Qu’est-ce que la sécurité du cloud ?

La sécurité du cloud est un ensemble de procédures, de politiques et de technologies qui renforcent les environnements de calcul basés sur le cloud contre les menaces de cybersécurité potentielles. Dans la pratique, elle assure l'intégrité et la sécurité des modèles de cloud computing au cours d'une attaque ou violation. Les fournisseurs de services cloud établissent une infrastructure cloud sécurisée.

Sécurité du cloud

La sécurisation du cloud n’est pas aussi complexe qu’il y paraît. Il existe de nombreuses façons de protéger votre entreprise, tout en sécurisant votre cloud et en profitant de tout ce qu’il a à offrir.

Pour commencer, la sécurité du cloud nécessite de sélectionner le modèle de service adapté aux besoins de votre organisation. Il existe trois modèles de service unique et quatre options de déploiement en matière d’offres de sécurité du cloud. Les options de modèle de service comprennent les suivantes :

  • Infrastructure as a Service (IaaS) : Le modèle IaaS permet à une société de créer son propre data center virtuel (vDC, virtual Data Center). Un data center virtuel offre des ressources basées sur le cloud au lieu des avantages physiques qu’un data center traditionnel peut fournir. Une maintenance, des mises à jour ou une mise en service des machines physiques avec un data center virtualisé sont inutiles.
  • Plateforme as a Service (PaaS) : Le modèle PaaS fournit différentes options qui permettent aux clients de provisionner, de déployer ou de créer des logiciels.

 

Software as a Service (SaaS) :  Avec le modèle SaaS, les clients reçoivent un logiciel qui ne requiert pas l’utilisation d’un ordinateur ni d’un serveur. Quelques-uns des exemples les plus connus sont Microsoft 365 (anciennement Office 365) et Gmail. Grâce à ces options, les clients ont simplement besoin d’un ordinateur, d’une tablette ou d’un téléphone pour accéder à  chaque application. Les entreprises utilisent différents termes pour mettre en avant leurs produits, de DRaaS (récupération après sinistre) à HSMaaS (module de sécurité matérielle) en passant par DBaaS (base de données) et, enfin, XaaS (tout). Selon les produits que commercialise une entreprise, il peut être difficile de déterminer si un produit est SaaS ou PaaS. Au final, le plus important est de comprendre les responsabilités contractuelles d’un fournisseur de cloud. Les fournisseurs de cloud étendent leurs contrats pour ajouter la sécurité sur les formations cloud via des services tels que HSMaaS (module de sécurité matérielle) ou DRMaaS (gestion des droits numériques).

Les quatre modèles de déploiement sont les suivants :

  • Public :  disponible à l’achat pour tous. Les exemples actuels les plus connus sont Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP).
  • Privé : il est conçu pour une seule entreprise et le matériel n'est pas partagé avec d'autres. Le modèle privé peut être conçu sur un cloud ou dans votre propre data center, ou encore dans une entreprise spécialisée dans la création de clouds publics, c’est-à-dire un fournisseur de services managés.
  • Communautaire : implique le concept de partage entre les entreprises. Le service peut être partagé, ou les données peuvent être partagées sur ce service. Les clouds conçus par le gouvernement, partagés entre plusieurs agences, en sont un exemple.
  • Hybride : implique l’utilisation d’au moins deux des trois modèles de déploiement répertoriés ci-dessus : publique et privé, privé et communautaire, ou public et communautaire. L’utilisation des trois modèles est également possible.

Quel aspect de la sécurité du cloud est le plus important ?

Tous les aspects d’une politique de sécurité du cloud individuelle sont importants, mais tous les fournisseurs doivent proposer certains piliers. Ils sont considérés comme essentiels et comme faisant partie des aspects les plus importants d’une infrastructure de sécurité du cloud. Il est essentiel de s'assurer que le fournisseur de votre choix couvre tous ces piliers, pour vous permettre de mettre en place la stratégie de sécurité du cloud la plus complète possible.

Surveillance constante : Les fournisseurs de sécurité du cloud peuvent offrir un aperçu des événements sur vos plateformes cloud en conservant les journaux en permanence. Si un incident se produit, votre équipe de sécurité peut inspecter les journaux internes et les comparer aux enregistrements de votre fournisseur, afin de chercher des informations sur les attaques ou modifications potentielles. Cela peut aider à détecter et à traiter rapidement les éventuels incidents.

