Longtemps marquée par une prudence excessive, la sécurité cloud semble aujourd'hui basculer dans l'excès inverse. Il existe pourtant une meilleure voie.
Surestimer les risques liés à la sécurité cloud peut coûter cher en dépenses superflues et en opportunités manquées, mais les sous-estimer serait tout aussi imprudent. Dans cet article, nous expliquons pourquoi une approche mesurée de la sécurité cloud est essentielle et présentons les leviers dont disposent les organisations pour réduire les risques sans sacrifier les opportunités commerciales.
D'une prudence excessive à une témérité préoccupante
Lorsque les grands fournisseurs ont lancé leurs offres de cloud public dans la première décennie du XXIe siècle, les entreprises se sont contentées d'expérimenter à la marge, sans s'engager pleinement dans la promesse du cloud. Mais la pression pour développer des capacités numériques a rendu les infrastructures cloud incontournables, et cette pression n'a fait que s'intensifier avec la pandémie. Les organisations ont revu leurs stratégies IT pour migrer une part croissante de leurs applications et de leurs données vers des infrastructures et plateformes de cloud public.
Recourir au cloud public suppose de s'éloigner des modèles traditionnels de cybersécurité bâtis au fil des années par de nombreuses entreprises. Les mécanismes existants n'ont pas été conçus pour garantir une configuration sécurisée dans le cloud, ni pour fonctionner assez rapidement pour tirer parti de l'agilité et de la vitesse qu'il promet. Les entreprises qui souhaitent capter cette valeur doivent donc adopter des architectures et des processus de sécurité inédits afin de protéger leurs workloads cloud.
Une fois les structures de sécurité adéquates en place, la migration vers le cloud peut accélérer la création de valeur, à condition que les pratiques retenues protègent les données critiques tout en exploitant la vitesse et l'agilité offertes par le cloud.
Aux débuts de l'adoption du cloud, les entreprises ont parfois surestimé le risque encouru. Les violations de sécurité dans le cloud ont attiré l'attention du public, conduisant certains DSI à restreindre l'usage des services cloud. Mais l'impératif de transformation numérique a rendu impossible de répondre à l'évolution rapide du marché sans recourir aux plateformes cloud, et la prudence a fini par céder devant la pression commerciale.
À mesure que les organisations migrent davantage de workloads vers le cloud, les violations de sécurité demeurent un sujet de préoccupation. Le Verizon Data Breach Investigations Report (DBIR) 2021 a d'ailleurs révélé que l'infrastructure cloud entre en jeu dans 73 % des incidents de cybersécurité. Contrairement à ce que ces chiffres pourraient laisser penser, l'architecture on-premises n'est pas plus sûre que le cloud.
Identifier le problème
La plupart des violations dans le cloud résultent de mauvaises configurations, et non d'attaques visant l'infrastructure cloud sous-jacente. Cela souligne l'importance du modèle de responsabilité partagée entre le fournisseur de services cloud et ses clients. Si le fournisseur prend en charge la sécurisation des composants cloud qui sous-tendent les services qu'il propose, le client, lui, est responsable de la manière dont il les utilise. Ses obligations couvrent la configuration correcte de la gestion des identités et des accès (IAM), des paramètres de stockage et de calcul, l'analyse et la défense face aux menaces, ainsi que la protection des applications et des données qu'il traite et stocke dans le cloud.
À mesure que les fournisseurs cloud et les solutions de sécurité gagnent en maturité et renforcent la sécurité de l'infrastructure, la responsabilité des violations se déplace vers le client et son approche de la sécurité cloud. Les organisations habituées à des modèles d'externalisation très différents devront comprendre cette nouvelle répartition des responsabilités et adapter leurs processus internes en conséquence.
Lacunes en matière de sécurité
La course effrénée vers le cloud, accélérée par la pandémie mondiale, a mis en lumière les insuffisances de la gestion de la sécurité. L'urgence d'être dans le cloud a primé sur la réflexion autour des risques liés à la migration. De nombreux projets de migration et de développement cloud n'ont donc pas accordé suffisamment d'attention aux dépendances de sécurité avant le déploiement, contraignant les équipes à revenir en arrière pour corriger les problèmes.
Le manque de coordination s'est installé entre les équipes impliquées dans le développement et la migration, avec peu de cohérence dans les solutions de sécurité retenues. Chacune opte pour les outils qu'elle préfère, sans consulter d'instance de gouvernance centralisée ni se concerter avec les autres.
Autant de failles que les cybercriminels s'efforcent d'exploiter, avec des conséquences potentiellement graves. Les années à venir devraient être marquées par des violations de données plus importantes et plus dommageables. Selon le Experian Data Breach Industry Forecast 2022, les grandes institutions restent particulièrement exposées aux attaques, alors qu'une quantité substantielle de données sensibles demeure stockée dans leurs locaux. Les organisations doivent s'y préparer.
