L’usage du cloud progresse à grande vitesse en entreprise.
La sécurité des clouds est multiple. Garantir un bon niveau de protection des informations est difficile, d’autant qu’il y a peu de spécialistes en sécurité du cloud. Alors, quels critères retenir ? Comment s’assurer de faire les bons choix ?

Le mot cloud recouvre plusieurs notions, très différentes et très terre-à-terre. Tout d’abord, le cloud est une appellation, entrée dans le langage courant, désignant l’envoi des données vers l’extérieur, dans un espace partagé ou non, plus professionnel et dont c’est le métier. Le cloud c’est aussi le monde de plus en plus vaste des applications en mode SaaS, hébergées à l’extérieur, utilisées par les collaborateurs d’une entreprise en mode abonnement et sans les contraintes de la production informatique et de l’acquisition des licences. C’est la mode de l’usage partagé face aux anciens usages de la propriété absolue.

Le cloud recouvre aussi, notamment pour les ingénieurs réseaux et systèmes, les technologies de virtualisation, de partage sécurisé, de sauvegarde centralisée, les portails permettant le provisionning rapide des VM, la facturation efficace à la consommation, en interne pour les métiers (les clouds privés) et en externe (les clouds publics). Bien d’autres clouds existent, comme ceux dédiés aux mobiles, au traitement externe des données marketing, à la bureautique, à la messagerie, etc. Le cloud ou plus exactement les clouds sont donc polymorphes et s’adaptent à ce que nous souhaitons réellement externaliser et partager.

Il est évident et inéluctable que l’usage du cloud en entreprise va continuer à progresser à grande vitesse, entraîné d’un côté par la réduction des coûts et d’un autre côté par les usages des utilisateurs, attirés par la richesse fonctionnelle et la rapidité de mise en œuvre. Difficile dans ce contexte d’assurer un niveau satisfaisant de sécurité et de protection des informations pour une entreprise. Interdire l’usage du cloud y est impossible, contre-productif, voire même destructeur de valeur et de progrès pour les métiers de l’entreprise. Il faut donc s’adapter, bâtir des sécurités en fonction des pratiques. La sécurité des clouds est ainsi multiple. Elle se décline sur les différentes typologies d’usages, ceux qui sont connus mais aussi ceux qui sont inconnus (on parle alors de risque du shadow cloud).

Le problème chronique et central dans ce domaine est la rareté des spécialistes expérimentés en sécurité du cloud, déficit encore supérieur à celui des Analystes Data Security et des Ingénieurs Sécurité Réseaux.

Mener une démarche cohérente

Pour répondre aux risques du cloud, il faut tout d’abord connaître et avoir une visibilité des usages du cloud existants. Les RSSI commencent souvent par ce point. C’est un point-clé car très souvent les équipes métiers (marketing, finance, communication, R&D, etc.) ne savent pas si et dans quelle mesure (quelles informations, quels processus, etc.) les applications utilisent, exfiltrent, partagent, stockent, des données à l’extérieur. Les RSSI doivent le savoir pour ensuite former et informer les utilisateurs internes sur les dangers et mettre en place des mesures de protection et une couverture des risques. Il existe des outils et des démarches d’analyse, d’audit et de cartographie des pratiques cloud en place. Quelques éditeurs spécialisés – on les compte sur les doigts d’une main – proposent ce type d’outils.

Les résultats des audits peuvent être ponctuels ou permanents, intégrés et interfacés dans le SIEM en place. L’objectif est d’avoir le même niveau de connaissance des usages du cloud par l’entreprise que de ce qui se passe au sein du data center interne.

Le deuxième point-clé de la prise en compte du cyber risque cloud est la mise en œuvre de contrôles renforcés au niveau du réseau à travers des firewalls de nouvelle génération, à travers des solutions de IAM (Identity and Access Management) communes aux solutions de sécurisation des informations sensibles dans le cloud (chiffrement notamment). La protection de l’information, donnée partageable en partie ou en totalité, est par définition un élément-clé ; c’est là-dessus que des solutions de type WAF (Web Application Firewall) apportent une réponse concertée.

