Qu’est-ce que la sécurité du cloud ?

La sécurité du cloud peut paraître inaccessible. Le cloud se compose simplement de serveurs, routeurs et commutateurs qui appartiennent à une autre organisation. Il existe de nombreux moyens de protéger votre entreprise, afin d’assurer votre partie du modèle de responsabilité. Vous pouvez ainsi sécuriser votre cloud tout en profitant de toutes les possibilités du cloud.

Avant d'évoquer la manière de sécuriser les architectures cloud, étudions la structure du cloud. L’environnement cloud actuel offre de nombreuses options. Il existe trois modèles de service et quatre modèles de déploiement. Ils sont définis par le NIST dans le SP 800-145.

Les modèles de service sont les suivants :

• Infrastructure as a Service : l’IaaS permet à une entreprise de créer son propre data center virtuel (vDC).
• Platform as a Service : le PaaS fournit de nombreuses options qui permettent au client de provisionner, déployer ou créer des logiciels.
• Software as a Service : avec le SaaS, le client peut utiliser les logiciels sans devoir les installer sur un ordinateur ou un serveur. Quelques-uns des exemples les plus connus sont Microsoft 365 (anciennement Office 365) et Gmail. Le client peut accéder aux logiciels en ligne grâce à un ordinateur, une tablette ou un téléphone.

Les entreprises utilisent différents termes pour mettre en avant leurs produits, tandis que le NIST utilise des descriptions plus techniques : DRaaS (récupération après sinistre), HSMaaS (module de sécurité matérielle) ou encore DBaaS (base de données), sans oublier XaaS (tout en tant que service). Selon les produits que commercialise une entreprise, il peut être difficile de déterminer si un produit est SaaS ou PaaS. Au final, le plus important est de comprendre les responsabilités contractuelles du fournisseur de cloud. Les fournisseurs de cloud étendent leurs contrats pour ajouter la sécurité sur les formations cloud via des services tels que HSMaaS (module de sécurité matérielle) ou DRMaaS (gestion des droits numériques).

Les quatre modèles de déploiement sont les suivants :

• Public : disponible à l’achat pour tous. Les exemples actuels les plus connus sont Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP).
• Privé : créé pour une entreprise. Fondamentalement, le matériel en lui-même n’est partagé avec personne d'autre. Le modèle privé peut être conçu sur un cloud ou dans votre propre data center (DC), ou encore dans une entreprise spécialisée dans la création de clouds publics, c’est-à-dire un fournisseur de services managés.
• Communautaire : implique le concept de partage entre les entreprises. Le service peut être partagé, ou les données peuvent être partagées sur ce service. Les clouds conçus par le gouvernement, partagés entre plusieurs agences, en sont un exemple.
• Hybride : implique l’utilisation d’au moins deux des trois modèles de déploiement répertoriés ci-dessus : publique et privé, privé et communautaire, ou public et communautaire. L’utilisation des trois modèles est également possible.

L’architecture cloud est l’organisation des composants et sous-composants en une structure logique et efficace. Cette structure doit permettre à ces composants de fonctionner ensemble pour atteindre un objectif commun, afin d’optimiser les points forts et de minimiser les points faibles. Les composants de base requis pour créer un cloud comprennent les réseaux, les routeurs, les commutateurs, les serveurs et d'autres éléments, tels que des pare-feu et des systèmes de détection des intrusions. En plus de ces composants, le cloud comprend également tous les éléments qui composent les serveurs, comme l’hyperviseur, les machines virtuelles, et bien sûr, les logiciels. L’architecture cloud requiert également un fournisseur de cloud, un architecte cloud et un courtier de cloud qui vont créer, gérer, vendre et acheter des services cloud.

De nombreux termes associés à l’architecture cloud se contentent d'ajouter le mot « cloud » à un mot connu, par exemple : consommateur cloud. Si vous comprenez la définition de « consommateur », le nouveau terme est clair : il désigne un consommateur de services cloud par opposition à des services téléphoniques, par exemple.

La terminologie de base disponible dans le SP 500-299 de la NIST comprend :

• Consommateur cloud : personne ou entreprise qui utilise le service cloud d’un fournisseur de cloud.
• Fournisseur de cloud : personne ou entreprise qui possède les ressources nécessaires pour fournir les services demandés par les consommateurs. Cela comprend la technologie pour créer les serveurs, les machines virtuelles, le stockage de données ou les ressources dont le client a besoin.
• Courtier de cloud : personne ou entreprise qui gère la livraison, l’utilisation et les performances du cloud pour le consommateur. Il négocie également la relation avec le fournisseur pour le compte du consommateur.
• Opérateur cloud : l’opérateur est le fournisseur de services qui relie une entreprise au cloud, par ex., votre fournisseur d'accès à Internet. Pour une entreprise, il s'agit généralement d'une connexion MPLS.
• Auditeur de cloud : personne ou entreprise qui effectue l’audit d’un environnement de fournisseurs de cloud. Ces audits incluent ceux de confidentialité et ceux de sécurité.

En savoir plus sur l’architecture cloud.