Gestion des modifications : Votre fournisseur de sécurité du cloud doit proposer des protocoles de gestion des modifications afin de surveiller les contrôles de conformité lorsque des modifications sont demandées, que des actifs sont modifiés ou déplacés, ou que de nouveaux serveurs ou provisionnés ou mis hors service. Il est possible de déployer des applications de gestion des modifications dédiées afin de surveiller automatiquement les comportements inhabituels. Ainsi, votre équipe et vous-même pouvez agir rapidement pour atténuer et corriger ces problèmes.

Contrôles de sécurité Zero Trust : Isolez vos actifs et applications stratégiques de votre réseau cloud. En gardant les charges de travail sécurisées privées et inaccessibles, vous pouvez appliquer des politiques de sécurité qui protègent votre environnement basé sur le cloud.

Protection des données globale : votre fournisseur doit proposer une protection des données améliorée avec un chiffrement supplémentaire pour toutes les couches de transport, une bonne hygiène des données, une surveillance continue de la gestion des risques, un partage de fichiers sécurisé et des communications étanches. Pour résumer, votre fournisseur doit être extrêmement performant en matière de protection des données de votre entreprise, sous toutes les formes.

Posez-vous la question : « Quelles sont mes préoccupations ? » Cela vous aidera à déterminer les questions à poser à votre fournisseur de cloud, qui pourront vous permettre de comprendre les aspects les plus importants à garder à l’esprit.

Architecture cloud

En des termes simples, l’architecture cloud est le résultat de plusieurs environnements qui se regroupent pour partager des ressources évolutives entre les applications logicielles, les bases de données et d’autres services. Ce terme désigne principalement l’infrastructure et les composants qui fonctionnent en tandem pour composer le "cloud" tel que nous le connaissons.

Les composants de base requis pour créer un cloud comprennent les réseaux, les routeurs, les commutateurs, les serveurs, les pare-feu et des systèmes de détection des intrusions. Le cloud comprend également tous les éléments qui composent les serveurs : l’hyperviseur et les machines virtuelles, par exemple, et bien sûr, les logiciels. L’architecture cloud requiert également un fournisseur de cloud, un architecte cloud et un courtier de cloud qui vont créer, gérer, vendre et acheter des services cloud. Il y a tout un écosystème à suivre, mais lorsque l’on parle du cloud, on se rapporte généralement à l’architecture cloud.

De nombreux termes associés à l’architecture cloud se contentent d'ajouter le mot « cloud » à un mot connu, par exemple : consommateur cloud. Si vous comprenez la définition de « consommateur », le nouveau terme est clair : il désigne un consommateur de services cloud par opposition à des services téléphoniques, par exemple.

Voici quelques exemples basiques :

  • Consommateur de cloud : personne ou société qui utilise le service cloud d’un fournisseur de cloud.
  • Fournisseur de cloud :: Personne ou entreprise qui possède les ressources nécessaires pour fournir les services demandés par les consommateurs. Cela comprend la technologie pour créer les serveurs, les machines virtuelles, le stockage de données ou les ressources dont le client a besoin.
  • Courtier de cloud : personne ou entreprise qui gère la livraison, l’utilisation et les performances du cloud pour le consommateur, en négociant la relation avec le fournisseur au nom du consommateur.
  • Opérateur cloud : l’opérateur est le fournisseur de services qui relie une entreprise au cloud, par ex., votre fournisseur d'accès à Internet (FAI). Pour une entreprise, il s’agit généralement d’une connexion MPLS (multiprotocol label switching).
  • Auditeur de cloud : personne ou entreprise qui effectue audit de l’environnement d'un fournisseur de cloud. audits incluent ceux de confidentialité et ceux de sécurité.

Architecture de la sécurité du cloud

La sécurité dans le cloud commence par l’architecture de sécurité du cloud, qui ajoute des éléments de sécurité à l’architecture de base. Les éléments de sécurité traditionnels comprennent les pare-feu (FW), les antimalware et les systèmes de détection des intrusions (IDS). Il faut également faire appel à des personnes qui conçoivent la structure sécurisée dans le cloud, comme un auditeur de cloud, un architecte de la sécurité et un ingénieur de la sécurité.

Pour résumer, l’architecture de sécurité du cloud ne se limite pas au matériel ou aux logiciels.

L’architecture de sécurité du cloud commence par la gestion des risques. Le fait de savoir quels problèmes pourraient surgir et comment une entreprise peut être impactée aide à prendre des décisions responsables. La continuité des activités, la chaîne d'approvisionnement et la sécurité physique sont trois domaines de discussion essentiels.

