Sécuriser les données dans un environnement cloud

Selon sa nature ou son origine, elle peut aussi tomber sous le coup de réglementations spécifiques, comme les données personnelles, de santé ou bancaires. Ses volumes ne cessent de s’accroître et son périmètre d’évoluer au gré des nouveaux projets digitaux et des transformations de l’organisation. Bref, loin du paysage stable et ordonné de bases de données et des data centers d’antan, la donnée à l’heure du cloud ressemble à une jungle inextricable.

Obligée de s’adapter à ce contexte délicat, la politique de sécurité des entreprises se trouve en outre confrontée à deux injonctions contradictoires : d’une part, il faut adapter le niveau de protection et de résilience face à la multiplication d’attaques et d’incidents de plus en plus sérieux car la data est l’un des actifs clés de l’entreprise ; d’autre part, il faut éliminer au maximum les contraintes techniques et organisationnelles pour gagner en agilité, favoriser les usages de la data et fluidifier l’expérience utilisateur.

Connaître et rationaliser le paysage data

Pour résoudre cette équation particulièrement complexe, il n’est plus possible d’appliquer une politique unique à toutes les données et tous les environnements. Il est nécessaire de mettre en place une approche plus fine et différenciée, ce qui nécessite, pour commencer, de connaître et de rationaliser le paysage data. Pour des raisons de sécurité donc, mais aussi de coûts, d’empreinte environnementale et d’exploitabilité, il est impératif d’élaguer pour y voir plus clair. On s’efforcera donc de ne collecter et de ne conserver que les données dont on a besoin. On identifie aussi où se trouve la donnée, qui en est responsable, ainsi que les circuits qu’elle emprunte et les traitements qu’elle subit tout au long de son cycle de vie (data lineage). À cette occasion, on peut aussi s’interroger sur les contours même du périmètre à considérer : par exemple, doit-il contenir les informations relatives à l’entreprise diffusées par les collaborateurs sur leurs réseaux sociaux ? Tout ceci requiert des compétences en modélisation de la donnée et une collaboration étroite avec les métiers, seuls à savoir à quoi correspond une donnée, à quoi elle sert (ou pourrait servir), et ce qu’elle vaut.

Ce travail d’inventaire permet aussi de déterminer le niveau de sensibilité de chaque donnée, et donc la sécurité qu’il conviendra de leur appliquer. On définit le plus souvent trois classes de sensibilité : les données ouvertes à tous, les données accessibles aux seuls collaborateurs de l’entreprise et les données confidentielles, réservées à certaines personnes au sein de l’organisation. Notons au passage que cette classification peut évoluer dans le temps : un rapport financier est hautement confidentiel jusqu’au jour de sa publication, après quoi il ne fait plus l’objet d’aucune restriction. Ainsi, chaque donnée porte avec elle sa classification ainsi que d’autres attributs, comme le cadre réglementaire dont elle dépend, ce qui permettra de décider des règles de sécurité adaptées et nécessaires qui lui seront appliquées. Enfin, ces règles de sécurité liées à la classification de la donnée peuvent être augmentées par l’utilisation du cloud. Par exemple s’il augmente la probabilité d’une diffusion de la donnée hors de l’entreprise, si l’on n’a qu’une confiance limitée dans son cloud provider, ou encore si celui-ci est soumis à des lois extraterritoriales, alors l’entreprise peut décider d’augmenter le niveau de protection à appliquer.

Une granularité fine adaptée aux enjeux de la sécurité dans le cloud

Grâce à une approche des droits par attributs, on peut bâtir une politique de sécurité des données avec une granularité très fine, ce qui permet de s’adapter à l’environnement hétérogène, ouvert et fluctuant du cloud tout en renforçant la sécurité et en préservant l’agilité. On est ainsi en mesure de déployer de la façon la plus ciblée et la plus légère possible les différents dispositifs de sécurité. Le premier dispositif incontournable est la gestion des identités et des accès (IAM), grâce auquel on s’assure que l’utilisateur est bien qui il prétend être et qu’il dispose des autorisations appropriées pour accéder à la donnée et la manipuler. La mise en place d’une solution d’IAM est aussi l’occasion de passer en revue les droits pour n’accorder que le minimum nécessaire, conformément au paradigme des moindres privilèges.

Autre pilier incontournable de la sécurisation des données dans le cloud, le chiffrement permet de les protéger en cas de fuite de données ou d’intrusion malveillante. Il devra être assez robuste pour résister aux attaques par force brute et aux futurs ordinateurs quantiques, que les pirates utiliseront demain pour décrypter les données qu’ils récoltent aujourd’hui. Dans le cloud, on veillera tout particulièrement à la sécurité des clés qui devront idéalement être hébergées dans un environnement différent des données. Concernant les clés, on observe d’ailleurs une tendance à les individualiser par utilisateur ou groupe d’utilisateurs, ce qui offre un maillage d’autant plus fin. Enfin, le chiffrement peut lui aussi bénéficier d’une approche par rôles et/ou attributs, et ne s’appliquer qu’à certains enregistrements ou certains champs du jeu de données, et ce, en fonction de l’utilisateur. Il en va de même pour les mécanismes d’anonymisation et de pseudonymisation, qui peuvent suivre ce schéma de différenciation par rôles et attributs pour ne masquer que ce qu’exige le contexte d’utilisation.

Le dispositif sera complété par des outils de détection et de prévention des fuites de données, qui empêcheront par exemple qu’elles ne passent d’un environnement offrant une certaine sécurité vers un autre où elle serait moindre (par exemple, d’un cloud de confiance à un cloud public). Enfin, on se prémunira des pertes de données, toujours possibles, en mettant en place – et en testant régulièrement – un plan de sauvegarde lui aussi différencié en fonction de la sensibilité des données.

Systématiser la démarche sur les nouveaux projets pour une sécurité adaptée et adaptive

Recenser les données, les minimiser et leur attacher des attributs fonctionnels et de sécurité dynamique apparaît comme l’approche la plus efficace pour les sécuriser dans le cloud tout au long de leur cycle de vie. Malgré l’émergence d’outils permettant d’automatiser en partie cette tâche, il est cependant rare de pouvoir dresser un inventaire exhaustif de ses données, de les qualifier, et d’en établir un référentiel et une gouvernance à l’échelle de l’entreprise. Il faut donc faire preuve de pragmatisme et commencer par appliquer la démarche aux nouveaux projets en particulier les projets cloud ou de transformation vers le cloud. En réalisant en amont une cartographie des données et des flux inter-applicatifs, et en décrivant le cycle de vie des données et leurs utilisations, on pourra déterminer quels contrôles exercer, où et quand les exercer, et qui devra les exercer (certains pouvant être confiés par contrat au cloud provider). Associer d’emblée les équipes métiers, data et sécurité permettra de prendre en compte dès la conception les exigences de chacun, de manière à faciliter la mise en œuvre des contrôles sorte que ces contrôles apportent un maximum de sécurité à un coût optimisé et avec un minimum de désagréments pour les utilisateurs. Autrement dit, il s’agit de décliner, autour de la donnée, les bons principes du Security by Design, ou comment concevoir la sécurité et la gouvernance de la donnée dès le début d’un projet.