En entreprise, le Cloud tisse sa toile depuis longtemps. Selon une étude Rightscale menée en 2019 par le gestionnaire de parcs IT Flexera, 94% des entreprises déclarent utiliser le Cloud dans leurs activités quotidiennes. 84 % d’entre elles adoptent même une stratégie multicloud. Mais en parallèle de son déploiement, les cyberattaques visant les applications Cloud sont également de plus en plus récurrentes. Selon une étude Proofpoint, elles auraient augmenté significativement de 65% la même année. Si les applications Cloud présentent des failles de sécurité, c’est aussi parce que la sécurisation du Cloud est une affaire de responsabilité partagée entre fournisseurs et clients. Mais toutes les entreprises ne prennent pas l’affaire au sérieux…

Une responsabilité légitime pourtant !

Le modèle de la responsabilité partagée est une répartition des rôles de chacun (fournisseurs et clients) dans la sécurisation du Cloud. En effet, de nombreux fournisseurs dotent leurs infrastructures Cloud d’outils de sécurité standards pour protéger les accès. Mais une part de sécurisation revient également au client de l’entreprise. Car selon l’utilisation qu’elle en fait, l’entreprise doit développer sa propre stratégie pour sécuriser non seulement ceux qui ont un accès privilégié pour administrer leurs comptes Cloud, mais aussi les workloads qui y sont stockés. Or c’est bien là que le bât blesse. Selon un récent sondage mené par Centrify, 60% des interrogés manifestent une méconnaissance du modèle de responsabilité partagée lorsqu’il s’agit de garantir un accès privilégié aux environnements Cloud et ne remplissent donc pas leur part de sécurisation.

Pourtant les entreprises sont bien les plus à même de sécuriser leurs accès puisqu’elles sont à la source de l’architecture du schéma de sécurisation. En effet, elles sont les mieux placées en matière de sécurisation pour deux principales raisons : pour être en conformité avec la RGPD, les entreprises sont propriétaires des informations données au fournisseur et elles ont une bonne connaissance du niveau d’accréditation dont elles ont besoin au quotidien. Il s’agit donc pour l’entreprise de comprendre son rôle et de prendre ses responsabilités à bras-le-corps.

La gestion des accès à privilèges est un point de départ pour assumer cette responsabilité.

Pour mieux appréhender la problématique de la responsabilité partagée, les entreprises peuvent d’ores et déjà mettre en place 3 bonnes pratiques :

Premièrement, il faut bien comprendre que les outils de sécurisation proposés par les fournisseurs de Cloud ne sont pas efficaces face à des stratégies multi-cloud. Il est donc de la responsabilité de l’entreprise de construire et de mettre en place une stratégie de sécurisation des accès privilégiés aux environnements hybrides Cloud.

La seconde consiste à réduire les risques associés à la gestion d’identité . En effet, plus de 76% des entreprises utilisent plus d’un annuaire d’identités dans leur Cloud, les laissant potentiellement exposés à «l’étalement de l’identité ». Au lieu de cela, ils devraient centraliser la gestion d’identités dans un annuaire central tel qu’Active Directory et l’utiliser comme source unique pour attribuer les droits et accorder les accès privilégiés.

La troisième serait de renforcer le principe du moindre privilège. Autoriser un accès privilégié sans restriction en interne ou en externe équivaut à une demande d'intrusion. Raison pour laquelle, il est conseillé d'adopter une approche de PAM basée sur le « Zero Trust » dont les principes permettent de prioriser à temps le risque d'abus des accès à privilège.

C’est certain, la méconnaissance du modèle de responsabilité partagée met en péril la sécurisation du Cloud. Selon le rapport Oracle et KPMG Cloud Threat Report 2019, 82% des utilisateurs du Cloud ont rencontré des problèmes de sécurité en raison de la confusion qui règne autour du modèle de la responsabilité partagée. Quels sont donc les freins qui expliquent ce constat ? Et qu’attendent les entreprises pour remplir leur rôle ?

Par Philippe Corneloup, Directeur Régional des Ventes – Centrify