Autrefois parfois perçu comme un risque de cybersécurité, le cloud public s’impose peu à peu comme un atout pour renforcer la cyber-résilience des entreprises.

La cybersécurité figure désormais tout en haut de l’agenda des comités de direction. Et à juste titre : les vecteurs d’attaques sont à la fois nombreux et ciblés, anciens et sans cesse renouvelés et imposent par conséquent de trouver de nouvelles approches de sécurisation à la fois de l’infrastructure informatique et des données.

Le cloud public dans ce domaine ? Lorsqu’il est apparu, il a répondu en premier lieu aux besoins d’adaptabilité, de mutualisation et d’agilité des ressources des entreprises sans toujours entrer dans les cases des cadres traditionnels dédiés à la sécurité des systèmes d’information.

A présent, le cloud propose non seulement un très haut niveau de sécurité des données et des opérations, mais également une résilience des infrastructures, indispensables à la réussite de toute transformation numérique.

Plus de sécurité grâce au cloud ? Assurément et en suivant une triple approche : l’identification des menaces, le destin partagé et la réduction du risque.

Pointer du doigt les menaces (et s’en protéger)

Le nombre d’applications augmente, les environnements numériques se complexifient et les infrastructures changent d’échelle. Il devient alors de plus en plus difficile de maintenir à niveau les exigences de sécurité et de s’assurer des règles de bonne gestion cyber sur l’ensemble du cycle de vie des applications.

La visibilité des menaces est une grande partie du problème. Vous ne pouvez pas protéger votre organisation de ce que vous ne pouvez pas voir. La question se pose d’autant plus que nombre d’entreprises utilisent une grande diversité de terminaux, sur site et à distance, et peuvent avoir recours à leurs propres serveurs, à des clouds privés comme publics, augmentant ainsi leur surface d’exposition.

Si une vision exhaustive des menaces n’est pas toujours possible, au moins est-il nécessaire d’identifier précisément ses actifs et leurs vulnérabilités. Cela suppose également d’évoluer dans son approche de la sécurité. Dans des environnements complexes, il est désormais nécessaire de recourir aux dernières évolutions du paysage technologique – un paysage qui fait désormais largement appel à l’automatisation, à une conception de la sécurité nativement au sein de produits et à l’apprentissage automatique (« machine learning »), favorisant la démocratisation de la discipline et son usage par un plus grand nombre. Pour réduire le risque d’omettre d’éventuelles vulnérabilités ou alertes critiques, il faut donc d’abord avoir une visibilité maximale sur son environnement, et tirer parti des dernières possibilités technologiques dans le domaine des opérations de sécurité.

Anticiper et réagir en bâtissant un destin partagé 

Le concept de destin partagé est une évolution du modèle historique de responsabilité partagée. Celui-ci se produit lorsqu’un fournisseur de cloud et un client travaillent ensemble, en équipe, pour un objectif commun. C’est une version plus large de la responsabilité partagée qui l’englobe, mais aussi la transcende. Dans les faits, le destin partagé signifie que le fournisseur de cloud prend une part active à la sécurité de ses clients, y compris dans leur périmètre de responsabilités. Ce partenariat passe notamment par la mise à disposition de configurations sécurisées par défaut pour les déploiements dans le cloud ; l’offre de conseils sur les bonnes pratiques de sécurité ; et une aide à la gestion des risques.

(N’) ayez (pas) confiance : le “zero trust” du cloud pour limiter les risques 

Une migration vers le cloud représente un véritable levier en termes de sécurité et permet de bénéficier de la mutualisation des efforts dans ce domaine : infrastructure sécurisée, renforcement des opérations, compétences de haut niveau en cybersécurité. De plus, chez Google Cloud, toutes les architectures de sécurité reposent sur le principe du « zero trust » . Si ce terme peut être traduit littéralement par « zéro confiance”, il ne faut pour autant pas se méprendre sur sa signification : l’objectif est bien de créer de la confiance (authentifier un utilisateur, donner accès à une donnée, autoriser l’usage d’une application, etc.) mais pas de préjuger d’une confiance a priori, qui serait basée – par exemple – sur le seul lieu de connexion d’un terminal. Ce principe pousse à des contrôles plus granulaires et contextuels, et favorise une meilleure visibilité. Ainsi, une architecture « zero trust » permet une meilleure résistance face aux vecteurs d’attaque traditionnels.. Cette approche de la sécurité – dès la conception d’une solution et à tous les niveaux de l’infrastructure – participe à la création d’une confiance partagée entre une organisation et son fournisseur de cloud et favorise grandement la gestion de la sécurité sur des systèmes d’informations de plus en plus distribués.

Le cloud peut et doit être au service de la sécurité des données de l’entreprise. Une approche coordonnée et responsable, partagée avec le fournisseur de cloud et assumée par celui-ci, est nécessaire pour non seulement satisfaire aux exigences de sécurité, de confidentialité et de souveraineté mais également générer la confiance, indispensable à toute réussite numérique et économique.
__________________

Par Franck Zerbib, Directeur technique France de Google Cloud

 

A lire également

« Il faut être capable d’apporter le même niveau de protection sur tous les clouds publics, privés, hybrides. »

Environnements Cloud : 3 fondamentaux pour assurer la sécurité.

Google Cloud veut protéger le multicloud, l’open source et la supply chain

Définir une stratégie de cybersécurité à l’ère du cloud computing.

Google s’amuse avec le nombre Pi et son cloud…e

Google Cloud lance de nouveaux services de cybersécurité

Google va racheter Mandiant. C’est officiel.