Les solutions de sécurité sont-elles bien adaptées au cloud.

Les entreprises ont compris, dans leur grande majorité, l’opportunité que représentait le cloud pour innover rapidement et à coûts maîtrisés dans une économie numérique qui ne laisse aucune place à l’immobilisme. Cette adoption grandissante du cloud, qui prend généralement la forme de cloud hybride et qui tend à devenir multi-cloud, impose de reconsidérer les stratégies de sécurité pour ne pas subir de graves déconvenues.

La sécurité doit être efficace sans être contraignante.  La sécurité du cloud est confrontée à un environnement particulièrement changeant de par la nature même du cloud et de par le nombre et la sophistication des menaces auquel il doit faire face. Il n’y a pas encore si longtemps toutes les entreprises imposaient des mesures extrêmement strictes à leurs employés pour garantir un maximum de sécurité. L’ordinateur portable était fourni par l’entreprise qui contraignait son utilisation à un usage purement professionnel. Elle imposait l’utilisation de logiciels dument validés avec des versions rarement récentes. Il était assez simple d’appliquer des solutions de sécurité périmétriques qui considéraient que tout ce qui résidait dans ce périmètre était sûr et les accès pouvaient en être aisément contrôlés. Ce monde rassurant est en voie disparition. La sécurité ne peut être contraignante au point d’imposer un style de vie, ou un mode de travail, qui soit à des années lumières de ce qu’offre la technologie aujourd’hui. Les utilisateurs sont devenus nomades et varient les modes de connexion à des applications dans le cloud au gré des usages n’hésitant pas à emprunter à l’occasion des wifi gratuits non sécurisés pour transmettent des données personnelles et professionnelles. Pour gagner en agilité, les entreprises ont tourné le dos aux applications monolithiques et développent les nouvelles applications nativement pour le cloud. Elles utilisent des microservices pour assurer un développement et une intégration continue qui ne nécessitent aucune interruption de service. Les applications peuvent ainsi s’adapter en permanence au besoin du marché mais en revanche leur évolution constante oblige à s’interroger sur leur niveau de vulnérabilité. Le rapport SOSS (State of Software Security ) de Veracode montre que le nombre d’applications vulnérables reste élevé et que les composants open source représente un risque significatif pour l’entreprise. Le recours aux APIs se révèle d’une grande aide pour faciliter l’intégration entre logiciels et applications à condition que ces APIs soient elles-mêmes sécurisées. Les déboires d’Intel en 2018 avec les failles de sécurité  Spectre et Meltdownpuis Foreshadow ont montré que les puces équipant les serveurs informatiques n’était pas à l’abri des menaces. Dans un tel contexte assurer une sécurité à toute épreuve tient de la gageure et les solutions périmétriques ne peuvent se suffire à elle-même.

Il est illusoire de prétendre être en mesure de se prémunir contre toutes les attaques.De par sa vocation le cloud est un environnement hautement connecté qui offre une surface d’attaque importante. Les menaces sont de plus en plus en plus nombreuses et les vecteurs d’attaques s’attachent à exploiter toutes les failles possibles. De nombreux exemples récents de vols de données ont montré que l’entreprise s’aperçoit trop tard qu’elle a été victime d’une attaque. Une étude de Ponemon Institutemenée pour IBM Security a chiffré le coût d’une violation de données à environ 3,86 millions $ par entreprise et par an. Si on ne peut bloquer toutes les attaques il faut éviter leur propagation et en limiter les effets en se concentrant sur la protection des données et des applications. Cela passe par des solutions de chiffrement pour stocker les données et les transférer. Le mot de passe reste d’une efficacité extrêmement limitée s’il ne s’accompagne pas d’autres facteurs d’authentification (un jeton ou une carte à puce, des données biométriques). Pas suffisant malgré tout puisque un outil de test d’intrusion (Modlishka)publié par un chercheur en sécurité a réussi à contourner des protections à double facteurs !! Pour rationaliser les processus et réduire les erreurs humaines l’automatisation est incontournable. Intégrer la sécurité dans les approches DevOps (DevSecOps) peut être salutaire. D’après le rapport SOSS les entreprises utilisant activement des approches DevSecOps corrigent les failles 11,5 fois plus rapidement que les autres en raison de l’analyse accrue du code lors de la fourniture en continue de versions de logiciels. Comme il est impossible de connaitre immédiatement la nature de toutes les nouvelles menaces les solutions de sécurité doivent être capables de déceler toute variation par rapport à un comportement dit normal d’un utilisateur, d’un équipement ou d’une application.

La sécurité confrontée au cloud hybride et au multi cloud. Sécuriser un cloud est déjà un vaste programme. Les solutions se composent de différents produits qui doivent collaborer efficacement pour couvrir tous les aspects de la sécurité. La tâche n’est déjà pas si simple mais elle se complique encore des lors qu’il s’agit de protéger un cloud hybride ou un multi-cloud. Il n’est pas question de mettre en cause les moyens de sécurité des fournisseurs de cloud publics. Des sociétés comme AWS utilisent le machine learning pour détecter automatiquement les menaces (Amazon GuardDuty) ou classifier les données en fonction de leur valeur (Amazon Macies). Google dispose de tout un arsenal documenté dans des livres blancspour assurer l’authentification multi facteurs, le chiffrement des données et l’intrusion des données. Azure et IBM ont des approches similaires. Le problème tient davantage dans la juxtaposition de clouds provenant de fournisseurs différents utilisant des infrastructures, matérielles et logicielles, et des outils de sécurité qui leur sont propres. Dans un environnement aussi complexe il faut s’assurer que l’entreprise garde la visibilité sur l’ensemble des clouds utilisés et sur la localisation de ses données. Malgré le nombre d’acteurs impliqués l’entreprise doit malgré tout veiller à la cohérence et à la consistance des politiques la sécurité sur l’ensemble. Le partage des responsabilités est aussi un sujet qui doit être abordé  tout particulièrement pour être entre conformité avec la RGPD.

Les dépenses en matière de sécurité ne cessent d’augmenter selon le Gartner (101 milliards en 2017, 114 en 2018 et 124 prévus en 2019 mais l’efficacité n’est pas garantie pour autant. A l’ère du cloud il ne suffit plus d’empiler les solutions, il faut être capable de se remettre en cause et utiliser de nouvelles approches qui à leur tour atteindront leurs limites car la sécurité est une course sans fin.

 

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s