Confiance dans le cloud : la sécurité est clé

Cette inquiétude légitime peut désormais être atténuée, grâce à la maturité acquise au cours des dernières années et aux immenses progrès des solutions de sécurité. Il est désormais possible de sécuriser ses données, ses applications et ses infrastructures dans le cloud d’une manière qui soit à la fois efficace et peu contraignante pour les utilisateurs. Associer ces derniers à la définition et à la mise en œuvre de cette politique est la clé de leur confiance dans le cloud, elle-même nécessaire à une utilisation sans retenue de ses formidables capacités.

Le double défi de la sécurité dans le cloud

La sécurité dans le cloud est un double défi : technique et technologique d’une part ; humain et organisationnel d’autre part. Du point de vue technologique, émergent trois grands enjeux prioritaires, sur lesquels doivent se concentrer les efforts. Le premier d’entre eux est la gestion des identités et des accès (IAM). Dans le cloud, il est capital de s’assurer que quiconque accédant aux données et aux différents services (IaaS, PaaS, SaaS) est bien qui il prétend être et qu’il dispose des autorisations adéquates. Le deuxième enjeu est la sécurité des données, qu’il faut protéger des fuites, des indiscrétions et des intrusions malveillantes sans toutefois nuire à la fluidité de leur circulation. Enfin, troisième enjeu clé, il est indispensable d’avoir une excellente visibilité pour s’assurer que les politiques sont correctement appliquées, et pour pouvoir détecter tout mouvement suspect et intervenir au plus tôt et à bon escient.

Ces trois problématiques de sécurité ne sont pas propres au cloud, mais elles y deviennent à la fois plus critiques et plus complexes. Vaste, ouvert et mouvant, le cloud ne permet pas de les appréhender comme dans un environnement traditionnel et requiert de nouvelles approches : le contrôle des accès exige une gestion plus fine et centralisée des identités et des droits ; la protection des données passe notamment par une généralisation du chiffrement ; la visibilité doit s’exercer sur un périmètre et sur des volumes de données d’une ampleur inédite. Et cette complexité est encore démultipliée dans le cas des environnements hybrides et multiclouds !

Du point de vue humain et organisationnel, la sécurité dans le cloud soulève également trois enjeux prépondérants. En premier lieu, il y a la question de la conformité légale et réglementaire, qui se pose avec d’autant plus d’acuité que les obligations ne cessent de se multiplier et de se renforcer, et qu’il est de plus en plus difficile de les satisfaire dans l’environnement sans frontière du cloud. Le deuxième enjeu est celui des compétences car il est pratiquement impossible de posséder et de maintenir une connaissance approfondie de toutes les plateformes. Le risque est alors que les politiques ne soient pas appliquées, ou qu’elles le soient incorrectement, surtout dans un environnement multiclouds. Enfin, le dernier enjeu tient à l’absence fréquente d’une stratégie de sécurité spécifiquement prévue pour le cloud. Très souvent, les organisations aménagent  leur politique existante et appliquent de façon empirique des solutions peu adaptées, peu coordonnées et mal documentées. Il en résulte inévitablement des brèches que les pirates ne manquent pas d’exploiter.

Une priorité : actualiser la stratégie de sécurité

Qu’il s’agisse des aspects technologiques ou organisationnels, la principale difficulté, on le voit, tient à la persistance d’approches obsolètes, qui ne tiennent pas compte des spécificités du cloud, aussi bien en ce qui concerne la sécurité que les usages des utilisateurs. Pour répondre à l’ensemble des défis évoqués ci-dessus, la priorité est donc de remettre à plat la stratégie de sécurité. Si on est sur le point de se lancer dans un projet Move to Cloud, c’est l’occasion de prendre le sujet dès le départ et de mettre en place une approche complète. Quant aux entreprises qui ont déjà migré tout ou partie de leur système d’information vers le cloud, il n’est jamais trop tard pour harmoniser, consolider et compléter l’existant afin d’optimiser la couverture.

Dans tous les cas, la ligne directrice de la stratégie de sécurité doit être de maintenir l’équilibre entre protection et agilité. Rappelons que la motivation première du cloud est de permettre aux métiers de s’adapter dans les plus brefs délais aux évolutions de leur marché et d’en saisir tout de suite les opportunités. Une sécurité excessivement contraignante serait donc un contre-sens. C’est pourquoi la stratégie de sécurité pour le cloud ne doit pas être seulement pensée en fonction des systèmes, des données et des risques, mais aussi des besoins et des impératifs business. Il faut notamment se garder de principes trop rigides et conserver une souplesse d’appréciation et d’adaptation pour éviter que le remède ne soit en définitive pire que le mal.

Le dialogue, ferment d’une sécurité équilibrée et de la confiance

Pour cela, il importe de construire la stratégie de sécurité en prenant en compte toutes les dimensions, et donc en associant toutes les parties prenantes. La matrice des rôles et des responsabilités de la sécurité doit intégrer toutes les équipes IT et non IT concernées par le cloud. Ceci permet aux utilisateurs de faire part des contraintes et des besoins du terrain, et à la sécurité d’en prendre note, mais aussi de sensibiliser, d’expliquer et de convaincre à son tour de l’importance des mesures qu’elle envisage. Ces échanges permettent de bâtir une stratégie de sécurité cohérente, proportionnée et pérenne, dont les dispositions seront comprises, acceptées et appliquées par tous. C’est aussi un premier pas indispensable vers la mise en place d’un fonctionnement plus décentralisé de la sécurité, dans lequel une partie des responsabilités sera déléguée aux équipes opérationnelles, notamment lors des phases de conception (Security by Design). Ce modèle, vers lequel tendent les organisations les plus matures, nécessite une culture, des compétences, mais par-dessus tout une confiance réciproque. Une confiance qui, certes repose sur des solutions technologiques, mais qui ne peut naître que du dialogue.