La sécurité dans le cloud commence par l’architecture de sécurité du cloud, qui ajoute des éléments de sécurité à l’architecture de base. Les éléments de sécurité traditionnels comprennent les pare-feu (FW), les antimalware et les systèmes de détection des intrusions (IDS). Il faut également faire appel à des personnes qui conçoivent la structure sécurisée dans le cloud, comme un auditeur de cloud, un architecte de la sécurité et un ingénieur de la sécurité.

Pour résumer, l’architecture de sécurité du cloud ne se limite pas au matériel ou aux logiciels.

L’architecture de sécurité du cloud commence par la gestion des risques. Le fait de savoir quels problèmes pourraient surgir et comment une entreprise peut être impactée aide à prendre des décisions responsables. La continuité des activités, la chaîne d'approvisionnement et la sécurité physique sont trois domaines de discussion essentiels.

Que se passera-t-il pour votre entreprise si votre fournisseur de cloud rencontre une défaillance ? Le fait de placer nos serveurs, services et données dans le cloud n'élimine pas la nécessité de planifier la continuité des activités et la récupération après sinistre.

Que se passerait-il si n’importe qui pouvait accéder au data center (DC) du fournisseur de cloud ? Cela ne serait pas facile pour les trois principaux acteurs, AWS, GCP et Azure, mais cette question a son importance. Ils ont fortement investi dans la sécurité du data center lui-même. Mais qu’en est-il des autres fournisseurs de cloud ? Quel que soit le fournisseur de cloud, demandez à visiter le data center et à être impliqué dans un audit. Notez sa réponse. Accepte-t-il de vous laisser visiter le DC le jour suivant ? S’il est facile d’entrer dans le DC, vous devriez peut-être envisager un autre fournisseur.

Il est plus probable que les petits fournisseurs de cloud ne possèdent pas de DC physique. Ils utilisent et revendent sans doute la capacité de grands fournisseurs de cloud. Ce n’est pas un problème. C’est un avantage et cela fait partie des avantages d’utiliser le cloud. Si la relation entre les fournisseurs de cloud est inconnue, cela peut causer d'autres problèmes en matière de lois, de réglementations et de contrats. Posez cette simple question : où sont mes données ? S’il existe plusieurs niveaux jusqu'aux fournisseurs de cloud, la réponse peut être difficile à déterminer. Cela peut avoir des conséquences juridiques, comme un problème avec le règlement général sur la protection des données (RGPD).

Les éléments qui composent l’architecture de sécurité cloud d’une entreprise peuvent également comprendre des services de sécurité cloud. Il est possible d'acheter des services comme le DLPaaS (Data Leak Prevention, prévention des fuites de données) ou d'utiliser des outils, comme un outil d'analyse qui recherche les informations personnellement identifiables (PII) afin de les sécuriser comme il se doit. La gestion de la sécurité cloud est nécessaire pour s'assurer que ces services fonctionnent normalement.

Les entreprises doivent respecter de nombreux contrats, réglementations et lois. Lorsque vous confiez vos données et services à quelqu’un d'autre, les audits nécessaires pour confirmer votre conformité peuvent être compliqués.

Voici une bonne question à se poser : Qu’est-ce qui vous inquiète ? Cela aidera à déterminer quelles questions vous devez poser à votre fournisseur de cloud. D’un point de vue juridique, les organisations doivent respecter le RGPD (Règlement général sur la protection des données) de l’UE, la loi SOX (Sarbanes-Oxley - protection des données financières aux États-Unis), la loi HIPAA (Health Information Portability and Accountability Act - soins de santé aux États-Unis), etc. La protection des cartes de crédit est quant à elle soumise à la loi PCI-DSS (Payment Card Industry - Data Security Standard).

Une fois le sujet de conformité identifié, il est possible d’entreprendre de nombreuses actions, comme un audit. L’audit doit être mené à l’aide d’une approche normalisée et d'une méthodologie prouvée, comme les SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) de l’American Institute of Certified Public Accountants. Les résultats de l’audit indiqueront les éventuels éléments non conformes. Lorsque vous choisissez un fournisseur de cloud, vous devez lire ces rapports pour connaître le niveau de sécurité du DC et pour savoir à quoi vous attendre.

En savoir plus sur la conformité cloud.

Pour faire simple, l’IaC consiste à traiter l’infrastructure en tant que code, avec une logique de DevOps, au lieu de configurer chaque routeur, serveur, commutateur et logiciel. Si nous appliquions les points forts du DevOps à la création et à la gestion de notre infrastructure, nous en tirerons de nombreux avantages. Dans le cloud, votre infrastructure devient virtuelle, ce qui signifie qu’elle est entièrement composée de code, sans matériel. Un routeur n’est que du code qui réside sur un ordinateur particulier ou spécialement conçu. Lorsque l’on supprime le matériel, il reste le code.

Appliquons à présent la logique au développement et au déploiement de ce code. Les outils d'automatisation offrent désormais des méthodes de déploiement et de gestion des logiciels plus simples et plus contrôlées. Si nous gérons notre infrastructure virtuelle avec ces outils, nous pouvons également déployer et gérer les clouds de manière plus simple et plus contrôlée.

En savoir plus sur l’infrastructure en tant que code.