Cloud et cybersécurité : un pas de deux vers la maturité

La sécurisation du cloud commence par une distinction entre la sécurité du cloud, c’est-à-dire des infrastructures elles-mêmes, et la sécurité dans le cloud, c’est-à-dire des données et des applications qui s’y trouvent. La première incombe au fournisseur de cloud, la seconde à son client. Le fournisseur s’engage à protéger sa plateforme de toute vulnérabilité qui puisse causer une détérioration de la qualité de service, entraîner une perte accidentelle de données, ou servir, même indirectement, de porte d’entrée vers les données de ses clients. Le client, pour sa part, doit mettre en œuvre tous les dispositifs de protection nécessaires pour limiter l’accès à ses actifs hébergés dans le cloud aux seules personnes autorisées. Il est fondamental que ces rôles soient bien clarifiés d’emblée, contractuellement et opérationnellement, pour ne pas laisser subsister des zones grises, mal couvertes, dans lesquelles ne manqueraient pas de se glisser des acteurs malveillants.

Une sécurité supérieure à n’importe quel data center privé

Instauré depuis l’origine du cloud, ce modèle de responsabilités partagées est aujourd’hui bien connu des acteurs, même s’il arrive, sur certains services, que les frontières demeurent floues. Les hyperscalers, en particulier, ont pris conscience que leurs plateformes sont des cibles privilégiées, que tout incident de sécurité leur est extrêmement préjudiciable, et ils mettent donc tout en œuvre pour s’en prémunir. Depuis de nombreuses années, ils investissent massivement dans la sécurisation de leurs plateformes et dans les solutions de sécurité qu’ils proposent à leurs clients. Étant donné les moyens considérables dont ils disposent, les plateformes cloud sont désormais beaucoup plus sûres que n’importe quel data center d’entreprise et les incidents, bien que très médiatisés, demeurent rares.

Ceci ne veut pas dire que le client puisse pour autant s’en remettre aveuglément à son fournisseur de cloud. Il doit obtenir de sa part des précisions sur la façon dont seront traitées ses données depuis leur création jusqu’à leur suppression. Il faut s’intéresser, en particulier, à leur localisation, à leurs transferts éventuels, à leur étanchéité vis-à-vis des autres clients, à la façon dont elles seront protégées et restaurées en cas d’incident logique ou physique, ou encore à leur restitution et leur destruction lors de la résiliation du contrat. Le cloud provider doit pouvoir détailler les divers mécanismes et contrôles prévus, et prouver qu’ils ont été exécutés correctement. Les acteurs du cloud ont pris note de ces exigences et s’attachent désormais à les satisfaire. Avec le développement actuel d’offres de cloud souverain, ils répondent par exemple à la préoccupation légitime de certains secteurs sensibles de pouvoir se prémunir de possibles interférences étrangères.

IAM, chiffrement, visibilité : les trois priorités des clients

Pour ce qui concerne le client, responsable de la sécurité dans le cloud, trois aspects nécessitent tout particulièrement son attention. Premièrement, la gestion des identités et des accès, de loin l’élément le plus important de toute politique de sécurité. Deuxièmement, le chiffrement, indispensable et pour lequel il peut s’appuyer sur les solutions fournies par son provider. Troisièmement, enfin, la visibilité, car pour garantir la sécurité de ses systèmes dans le cloud – ou, bien souvent, les clouds –, il est essentiel de savoir ce qu’il s’y passe à chaque instant et de pouvoir s’assurer que les règles sont bien respectées.

Ce besoin de supervision d’environnements toujours plus vastes, hétérogènes et dynamiques est l’un des moteurs de l’évolution constante des solutions de cybersécurité pour s’adapter au contexte du cloud. C’est ainsi que l’on voit émerger toute une famille de solutions innovantes, spécifiquement conçues pour répondre aux défis posés par le cloud, telles les CNAPP (Cloud-Native Applications Protection Platform), les CASB (Cloud Access Security Broker) et et les SSPM (SaaS Security Posture Management). D’un autre côté, les solutions qui adressent des enjeux plus traditionnels évoluent pour quitter le data center et migrer à leur tour dans le cloud, en mode SaaS. C’est par exemple le cas de la gestion des accès distants où l’on passe du VPN, dont l’explosion du télétravail durant la crise sanitaire a montré les limites, aux Zero Trust Network Access.

Toujours avoir une approche fondée sur le risque

Si ces solutions cloudifiées apportent des avantages indéniables, c’est aussi un peu le serpent qui se mord la queue car, étant elles-mêmes dans le cloud, elles peuvent aussi, dans certains cas, s’accompagner de nouvelles menaces. La règle d’or est donc d’avoir toujours une approche fondée sur le risque et une attitude vigilante mais dénuée de préjugés (sur le cloud en général, sur la nationalité des acteurs…). De cette façon, on optera toujours pour la meilleure approche en fonction de la sensibilité des actifs à protéger et de la maturité des solutions disponibles, ce qui évitera aussi bien les surprotections coûteuses que les sous-protections dangereuses. La gestion des clés de chiffrement en constitue un bon exemple puisqu’on pourra, selon les cas, la confier au cloud provider, à un tiers de confiance ou en conserver le contrôle.

Le cloud comme la cybersécurité continuent d’évoluer de concert, constamment, et très vite, tant du point de vue des menaces que des parades disponibles. Ainsi, l’intelligence artificielle (IA), en créant de nouveaux usages, engendre de nouveaux risques, mais elle est aussi mise à profit pour créer de nouvelles capacités de détection et de remédiation. Alors que les compétences se font rares, le défi, pour les entreprises, est de rester à la pointe de la sécurité pour pouvoir tirer pleinement parti des innovations cloud.