Le troisième volet de la couverture des risques cloud porte sur la traçabilité des utilisateurs à privilèges, population étendue, interne (les admin), mais surtout extérieure avec les mainteneurs externes, les admin de centres d’appels externalisés, etc. Ce domaine, appelé PAM (Privileged Accounts Monitoring) est devenu en moins de deux ans un autre point stratégique pour le RSSI. C’est un domaine complexe sur le plan technologique mais aussi sur le plan organisationnel car il impacte les administrateurs et leurs habitudes concrètes de travail. La formation et la sensibilisation aux risques, solutions et processus de sécurisation des pratiques du cloud est un volet souvent négligé. Pourtant dans ce contexte de pénurie en experts de la sécurité cloud, il serait tellement logique de former des ingénieurs à ce domaine… La Cloud Security Alliance propose à cet effet des démarches à suivre.

Une réglementation toujours plus exigeante

Les RSSI ont un chemin glissant devant eux. Ils vont se trouver face à des utilisateurs finaux et des utilisateurs métiers virulents s’ils tentent de ralentir la progression de l’usage du cloud. Par ailleurs, ils vont avoir de plus en plus de contraintes et de lois à respecter, de régulateurs sectoriels ou légaux (GDPR, CNIL, ANSSI, PCI, ARCEP, ARJEL…), sans parler de la pression des directions générales des entreprises si des incidents de sécurité surviennent….

Le cloud en tant qu’hébergement externalisé revêt un aspect spécifique. Pour le cloud de l’hébergement et des data centers, la deuxième appellation comprenant l’externalisation de l’hébergement des applications, le sujet de la sécurité se déclinera très rapidement en termes de certification.

Après le Règlement général sur la protection des données (GDPR), adopté en avril 2016 et qui doit entrer en vigueur en 2018, l’ANSSI réfléchit à une nouvelle certification de sécurité des prestataires du cloud qui obligerait les OIV (Organisme d’Importance Vitale) à utiliser exclusivement des prestataires cloud certifiés. Comment les 250 entreprises les plus sensibles du pays (les OIV) peuvent-elles limiter l’export aveugle de leurs données informatiques –  ‘’le pétrole du XXIème’’ – vers des hébergeurs dont on maîtrise peu la probité, notamment quand il s’agit d’espionnage économique ? La réponse est naturelle : définir et appliquer une nouvelle certification. A l’instar de la qualification PASSI pour les acteurs de l’audit de sécurité, l’ANSSI est sur le point de lancer une certification sécurité à deux niveaux à destination des hébergeurs et opérateurs de cloud. La réflexion date de 2014 et va sûrement aboutir car ces deux dernières années, nombre de grandes entreprises nationales ont externalisé des services (notamment bureautiques) et des apps, s’appuyant largement sur le cloud, lui-même hébergé aux quatre coins du globe. Et assez souvent, à l’insu des utilisateurs métiers – d’où l’utilité des RSSI, mais cela est un autre sujet.

Fortement inspirés par la norme ISO 27001, deux niveaux de qualification seraient applicables aux différents acteurs français, européens mais aussi américains : un premier niveau Cloud Secure et un deuxième niveau Cloud Secure +.  Le 1er niveau couvrirait les bonnes pratiques de la SSI : contrôles d’accès physiques, authentification forte, chiffrement des données, hébergement des données en Europe. Le 2ème niveau imposerait une authentification multi-facteurs, une gestion et une conservation ciblées des logs, un chiffrement physique, un hébergement en France, une politique de gestion et la traçabilité des administrateurs, etc. Peu de mystère : les OIV seront probablement obligés de faire appel aux prestataires Cloud Secure +, qu’ils soient français ou non. D’ailleurs, stoppant dans l’œuf toute volonté protectionniste, l’ANSSI a appelé les grands acteurs américains du cloud à participer à la réflexion et au mouvement. Et très récemment, certains majeurs ont annoncé des data centers cloud en France ! Comme quoi…

En complément, une vingtaine de prestataires du cloud menés par OVH ont bâti une charte de bonne conduite, présentée fin septembre à Bruxelles. Associée à un label de certification délivré par un organisme indépendant, cette charte engage ses signataires à traiter, entre autres, les données de leurs clients en Europe en indiquant notamment la localisation géographique des data centers utilisés. L’objectif à terme est que cette charte serve de base juridique pour le législateur, car le G29 des CNIL européennes est censé lui aussi réglementer.

Avec autant d’enjeux, de contraintes et de composantes à respecter, les RSSI risquent de se perdre dans les nuages ! Mieux vaut qu’ils soient bien accompagnés.

 

_________
Théodore-Michel Vrangos est cofondateur et président d’I-TRACING