Sécurité dans le Cloud

La migration dans le Cloud apporte indéniablement de nombreux avantages : optimisation des coûts, élasticité des architectures, automatisation des processus et une facilité d’utilisation inédite. 

Contrairement à certaines idées reçues et tenaces (lire également « Les 8 idées reçues sur la sécurité dans le cloud »), le cloud offre également un niveau de sécurité élevé.

Quel niveau de confiance avoir dans les plateformes Cloud ? Quels sont les principaux éléments de sécurité fournis ? Comment s’assurer que vos données les plus sensibles sont bien protégées ? Nous allons tenter d’y répondre. 

Comment s’assurer que vos données sensibles sont protégées 

Pour déterminer quelles sont les données et éléments à protéger, l’analyse de risques est un préalable indispensable. Il s’agit de positionner un curseur face à des risques et se poser la question de savoir contre quoi se protéger, puis mettre en face la réponse la plus adéquate. L’entreprise doit établir la classification ou catégorisation de ses actifs informationnels et en particulier leur degré de criticité vis-à-vis de l’activité de l’entreprise. 

Cette étape préalable se réalise en fonction des 4 objectifs de sécurité de l’information connus sous le nom de D.I.C.T : 

  1. Disponibilité : il s’agit de la qualité d’une ressource informatique à être utilisable à la demande.  La disponibilité suppose la suppression de toute panne ou la mise en place de relais en cas de panne : PCA (plan de continuité d’activité) et PRA (Plan de Reprise d’Activités).
  2. Intégrité : c’est la qualité d’une ressource informatique à résister à l’altération, à la destruction par accident ou malveillance. C’est l’assurance que les données n’ont pas été changées durant le transport ou dans le fichier d’origine.  
  3. Confidentialité : il s’agit de la qualité de ressources informatiques à être connues que par des personnes autorisées.  
  4. Traçabilité : il est important d’y ajouter la notion de Preuve (ou Traçabilité) qui permettra de retrouver avec une confiance suffisante les circonstances dans lesquelles le bien évolue.  

En fonction de ces objectifs de sécurité, la valeur des données pourra être définit ainsi que le niveau de sécurité à mettre en place.  

Le cloud computingsynonyme de confiance ? 

En général, le cloud provider considère la protection des données comme une grande priorité dans tous les processus de mises en place. L’entreprise peut avoir confiance dans la sécurité du Cloud Provider dans la mesure où celui-ci justifie de certaines certifications.  

Il peut être membre du CSA (Cloud Security Alliance) qui définit les meilleures pratiques permettant de garantir un environnement de cloud computing sécurisé et même être certifié CSA Star. 

Le cloud provider peut également afficher les certifications suivantes : 

  • ISO 27017 (Cloud Specific Controls) donne des directives pour la sécurité de l’information et pour le contrôle applicable à la disposition et à l’utilisation de services du Cloud computing. 
  • ISO 27001 (Security Management Controls) définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI). 
  • ISO 27018 (Personnal Data Protection) établit des objectifs de contrôle pour la mise en œuvre de mesures de protection des informations personnelles dans le cloud. 
  • PCI-DSS (Payment Card Standards) permet de vérifier que les points de contrôles sont bien mis en œuvre et qu’ils sont efficaces pour la protection des données de cartes bancaires 
  • SOC 1, SOC 2 et SOC 3 sont des rapports indépendants sur la sécurité, la disponibilité et la confidentialité du cloud provider.  
  • ISO 9001 (Global Quality standard) : repose sur un certain nombre de principes de management de la qualité, avec une forte orientation client, une approche processus et d’amélioration continue. 

Toutes ces certifications sont des indices de confiance pertinents car ils assurent que le Cloud Provider est audité régulièrement par un organisme indépendant validant le respect de ces standards. 

