables de générer des métriques précises et de détecter activement des attaques ou intrusions, s’accompagnent d’un coût additionnel.
La subtilité de la sécurité dans le cloud réside dans le fait que les composants essentiels tels que les pare-feu et la gestion des identités sont souvent fournis à des coûts minimaux ou nuls. En revanche, pour des fonctionnalités plus sophistiquées, telles que les tableaux de bord consolidés offrant une vue d’ensemble, les coûts s’appliquent.
Le véritable enjeu est de déterminer quel est l’investissement minimal requis pour une sécurité efficace dans le cloud. Au-delà de la sécurité, tout aspect lié au cloud doit envisager un volet FinOps pour une gestion optimale des coûts.
Il est donc crucial, lors de l’évaluation de la maturité de l’entreprise, de bien comprendre quels outils sont utilisés, leur usage et leur finalité. Cela aide à orienter l’usage stratégique de ces outils et à anticiper les implications financières y afférentes.
Cloud Security : les étapes de mise en place
Mettre en œuvre une stratégie de sécurité dans le cloud implique plusieurs étapes clés :
- La première étape consiste à faire un cloud assessment pour évaluer le niveau de maturité de la sécurité de l’organisation (vision, outils, usages, pratiques, organisation, formation…)
- Ensuite, il faut cartographier les outils de sécurité actuellement utilisés en on-premise et dans le cloud, pour avoir une vision globale des ressources à disposition.
- Il est ensuite nécessaire de déterminer les besoins spécifiques en outils de sécurité pour chaque type d’utilisateur au sein de l’entreprise, sachant qu’un développeur et un RSSI n’auront pas les mêmes exigences.
- Chaque problème de sécurité détecté doit faire l’objet d’un plan de remédiation détaillé. Cela implique des audits de sécurité continus pour s’assurer que la stratégie de sécurité évolue avec le contexte tout en restant pertinente. Ce processus intègre le test et la validation des procédures pour découvrir les vulnérabilités et la capacité de l’entreprise à répondre à un incident, un facteur différenciant face à la concurrence.