Avec le cloud, sécuriser un périmètre ne suffit plus, il s’agit de protéger les données dans leur ensemble. Dans ce cas, les bonnes pratiques en matière de sécurité demeurent applicables, mais la méthodologie et les outils doivent être adaptés pour se conformer à ce nouvel environnement, si on désire maximiser l’efficacité du dispositif.
En finir avec l’approche binaire du cloud
Le cloud est l’héritier d’une longue histoire. On peut même dater les prémices de son essor à une dizaine d’années, autant dire un siècle en années-informatiques. Pourtant, du point de vue de l’adoption par les grandes entreprises, le cloud computing reste une technologie émergente.
Tout se passe comme si le cloud restait un objet d’attraction-répulsion pour les décideurs. L’an dernier, je rencontrais le DSI et le Responsable Sécurité (RSSI) d’une grande banque française. Autant le premier était enthousiaste au sujet du cloud, autant le deuxième était réticent.
Si les décideurs sont encore rétifs à ce changement, c’est parce qu’ils ne voient pas le le chemin pour aller dans le nuage. Ils envisagent trop souvent le passage au cloud comme quelque chose de binaire : y aller ou pas. Or le cloud hybride est justement une voie médiane, permettant d’associer des data centers traditionnels hébergés au sein de l’entreprise avec des systèmes virtualisés dans le nuage.
Un changement de paradigme en matière de sécurité
Le cloud, notamment dans sa version hybride, impose un changement de paradigme en matière de sécurité informatique. En effet, l’approche traditionnelle consistait à sécuriser un périmètre de machines (les salles d’un centre de données) ou un périmètre applicatif.
Or le propre du cloud est l’élasticité et l’agilité. L’étendue du SI dans le cloud en termes de nombre de machines virtuelles peut varier d’un jour à l’autre. Même chose pour les applications tournant sur ces machines. La notion de périmètre n’a donc plus vraiment de sens. On doit passer d’une sécurisation centrée sur la notion de périmètre à une sécurisation centrée sur les données.
La méthodologie et les outils pour sécuriser un cloud hybride
La sécurisation d’un cloud hybride est d’abord une question de méthode. Il convient de dresser une cartographie des applications et des données, pour déterminer ce qui restera dans le data center de l’entreprise, ce qui sera externalisé dans le cloud, et le degré de criticité de chaque composant. Cela permettra de bien dimensionner le dispositif de sécurité.
En deuxième lieu, l’entreprise mettra en place des outils pour piloter de façon globale des fonctions antivirales ou de détection de trafic malveillant : c’est l’orchestration du système de sécurité du cloud hybride. L’objectif est notamment de bien optimiser les ressources. Par exemple, faire tourner autant de logiciels anti malware que l’on a d’images virtuelles sur un serveur dans le cloud ne ferait que multiplier la consommation de ressources mémoire et de CPU. Il est bien plus avantageux de charger une seule instance du logiciel de sécurité sur l’image d’administration, et uniquement des pointeurs vers cette image d’admin sur les autres images. On optimise ainsi considérablement l’utilisation des ressources, pour le même niveau de sécurité.
Trois facteurs clés de succès pour sécuriser son cloud hybride
Ceci étant connu, je peux dégager trois bonnes pratiques qui contribuent grandement à la sécurité du cloud hybride.
1.Donner de la visibilité
Le DSI et ses équipes doivent pouvoir visualiser aisément ce qui est dans le cloud et ce qui ne l’est pas, ainsi que tous les flux d’information sortant du SI interne vers le cloud. L’objectif est de rendre le SI agile sur les différentes fonctions de sécurité, telles que la protection anti malware, la surveillance de trafic et la prévention de la fuite de données ou DLP (Data Loss Prevention). C’est en particulier l’approche commune défendue par Intel Security et l’initiative Orange Cyberdefense.
Les principaux défis de la sécurité en cloud hybride (source : Intel Security)
2.Assurer la traçabilité
La traçabilité des flux de données est essentielle pour que les dirigeants aient confiance dans le cloud hybride. Une bonne démarche consiste par exemple à chiffrer automatiquement toutes les données sortant du SI interne pour être stockées dans le nuage. Ainsi, l’entreprise a la garantie que les données qui sortent de l’entreprise sont stockées dans un format inviolable.
3.Faire preuve de pédagogie
La mise en œuvre d’un cloud hybride est transparente pour les utilisateurs finaux. Ils doivent simplement conserver leurs bonnes habitudes en termes de confidentialité des mots de passe, de respect des droits d’accès et des habilitations. C’est plutôt sur les directions que l’effort de pédagogie doit porter, pour bien expliquer que le passage dans le cloud peut être graduel, notamment dans le cadre du cloud hybride, et qu’il s’agit plus d’une évolution que d’une révolution.
Pour aller plus loin
Tous les chemins mènent-ils au cloud ?
Flexibilité et sécurité : les atouts du cloud computing
D’ingénieur à chef de projet dans les structures informatiques, à 25 ans je créais ma propre entreprise rachetée plus tard par Lexsi, importante société de cyber sécurité française. Véritable expert sur les sujets de la sécurité informatique j’ai rejoint Intel Security en 2009 pour devenir en 2015 le directeur régional d’Intel Security France. Basée près de Paris, France, je suis un joueur de rugby actif qui démontre son sens de la compétition et son esprit d'équipe !