Au-delà des certifications, d’autres éléments devront être pris en compte dans le choix du fournisseur pour s’assurer qu’il répond aux problématiques métier : localisation de l’hébergement, services proposés en termes de disponibilité, réversibilité, garanties proposées… 

Les niveaux de sécurité fournis par les cloud provider 

Ces géants de l’automatisation délivrent nativement plusieurs couches de sécurité :  

  • La sécurité des infrastructures : 

Vidéosurveillance 24h/24 et 7j/7, admission dans les aires de serveurs requiert plusieurs formes d’authentification, y compris un contrôle biométrique… 

En matière de sécurité, les fournisseurs de cloud public ont une longue expérience, un savoir-faire maîtrisé et dépensent des milliards d’euros pour se doter de solides défenses afin de protéger leurs infrastructures et celles de leurs clients. 

  • La sécurité des réseaux 

Au niveau des réseaux, la plupart des clouds provider proposent également les services suivants : anti DDos (attaques pour déni de service), VPN et un Firewall de niveau réseau. 

  • La sécurité applicative 

La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes : 75% des attaques ciblent directement les applications (source : Gartner). Souvent centrées sur la protection des infrastructures, les équipes sécurité sont souvent trop éloignées des problématiques applicatives. 

De ce fait, les cloud provider proposent également en natif du Web Application Firewall (WAF), anti DDoS. 

  • La sécurité d’exploitation 

Mise à disposition des infrastructures de sauvegarde : Protection avec le chiffrement des données (AWS : Key Management Service, Azure : Storage Service Encryption) 

  • La sécurité des services 

Enfin, au niveau management et monitoring, les cloud provider (AWS : trusted advisor/ Azure : Advisor/ Google : Cloud platform Security) proposent également des offres de gestions et analyse des logs.  Il y a également la duplication des données pour un plan de continuité d’activité (PCA) qui va être un élément déterminant en termes de sécurité natif (Automatic protection and disaster recovery ). 

Le cloud provider met ainsi nativement à disposition de ses clients de nombreux éléments autour de la sécurité : redondance, confidentialité, chiffrement. Même en cas de panne de l’infrastructure, l’intégrité des données devront être garantis et le système devra pouvoir être de nouveau opérationnel rapidement (résilience).  

N’oubliez pas les périmètres sous votre responsabilité 

Il est important de rappeler qu’un Cloud Provider offre des garanties de sécurité importantes mais que l’étendue de la responsabilité du fournisseur de services Cloud dépend des services rendus – IaaS, PaaS ou SaaS.  

Ainsi par exemple, la gestion des identités et des accès (IAM) et la sécurité des données relèvent toujours de la responsabilité du client. C’est à l’entreprise de définir qui peut faire quoi. Il faut également isoler les données au repos avec un chiffrement au niveau des applications et utiliser un accès protégé par réseau privé virtuel (VPN) ou TLS.  

Pour gérer efficacement les risques liés au stockage des données sensibles dans le cloud, il est impératif que l’entreprise bénéficie d’une visibilité complète sur ces données, en transit et au repos. 

Pour améliorer cette visibilité, il est conseillé de mettre l’accent sur des mesures fondamentales en
matière de gouvernance et de technologies. 

Parmi les solutions pertinentes, une solution de type CASB (Cloud Access Security Broker) répondra à ce besoin de visibilité au niveau des applications SaaS et offrira des fonctions de prévention des fuites de données. Un Web Application Firewall d’un pure player offrira de meilleures garanties en termes de sécurités avec des fonctionnalités plus complètes. 

Il est complexe de pouvoir se protéger efficacement sans l’aide d’une société tierce qui pourra vous conseiller sur le type de solutions à mettre en place et définir la technologie adaptée. 

Avant de se lancer dans la migration de ses infrastructures dans le cloud, il est donc essentiel de se poser les bonnes questions et d’avoir une vision claire de la sécurité de son SI. Dans ce contexte LINKBYNET peut vous accompagner dans la migration de vos ressources sur le cloud avec un diagnostic SSI et une analyse de risque pour une meilleure visibilité de votre niveau de maturité en termes de sécurité.