Le juste équilibre entre prudence et tolérance au risque
Une violation de données peut anéantir le chiffre d'affaires, l'efficacité opérationnelle et la réputation. Mais s'en prémunir ne doit pas paralyser les initiatives cloud d'une organisation. Une prudence excessive se traduit souvent par des opportunités manquées et des dépenses gaspillées. Plutôt que de s'inquiéter de menaces non avérées dans le cloud, les organisations doivent se demander si elles l'utilisent de manière sécurisée — d'autant que beaucoup de leurs pratiques et architectures de sécurité existantes risquent d'y perdre en efficacité. Les solutions on-premises qui suivent les adresses IP, par exemple, ainsi que d'autres outils traditionnels, n'ont guère de sens pour des conteneurs dont la durée de vie se compte en minutes, voire en secondes.
Une stratégie cloud bien pensée, intégrant une gestion proactive et systémique des risques, aide les organisations à prendre des décisions éclairées sur leur usage du cloud et à maîtriser leur exposition au risque sans renoncer aux opportunités de croissance.
Saisir les opportunités en toute sécurité
Mesurer et piloter correctement le risque cloud restera probablement un défi pour la plupart des organisations dans les années à venir. Adopter une approche qui renforce la sécurité sans rogner sur les bénéfices du cloud suppose un changement de perspective : passer de la préoccupation autour de la sécurité intrinsèque du cloud à la garantie d'un usage sécurisé par l'organisation.
Mobiliser la direction
Une sécurité cloud efficace commence par l'adhésion et le parrainage de la direction. La stratégie doit être pilotée au niveau exécutif et nourrie par les contributions d'un large éventail de fonctions : direction générale, finance, architecture des données, développement produit, IT, sécurité et QA. Il est essentiel que chacun s'accorde sur l'importance du cloud computing pour l'entreprise et adhère à une politique et à un plan de gestion solides.
Avec une orientation exécutive claire sur la stratégie cloud, l'organisation peut mieux accompagner le métier et l'IT en matière d'analyse des besoins, de planification architecturale et de processus d'acceptation des risques. Les DSI disposent alors d'une feuille de route claire pour encadrer l'usage des clouds publics, y compris la nature des données qui y sont placées et les conditions de leur utilisation.
Les silos doivent être bannis, et les développeurs invités à travailler étroitement avec les professionnels de la sécurité. Les premiers apprennent ainsi à travailler de manière sécurisée dans le cloud, et les seconds peuvent vérifier que les mesures recommandées sont effectivement mises en œuvre. En cultivant ces relations de proximité dès le départ, les organisations posent des bases solides pour leur parcours cloud, condition essentielle à une livraison rapide et sûre de leurs produits.
Adopter des pratiques prudentes de gestion des risques
Le risque est toujours présent lorsqu'on utilise des services de cloud public, et il serait téméraire de l'ignorer. Le métier et l'IT doivent avoir des échanges francs pour déterminer le niveau de risque que l'organisation est prête à accepter. Ces discussions doivent porter sur l'impact probable d'une violation de données, la probabilité qu'elle survienne et le coût d'une remédiation.
Elles doivent également évaluer la capacité du fournisseur cloud retenu à accompagner ce niveau d'appétence au risque, en tenant compte de son historique en matière d'interruptions de service et de violations, de ses politiques de gestion et de protection des données, et de l'alignement de son approche de la sécurité avec les obligations réglementaires et légales propres à l'organisation.
Garder la maîtrise de son cloud
D'ici fin 2025, 90 % des organisations qui ne maîtrisent pas leur usage du cloud public partageront des données sensibles de manière inappropriée. Cette statistique donne à réfléchir et illustre à quel point il est difficile de suivre le rythme de son propre usage du cloud. La plupart des organisations s'exposent à un risque inutile en raison d'un usage non encadré du cloud public. Ce risque peut être évité avec DoiT Cloud Intelligence™, qui fournit les outils de gouvernance nécessaires pour gérer efficacement votre environnement de cloud public.
La plupart des défaillances de sécurité dans le cloud étant imputables à des erreurs côté client, les organisations doivent appliquer rigoureusement leurs politiques de sécurité, les enrichir des enseignements tirés et maintenir des standards de certification et de conformité à jour. Les entreprises doivent connaître non seulement l'emplacement de leurs ressources et services cloud, mais aussi leur état. Il est essentiel de miser sur l'automatisation pour les contrôles de configuration et de sécurité, en donnant aux développeurs accès à des services de sécurité fortement automatisés via des APIs, pour une efficacité maximale.
Où se situe l'équilibre
Il est naturel de s'inquiéter de la sécurité des services de cloud public, mais en exagérer les risques peut faire passer à côté de belles opportunités. À l'inverse, basculer dans l'excès opposé et sous-estimer le risque pourrait s'avérer encore plus dangereux.
Une stratégie de gestion des risques rigoureusement étudiée est un élément essentiel de toute stratégie cloud globale : elle aide à identifier où l'usage du cloud public a du sens et ce qui peut être fait pour atténuer les risques associés.
Si vous vous interrogez sur la posture de votre organisation en matière de sécurité cloud, un partenaire de confiance comme DoiT peut réaliser un audit de sécurité cloud et formuler des recommandations pour garantir un parcours cloud sûr et rentable.