Cybersécurité et cloud de confiance, un mariage de raison

Il peut s’agir de données personnelles, bancaires ou de santé, de propriété intellectuelle, ou encore de documents confidentiels. Dans tous les cas, la question de la souveraineté va nécessairement de pair avec une exigence renforcée de sécurité. Or, un service IaaS, PaaS, CaaS ou SaaS conforme aux exigences SecNumCloud 3.2 et labellisé « cloud de confiance » apporte sur ces deux aspects un certain nombre de garanties (sécurité du cloud), mais cela n’exonère pas le client de ses responsabilités en la matière (sécurité dans le cloud). Lorsqu’on envisage de migrer ses données et ses applications vers un cloud de confiance, il faut donc porter une attention toute particulière aux risques cyber résiduels afin de mettre soi-même en place les dispositifs appropriés au-dessus de ceux fournis par le prestataire.

Avec un cloud de confiance, on reste donc dans un modèle classique de responsabilité partagée. En revanche, le caractère sensible des données et le niveau élevé de protection que l’on souhaite mettre en place vont inciter à se montrer particulièrement vigilant et à recourir à des approches et des outils très robustes. Voici quelques-uns des principes et des solutions que nous recommandons d’examiner en priorité :

La gestion des identités et des accès

La gestion des identités et des accès (Identity and Access Management, IAM) est la pierre angulaire de la sécurité dans le cloud. Gérant à la fois l’identité, l’authentification  et les habilitations, la gestion des identités et des accès permet de garantir que les utilisateurs, humains ou machines, ne peuvent accéder qu’aux seules données et applications qui leur sont autorisées. Incontournable et omniprésente, non seulement l’IAM conditionne le niveau de sécurité dans le cloud, mais elle favorise aussi grandement la fluidité des échanges, des expériences et des projets. L’IAM est également la clé de voûte du modèle Zero Trust. Basé sur une vérification systématique des identités et des droits avant chaque action, et plus seulement à l’entrée dans le système, l’approche Zero Trust requiert une gestion des droits très fine, largement automatisée, et qui n’accorde à chaque utilisateur que les autorisations qui lui sont strictement nécessaires. De ce fait, le modèle Zero Trust peut être envisagé comme une approche globale pour protéger l’environnement cloud et ses différentes composantes (identité, réseau, données…).  

La défense en profondeur

Outre les accès, il convient de sécuriser spécifiquement chacune des couches de l’infrastructure. C’est le principe de la défense en profondeur (Defense in Depth, DiD), une doctrine de cybersécurité qui consiste à dresser plusieurs lignes de défense (au niveau matériel, logiciel, réseau…) pour protéger les informations. Dans le cadre du cloud de confiance, cette approche stratifiée doit s’articuler avec les mesures prises par le cloud provider pour protéger physiquement ses systèmes. C’est pourquoi il est souvent pertinent de s’appuyer sur les outils et les services de sécurité qu’il propose (firewalls, antivirus…). Souvent de bonne qualité, ces solutions ont l’avantage d’être nativement intégrées à la plateforme, ce qui facilite leur mise en œuvre. Enfin, soulignons ici que les diverses mesures de sécurité restent malgré tout tributaires de la prudence des utilisateurs (dans les limites des couches placées sous leur responsabilité). Leur mise en œuvre doit donc s’accompagner d’un renforcement des pratiques dans le contexte du cloud : destruction des ressources et des données inutiles, automatisation des mises à jour, security by design, DevSecOps…

Le chiffrement

Pour protéger efficacement ses données, le chiffrement demeure fondamental. Sa mise en œuvre dans le cadre d’un cloud de confiance, et donc sur des données des plus sensibles, présente cependant quelques spécificités. Il faut ainsi s’assurer que les données resteront bien en permanence dans l’environnement maîtrisé du cloud de confiance ; par exemple, qu’à l’occasion d’un traitement, elles ne soient pas exfiltrées en clair vers une plateforme qui ne serait pas qualifiée « cloud de confiance » où elles ne bénéficieraient plus des mêmes protections juridiques. Pour se prémunir de telles fuites, il est indispensable de mettre en place des outils pour surveiller les déplacements de données d’un environnement à un autre, à l’image des solutions de type CASB (Cloud Security Access Broker) qui s’interfacent avec les services cloud et contrôlent les flux de données tout au long de leur cycle de vie. Notons ici que le choix des outils tiers qui seront amenés à manipuler les données doit faire l’objet d’une attention redoublée. On veillera en particulier à ce qu’aucune opération ne soit réalisée en dehors d’un environnement labellisé « cloud de confiance » car tel est bien l’enjeu : la donnée peut circuler entre les systèmes mais elle ne doit jamais sortir, même très brièvement, de cadre protecteur. Et il est essentiel de sensibiliser toutes les équipes à cette exigence capitale. Enfin, dernier point de vigilance concernant les données : veiller à ce que les clés de chiffrement ne soient pas stockées au même endroit que les données pour qu’il soit impossible d’y accéder simultanément, et l’on pourra utiliser pour cela un matériel dédié (Hardware Security Module, HSM).

Assume Breach

Dans un environnement aussi complexe et mouvant que le cloud, fût-il de confiance, et face à des assaillants extrêmement compétents, équipés et déterminés, la sécurité absolue n’existe pas. Tel est le principe de la posture « Assume Breach », qui invite à se montrer réaliste et pragmatique. Puisqu’un incident de sécurité finira toujours par se produire, il faut s’être préparé de manière à pouvoir le détecter et alerter au plus tôt, réagir rapidement et à bon escient pour en limiter les conséquences, puis en réparer les éventuels dégâts et, enfin, en tirer les enseignements. Tout ceci nécessite la mise en place d’un outillage, d’une organisation et de processus appropriés, que des exercices grandeur nature permettront de tester, valider et optimiser.   

La sécurisation de la migration

De même qu’à l’occasion d’un déménagement, on se trouve parfois obligé de laisser des portes grandes ouvertes ou des objets sans surveillance, les opérations de migration engendrent des risques importants. Que le point de départ ou d’arrivée soit un cloud de confiance ne peut que les amplifier en éveillant des intérêts malveillants. Même si les opérations sont similaires à celle d’un « move-to-cloud » ordinaire, il faut donc procéder avec une rigueur accrue en s’appuyant notamment sur le chiffrement. Il ne faudra aussi pas non plus omettre d’effacer les données de la plateforme d’origine.

Toutes ces solutions et ces bonnes pratiques permettent de doubler les garanties apportées par le cloud de confiance d’un dispositif de sécurité complet et renforcé. Leur mise en œuvre – comme d’ailleurs le choix d’un cloud de confiance – reste toutefois subordonnée à une appréciation en amont des risques, c’est-à-dire du rapport entre la gravité et la probabilité des menaces. C’est cette analyse qui permet de déterminer le juste niveau de protection à mettre en œuvre et la priorité des actions à mener en tenant compte de l’ensemble des contraintes et des exigences (réglementaires, budgétaires, opérationnelles…).