L’adoption croissante du cloud pousse les développeurs à privilégier la rapidité de mise en œuvre, souvent au détriment de la sécurité. Et les outils proposés par les fournisseurs, bien que performants, ne suffisent pas toujours à garantir une protection optimale. Alors comment assurer une sécurité Cloud efficiente ?

Plus de 15 ans après l’apparition des premières solutions de cloud computing, le recours à ce type de services est de plus en plus commun. Les entreprises sont séduites par la promesse d’une rapidité et d’une flexibilité accrues en termes de déploiement. Pour les développeurs, ces plateformes représentent une aubaine, permettant de lancer des applications avec une efficacité inégalée. Cependant, cette course effrénée à la vitesse ne doit pas se faire au détriment de la sécurité. Il est crucial de trouver un équilibre entre rapidité de déploiement et robustesse des mesures de protection.

Et ce n’est pas toujours simple. La maîtrise de la configuration est particulièrement ardue avec les outils natifs, souvent hors de portée des compétences des développeurs. Sans compter que la diversité des fournisseurs de cloud en multiplie la complexité. Aussi dans un contexte multi-cloud, un outil de gestion unifié devient souvent indispensable pour assurer une configuration cohérente et sécurisée. Le véritable challenge est alors de parvenir à concilier ces deux impératifs pour assurer une croissance sécurisée et soutenue.

Le passage au cloud ne rime pas avec l’externalisation de la sécurité

Le recours aux services de cloud computing est on ne peut plus pratique : rapidité de déploiement, flexibilité, simplicité, etc. On ne cite plus la liste des nombreux avantages qui permettent de lancer des services à la volée. Toutefois, si tous ces aspects commodes sont largement mis en avant, les solutions des fournisseurs atteignent rapidement leurs limites en matière de sécurité.

Intrinsèquement, les solutions de sécurité des fournisseurs cloud mises à disposition des clients sont intéressantes. Si la plupart sont relativement basiques, à l’image de stratégies de filtrage avec des firewalls de niveau 4, d’autres sont plus avancées (firewall next-gen, WAF, etc.). Toutefois, elles nécessiteront une configuration et un paramétrage fin qui n’est pas toujours à la portée de toutes les entreprises, qui n’ont pas nécessairement les compétences en interne. Sans compter que ces outils natifs ne sont pas faits pour les spécialistes de la sécurité, mais bel et bien pour les développeurs. C’est également l’illustration du fait que les outils proposés par les fournisseurs ne peuvent pas remplacer ceux d’éditeurs spécialisés qui vont bien plus loin, sur la recherche de vulnérabilités par exemple.

Et c’est bien normal ! Le cloud est pensé pour une utilisation DevOps, et pour une population dont les enjeux sont la rapidité et l’accessibilité des ressources… souvent au détriment de la sécurité.

Pour les entreprises, cette situation peut être dangereuse à double titre. D’abord vis-à-vis de la sécurité de leurs données dans le cloud, mais aussi par extension pour le SI historique. Le cloud en tant qu’infrastructure externalisée doit fondamentalement tenir compte de l’existant, et la symbiose entre ces deux environnements est souvent complexe. En l’occurrence, les outils de sécurité cloud natifs des fournisseurs ne sont pas toujours compatibles avec ceux des éditeurs spécialisés ; bien que ces derniers proposent eux aussi des solutions dans le cloud, nécessitant toutefois une adaptation en termes d’architecture et de configuration.

Comprendre les enjeux de la sécurité : le véritable graal

Il est donc crucial d’anticiper les enjeux de sécurité lors de l’utilisation des services cloud. Externaliser une partie de l’infrastructure ne doit pas compromettre la sécurité globale de l’entreprise, au simple motif que cela offre plus de flexibilité.

Comprendre les enjeux est ainsi essentiel pour tirer pleinement parti de la puissance du cloud et offrir aux développeurs un environnement de travail sûr. Cependant, dans la pratique, la notion de DevSecOps est encore rarement appliquée. Les experts en sécurité ne sont pas là pour entraver le travail des développeurs, mais pour maximiser les avantages du cloud. Mais l’éducation des développeurs demeure primordiale. Car sans même s’en rendre compte, il est effectivement très simple de créer des failles béantes de sécurité. Chez certains fournisseurs, cocher ou non une simple case peut exposer toutes les données sur Internet, lors de la création d’un private endpoint par exemple ! Et donc contrevenir à toutes les règles mises en place…

C’est d’ailleurs une situation classique chez nos clients. Certaines de nos interventions se font parfois en amont de la mise en service d’un service ou d’une application, mais ce n’est pas la majorité. En général, les services sont déployés avant même la validation de la sécurité, sans passer par un environnement de test. Lors du déploiement de services ou d’applications dans le cloud, l’automatisation est sensée simplifier et accélérer les processus internes. Cependant, l’accès quasi-total des développeurs à la configuration renforce l’idée que la sécurité ralentit leur travail. Or dans le cloud, la sécurité, bien que prête à être automatisée, nécessite une configuration préalable minutieuse pour être efficace.

Agir avec de bonnes pratiques, anticiper avec de nouvelles solutions

Ce genre de problème n’a pas lieu d’être dans un environnement on-premise. D’ailleurs, de nombreuses entreprises essaient de reproduire leur modèle de sécurité dans le cloud, en multipliant les firewalls par exemple. Bien que ce soit une première étape utile, souvent gérée par les équipes réseaux, cela reste insuffisant. L’environnement cloud dans sa globalité doit être perçu comme un site distant. Ainsi, il est recommandé de commencer par travailler l’architecture de base et la gestion des flux afin de bien comprendre les interactions qui se jouent entre les différents composants et services.

Cela implique une segmentation cohérente du réseau et des différents sous-réseaux. Les ressources ne doivent pas communiquer directement entre elles, mais passer par un point central sécurisé, semblable à un « hub ». Cette méthode permet de cloisonner les réseaux virtuels (VNet), offrant ainsi une meilleure visibilité et une harmonisation du réseau. Elle rapproche l’entreprise de la notion de cœur de réseau des environnements on-premise, réduisant mécaniquement la surface d’attaque.

Cette approche vise principalement à superviser les ressources cloud en visualisant celles qui sont exposées ou vulnérables, sans pour autant permettre de piloter entièrement l’environnement. La gestion des droits étant très complexe, les clients ont tendance à mal les utiliser et à trop ouvrir les accès, souvent par manque de compréhension des différents droits et de leurs impacts. C‘est pourquoi de nouvelles solutions de type CSPM (Cloud Security Posture Management) apparaissent sur le marché. Elles ont pour objectif d’établir des postures et de définir des stratégies en termes d’audit, d’organisation, de configuration, de conformité et de gestion des droits. Ainsi, il devient crucial de faire appel à des experts et d’intégrer des outils de contrôle CSPM pour une sécurité optimale.

Malgré les défis de sécurité, l’adoption du cloud par les entreprises ne faiblit pas, même si le « tout cloud » reste rare. D’autres considérations, comme la maîtrise des coûts, influencent les décisions, faisant de la configuration hybride le scénario le plus courant.
____________________________

Par Benjamin Voisin, ingénieur cybersécurité, Nomios

 

À lire également :

L’ANSSI lance son Dico de la Cybersécurité

DSPM et sécurité des données Cloud : Le cas des Entreprises Françaises

Assurer le respect de la conformité, une priorité pour les MSSP…

Optimiser le « Zero Trust » dans le Cloud pour une sécurité sans faille