Par exemple, que se passera-t-il pour votre entreprise si votre fournisseur de cloud rencontre une défaillance ? Le fait de placer les serveurs, services et données dans le cloud n'élimine pas la nécessité de planifier la continuité des activités et/ou la récupération après sinistre.

Que se passerait-il si n’importe qui pouvait accéder au data center du fournisseur de cloud ? Cela ne serait pas facile pour les trois principaux acteurs (AWS, GCP et Azure) mais cette question a son importance. Ils ont fortement investi dans la sécurité du data center.

Qu’en est-il des autres fournisseurs de cloud ? Quel que soit le fournisseur de cloud, demandez à visiter le data center et à être impliqué dans un audit. Notez sa réponse. Accepte-t-il de vous laisser visiter le data center le jour suivant ? S'il est facile de pénétrer dans le data center, ce fournisseur mérite peut-être que vous y réfléchissiez à deux fois.

Les fournisseurs de cloud plus petits peuvent ne pas avoir de data center physique. Ils utilisent et revendent sans doute la capacité de grands fournisseurs de cloud. C’est un avantage et cela fait partie des avantages d’utiliser le cloud. Si la relation entre les fournisseurs de cloud est inconnue, d'autres problèmes pourraient surgir en matière de lois, de réglementations et de contrats. Posez cette simple question : Où sont mes données ? S'il existe plusieurs niveaux pour le fournisseur de cloud, la réponse pourrait être difficile à déterminer. Il pourrait également y avoir des conséquences juridiques, comme un problème avec le règlement général européen sur la protection des données (RGPD).

Les éléments qui composent l’architecture de sécurité cloud d’une entreprise peuvent également comprendre des services de sécurité cloud. Il est possible d'acheter des services tels que la prévention des fuites de données (DLPaaS). D'autres outils aident à la sécurité, comme un outil d'analyse qui recherche les informations personnelles identifiables afin de les sécuriser correctement. La gestion de la sécurité cloud est nécessaire pour s'assurer que ces services fonctionnent normalement.

Qu’est-ce qu’un programme de protection des applications cloud natives (CNAPP) ?

Le CNAPP est un groupe de solutions de sécurité conçu pour aider à identifier, évaluer, hiérarchiser les risques et s’y adapter, dans différentes applications cloud natives.

Le CNAPP rassemble ainsi plusieurs des fonctionnalités les plus importantes, recueillies auprès des produits et plateformes en silos : analyse d'artefact, protection lors de l’exécution et configuration du cloud. Les points traités peuvent comprendre les suivants :

  • Contrôle des erreurs de configuration pour les bases de données, les ports réseau et les buckets Amazon S3 ouverts
  • Surveillance lors de l’exécution et protection de vos charges de travail cloud
  • Détection automatisée des vulnérabilités dans des conteneurs, des machines virtuelles (VM) ou des fonctions sans serveur
  • Analyse de l’exposition pour détecter des CVE, des secrets, des données sensibles et des malware
  • Analyse de l’infrastructure en tant que code (IaC)

 

Trend Micro peut être considéré comme un fournisseur CNAPP. Les produits tels que Trend Micro Cloud One™, la plateforme de services de sécurité dédiée aux créateurs de cloud, peuvent s’intégrer parfaitement dans une architecture CNAPP.

Conformité du cloud

Les entreprises doivent respecter les nombreux contrats, réglementations et lois en place. Lorsque vous confiez vos données et vos services à quelqu’un, certaines exigences complexes doivent être en place afin de garantir la conformité.

D’un point de vue juridique, les organisations doivent respecter le Règlement général sur la protection des données de l'Union européenne (UE, RGPD), la loi Sarbanes-Oxley - protection des données financières aux États-Unis (SOX), la loi sur la portabilité et la responsabilité des informations sur la santé - soins de santé des États-Unis (HIPAA), etc. De même, la protection des cartes de crédit relève du droit des contrats avec la norme PCI-DSS (Payment Card Industry - Data Security Standard).

Une fois le sujet de conformité identifié, il est possible d’entreprendre de nombreuses actions, comme un audit. L’audit doit être mené à l’aide d’une approche normalisée et d'une méthodologie prouvée, comme les SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) de l’American Institute of Certified Public Accountants. Les résultats de l’audit indiqueront les éventuels éléments non conformes. Lorsque vous choisissez un fournisseur de cloud, vous devez lire ces rapports pour connaître le niveau de sécurité du DC et pour savoir à quoi vous attendre.

Articles associés

Recherches associées