La sécurité est, de manière récurrente, une des préoccupations majeures des DSI. Et le cloud ne change rien à l’affaire. Il aurait sans doute tendance à l’accentuer même si les services proposés par les fournisseurs sont devenus largement plus mûrs. Selon le cabinet Robert Frances Group, les solutions de cloud externes peuvent être plus sécurisées que les solutions mais ce n’est pas une certitude ni une garantie. C’est là le résultat d’un effort partagé.
Le site spécialisé « Death by Cloud » a recensé les 12 principales menaces de sécurité et quelques recommandations pour y faire :
- Les violations de données ;
2. Les informations d’identification et d’authentification compromises ;
3. Les interfaces de programmation d’applications (API) et autres interfaces d’accès aux services clouds hackées ;
4. Les failles exploitées ;
5. Les comptes légitimes piratés ;
6. Les initiés malveillants ;
7. Les menaces persistantes avancées (APT)
8. Les pertes de données définitives
9. Une surveillance inadaptée
10. Un abus de service cloud
11. Des attaques de Déni de service (DDoS)
12. Vulnérabilités des infrastructures et des ressources partagées des fournisseurs de services cloud
En juillet 2015, Intel Security (anciennement McAfee) a commandé une enquête auprès de 1200 RSSI spécialisés dans le cloud ont été interrogés sur les questions de leur
organisations avaient fait face à des fournisseurs de services cloud. La figure 1 ci-dessous résume leurs réponses.
Sécuriser le Cloud
Le cabinet RFG recommande aux DSI de se concentrer sur quatre domaines: l’automatisation, l’orchestration, la normalisation et la culture et le changement de processus.
– L’automatisation peut faciliter, accélérer et améliorer l’exécution des tâches répétitives nécessaires banales, allant du déploiement de nouvelle version du système d’exploitation à l’application des correctifs pour les déploiements de nouveaux logiciels.
– L’orchestration peut aider à assurer que les politiques et les pratiques de sécurité efficaces sont mis en œuvre et exécuté de façon uniforme dans l’infrastructure informatique, sur site
et dans le cloud.
– La normalisation des configurations matérielles et logicielles peut rendre plus facile à
automatiser et orchestrer les efforts de sécurité, et à identifier et atténuer les menaces.
– La culture et le changement de processus peuvent être le plus grand et le plus omniprésent défi des organisations cherchant à tirer parti du cloud. Les personnes, les processus et les outils utilisés pour solutions à base de local sécurisées ne peuvent pas simplement être transférés vers le nuage.
Plusieurs fournisseurs offrent des solutions destinées à automatiser, à orchestrer, à normaliser et à améliorer la visibilité et la protection des ressources et des services cloud-. Cependant, les outils ne suffiront pas à offrir une vision globale et engager une action efficace. La sécurité passera toujours par les salariés de l’entreprise.
Un bon départ est de suivre les recommandations des instituts spécialisés comme l’ENISA (European Network and Information Security Agency), l’ASD (Australian Signals Directorate) ou encore le CERT (US Computer Emergency Readiness Team).