(0)
Bonnes pratiques

Descendons de notre nuage, pour mieux le sécuriser

  • Jean-Christophe Vitu
    Pre-Sales Director, CyberArk

Selon une récente étude mondiale, le taux d’adoption des applications cloud devrait augmenter rapidement au cours des prochaines années, pour atteindre 32 % d’ici 2020 ! Pas étonnant à la vue des avantages offerts par le cloud : il est peu coûteux, offre une flexibilité et une souplesse significative, en plus de pouvoir s’adapter aux exigences des solutions informatiques. Le débat autour de la sécurité des infrastructures cloud, et plus particulièrement des données, a en outre été en grande partie tranché. Un nombre croissant d’organisations le considèrent ainsi aujourd’hui comme une option sécurisée, et dans de nombreux cas, bien plus sécurisé qu’un déploiement local.

Les concepts d’Infrastructure en tant que service (IaaS) et de Plateforme en tant que service (PaaS), selon lesquels les applications et les actifs appartenant à l’entreprise sont stockés sur une infrastructure gérée par des fournisseurs tiers de cloud public, sont également devenus très populaires. Amazon Web Services (AWS) et Microsoft Azure ont ainsi connu une croissance exponentielle, en partie grâce à la relative facilité avec laquelle une organisation peut paramétrer et déployer ses propres applications spécifiques dans ces environnements.

Une responsabilité définie…

Mais si les fournisseurs de cloud public accordent une grande importance à la sécurité de l’infrastructure cloud, c’est-à-dire des ressources informatiques, de stockage et de networking ainsi que l’infrastructure physique, ils avouent néanmoins ne pouvoir fournir qu’une solution partielle. En réalité, la sécurité dans le cloud est une responsabilité partagée, car l’organisation, comme le propriétaire de l’application, sont tenus de protéger leurs applications, le système d’exploitation, l’infrastructure sous-jacente et les autres actifs situés dans le cloud. Tout ce qui se trouve au-dessus de l’hyperviseur ou de la couche équivalente relève ainsi de la responsabilité du propriétaire de l’application. Selon le cas, les entreprises devront elles aussi veiller à configurer certains services provenant du fournisseur. Par exemple, l’infrastructure offre une sécurité de base au niveau de la périphérie, qui doit être ensuite configurée par le client.

Pour éviter toute ambiguïté, AWS a choisi de rédiger un contrat client, dans lequel sont clairement définies les limites de sa responsabilité en matière de sécurisation des applications et des données des entreprises. Leur responsabilité se limite au remboursement des montants payés par l’entreprise concernée pour ses services au cours de l’année précédente. Comme l’a indiqué un orateur lors de la récente conférence HIMSS sur l’IT dans le domaine des soins de santé, même s’il était prouvé dans un cas de violation que le fournisseur est fautif, ce qui déjà ne serait pas chose facile, il est très peu probable que l’entreprise concernée soit indemnisée pour la perte financière directe résultant du vol des dossiers médicaux de ses patients. De plus, d’autres coûts doivent également être pris en compte, comme les amendes réglementaires, la perte de réputation et, pire encore, l’impact sur les clients.

En résumé, même si les fournisseurs de cloud public prennent des mesures pour assurer la sécurité du cloud, au final, tout comme pour un datacenter local, il revient à l’entreprise et au propriétaire de l’application d’assurer la sécurité DANS le cloud, et de veiller à ce que les données de leurs clients soient en tout temps sécurisées.

… qui n’est pourtant pas connue de tous

Malheureusement, tous les utilisateurs du cloud ne sont pas au courant de ce fait. Les organisations qui se contentent de la technologie de sécurité proposée par le fournisseur exposent par conséquent leur organisation à des risques inutiles.

Même s’il existe plusieurs façons de protéger une infrastructure cloud, la plupart des entreprises pensent qu’il est préférable de prendre la console de gestion du fournisseur comme point de départ. Quand il est public, il faut en effet passer par la console de gestion pour accéder à l’infrastructure cloud complète de l’entreprise. Malheureusement, elle est également une cible privilégiée et une porte d’entrée appréciée des hackers, en raison de la vulnérabilité et parfois de la crédulité de l’administrateur humain. De ce fait, pour sécuriser les actifs cloud, la première mesure à adopter est de s’assurer que l’entreprise a sécurisé l’utilisation des commandes, de la console de gestion et des identifiants associés.

Sécuriser efficacement le cloud

En théorie, cette première étape de sécurisation des identifiants pour accéder à la console devrait être relativement simple à mettre en œuvre. En réalité, les entreprises ont recours à des solutions externes pour sécuriser, modifier régulièrement et contrôler l’accès aux mots de passe liés à la console de gestion. Une autre étape cruciale consiste à protéger les identifiants que ces applications et les autres actifs présents dans le cloud utilisent pour accéder aux ressources, comme par exemple les bases de données clients. Malheureusement, ces identifiants sont très souvent codés en dur dans les applications, les rendant inutilement vulnérables. Cette situation préoccupante doit être résolue au plus vite en supprimant les identifiants intégrés aux applications cloud et en les sauvegardant dans un coffre-fort numérique.

Grâce à ces mesures, les entreprises seront plus à même d’assumer les responsabilités qui leur incombent, à savoir de sécuriser leurs applications et de respecter les exigences de conformité. Pour pouvoir faire face aux cyberattaques, il est recommandé d’utiliser de plus le coffre-fort numérique pour accueillir tous les autres identifiants des comptes à privilèges, porte d’entrée privilégiée des hackers. Les RSSI et responsables IT se doivent en outre de suivre les meilleures pratiques reconnues dans leur secteur et d’appliquer les mêmes politiques de sécurité à tous les niveaux de l’entreprise, peu importe leur configuration numérique. Alors, le cloud, mais aussi l’ensemble du système informatique, seront protégés des cyber-actions malveillantes.

Biographie

Suite à une formation d’ingénieur, Jean-Christophe Vitu a effectué l’ensemble de sa carrière dans la sécurité informatique. Après plusieurs expériences dans l’édition logicielles et dans les services, puis un passage par le conseil auprès de grands comptes du secteur bancaire, en 2010, Jean-Christophe Vitu rejoint CyberArk, l’éditeur spécialisé dans la protection des informations les plus sensibles des entreprises. Il y occupe désormais le poste de responsable avant-vente pour l’Europe du Nord et du Sud.

(0)

Commentaires (0)

Pas encore de commentaires

Commenter cette page

Votre adresse de messagerie ne sera pas publiée.