Les opérations de confiance, un échelon supplémentaire dans la sécurité de votre patrimoine IT

Le cloud, un modèle de responsabilités partagées 

Le cloud repose sur un modèle de responsabilités partagées entre le fournisseur et l’utilisateur. Le rapport de confiance mutuel qui en découle dépend cependant du type d’opérations ainsi que de la nature des services souscrits. Schématiquement, les opérations peuvent se ranger en trois familles : les données, les applications et les infrastructures. Quant aux services, trois grands types prédominent – IaaS, PaaS et SaaS – qui s’accompagnent d’un transfert de confiance croissant. En croisant ces deux dimensions, se dessine une matrice du partage graduel des responsabilités : elles incombent totalement au client pour tout ce qui a trait aux données alors qu’elles sont maximales pour le fournisseur dans le cas d’une offre SaaS. Plus le transfert de confiance du client au fournisseur est important, plus ce dernier doit apporter de garanties aux opérations concernées. Dans les faits, cela se traduit par une organisation, des procédures et des outils qu’il devra mettre en place pour sécuriser les gestes opérationnels. 

Concilier sécurité et ouverture   

L’introduction de la notion de cloud dit « de confiance » vise à certifier la présence d’un certain niveau de sécurité entre le fournisseur et son client. Dans les faits, il s’agit de pouvoir garantir à l’entreprise utilisatrice qu’en toutes circonstances, ses données ne seront accessibles qu’à elle seule. Jusque-là, un tel niveau de sécurité, de confidentialité et de contrôle n’était possible que dans les clouds dits « privés », c’est-à-dire confinés dans le propre data center de l’entreprise ou bien hébergés par un tiers en isolation totale de ses autres clients. Cependant, en raison de ces restrictions, le cloud privé n’apporte pas tous les avantages de flexibilité, d’élasticité, de mutualisation et d’innovation généralement recherchés dans le cloud. Le cloud de confiance vise à dépasser cette incompatibilité fondamentale entre sécurité maximale et bénéfices d’un modèle externalisé. Cela passe notamment par la mise en œuvre du principe Zero Trust, qui systématise les vérifications à tous les niveaux, minimise les droits et multiplie les segmentations. S’y ajoutent d’autres principes fondamentaux de résilience et de cybersécurité : redondance des données, dispersion géographique des data centers, rigueur des mises à jour, dispositifs de surveillance, de détection, d’alerte et de réaction…  

Le cloud de confiance en pratique : les opérations de confiance 

Concrètement, les exigences du cloud de confiance vont imprégner les différents services aux opérations que réalise le cloud provider et qu’il entourera de mesures de précaution renforcées : outillage, pratiques, organisation, compétences, habilitations réglementaires…  

Dans le cas d’une offre IaaS, ces services aux opérations sont, notamment, les gestions du provisionnement, du déploiement, de la sécurité avec une philosophie ZERO TRUST qui comprend : 

• Zonage : cette opération consiste à bien délimiter les zones où on déploie les ressources ce qui améliore grandement par exemple la mise en quarantaine rapide des zones attaquées par des pirates informatiques ou bien la surveillance des flux et des échanges entre applications client.
• Micro-segmentation : c’est une opération qui consiste à bien définir qui communique avec qui à l’intérieur même d’une zone, ce qui limite la surface d’attaque au niveau du cloud et renforce la sécurité.
•  Filtrage réseau : on s’appuie souvent sur des parefeux pour n’autoriser que les flux explicitement autorisés entre les zones et tout le reste est interdit.  
• Filtage applicatif : grâce à ce qu’on appelle des web application firewalls, ces opérations consistent à sécuriser l’accès aux applications (couche 7 dans le modèle OSI) et ça pourrait être à la maille d’une URL. 

Sans oublier des logiques de sauvegarde et de secours informatique qui respectent la réglementation du secteur d’activités du client… Ici, le renforcement de la sécurité va impliquer un cloisonnement très fort, y compris au niveau des personnes, des droits dont ils disposent et des outils qu’ils utilisent. Ainsi, un administrateur ne pourra réaliser que les tâches auxquelles il est habilité, pour lesquelles il disposera d’une autorisation explicite, et uniquement depuis un terminal dédié, dépourvu de tout autre accès et fonctionnalité.  

Dans le cas d’une offre PaaS, les services tourneront autour du déploiement et de la sécurité des applications et passeront par une chaîne DevSecOps, à même de garantir à la fois la sécurité du code applicatif et celle de l’environnement physique et logique qui le recevra. Enfin, concernant les offres SaaS, les services seront limités à leur configuration et des fonctions d’administration déléguées par l’éditeur. 

Par ailleurs, un certain nombre d’outils permettront d’adresser des problématiques plus transverses, comme la gestion des incidents et des changements, la supervision (applications, environnements, sécurité…) ou encore le suivi d’indicateurs Finops/Greenops. 

Opérations de confiance et politique de sécurité 

Au même titre que la responsabilité des opérations, la responsabilité en matière de sécurité est partagée entre le client, son fournisseur de cloud et, le cas échéant, un prestataire de services numériques. En principe, le client est responsable de la sécurité des données et des composants qui lui appartiennent (sécurité dans le cloud) tandis que le fournisseur l’est des ressources qu’il met à sa disposition (sécurité du cloud). En pratique, le prestataire propose sa politique standard de sécurité au client, qui valide qu’elle recouvre ses exigences. En particulier, la certification ISO 27001 « Infosec » garantit le respct d’une organisation et de procédures opérationnelles en matière de sécurité. Le RGPD est un autre sujet pour lequel il y a parfois un partage des responsabilités, le fournisseur de cloud pouvant, dans certains cas, être responsable, ou co-responsable, des traitements des données personnelles. Dans tous les cas, il appartient au client de connaître son patrimoine informationnel, de comprendre ce qui doit  être sécurisé ainsi que les réglementations applicables, et de choisir un fournisseur en fonction.  

Il est important de noter qu’il faut par exemple être vigilant quant à la localisation géographique des équipes qui exploitent les environnements cloud, les interconnections réseaux utilisés (RIE par exemple pour la France) et le choix des outils qui soient validés par les organismes officiels exemple l’ANSSI pour la France

L’émergence des offres 

Depuis la clarification officielle de la dénomination « cloud de confiance », le marché se développe avec deux catégories de fournisseurs : les acteurs issus du monde du data center et du cloud privé, tels OVHcloud, Outscale ou Cloud Temple, et des structures créées entre fournisseur de cloud et prestataires de services hexagonaux, comme Bleu, qui regroupe Orange et Capgemini autour d’offres Cloud Microsoft ou encore S3NS, une solution Google Cloud et Thalès. Des offres sont d’ores et déjà disponibles, notamment pour les administrations, les OIV (opérateurs d’importance vitale) et les OSE (Opérateurs de Services Essentiels) (opérateurs de services essentiels), tenus d’héberger leurs « applications et données critiques » sur des « clouds de confiance ». En revanche, en dépit de dénominations qui tendraient à faire croire le contraire (Régions France d’AWS et d’Azure, Assured Workloads chez GCP, EU-Oracle Sovereign Cloud chez OCI…), les offres de grands opérateurs ne sont pas conformes aux dernières exigences de l’ANSSI car, dépendant d’entités juridiques américaines, elles restent soumises au Cloud Act.