« Clusif CSV ».
Voilà ce qu’il fallait taper dans le moteur de recherche Bing en début d’année 2019 pour accéder à une liste de noms de quelques 2200 experts dans le domaine de la sécurité informatique (et pas des moindres). Une fuite de données ordinaire en somme. Le cocasse de ce fait divers réside dans le fait que le CLUSIF, association loi 1901, est le Club de la Sécurité de l’Information Français. Son objectif est de regrouper des professionnels (offreurs et utilisateurs) du secteur afin d’échanger idées et retours d’expériences. Ne doutons pas que le sujet de leur prochaine réunion soit tout trouvé. Néanmoins, nous aurions tort de nous gausser un peu trop vite de cette mésaventure. La sécurité à l’ère du digital ultra-connecté, ouvert et mobile n’est pas chose aisée.
Dans cette optique, le Cloud Public est-il aujourd’hui un facteur aggravant ou au contraire un allié vers une meilleure sécurisation de votre SI ?
Muscler sa sécurité avec le Cloud Public
Le réflexe des DSI aujourd’hui reste encore la plupart du temps de favoriserle on-premise pour les données à risques et de laisser au Cloud Public lesdonnées et applications sans enjeux majeurs en termes de sécurité.Une page se tourne néanmoins sous nos yeux. Selon une étude récente de McAfee auprès de professionnels de l’IT : en 2018, 63% des professionnels de l’IT jugentle Cloud Public aussi bien sécurisé que leur propre Datacenter.
Chez Timspirit, on pense que les 37% qui affirment l’inverse ont tort ! On vous explique pourquoi.
Parce que la Cybersécurité nécessite des investissements colossaux
Timspirit observe chez ses clients les tendances s’inverser : les infrastructures privées (Clouds Privés, datacenters en propre) sont aujourd’hui délaissées majoritairement au profit du Cloud Public dont les charmes et promesses convainquent de plus en plus largement.
Pour en arriver là, les grands acteurs du Cloud ont bien compris les gages qu’ils devaient donner au monde de l’entreprise pour pouvoir s’imposer. Les moyens mis en œuvre par ces acteurs sont sans aucune mesure avec ce que peux fournir des DSI, même ceux de grands Groupes.
Observons par exemple l’investissement de Google dans ce secteur :
- Après Heartbleed en 2014, Google met en place une équipe dédiée à la découverte de faille ZeroDay. Le Google Project Zero, non restreint aux services et produits de la firme, contribue à identifier des failles de sécurité majeures et à les faire corriger avant qu’elles ne soient rendues publics.
- Google a distribué pas moins de 3 millions de dollars en 2016 dans le cadre de son programme de Bug Bounty visant à rendre plus sûr ses services.
- Google est par ailleurs très présent dans la rédaction de documents de recherche, des participations à des conférences académiques, des contributions à des projets open-source ainsi que dans l’adoption de standards de sécurité (telle la généralisation du protocole HTTPS).
Au sein des grands CSP publics (Microsoft, Google, AWS), ce sont 600 à 800 spécialistes qui assurent la sécurité des Datacenters et infrastructures. Quelle autre entreprise, même dans le CAC 40, peut se vanter de mettre autant de moyens humains sur ce sujet ?
Ces moyens ne suffisent bien sûr pas à assurer la sécurité des infrastructures dans le Cloud Public mais ils offrent néanmoins une rampe de lancement dont il serait dommage de ne pas profiter.
Parce que le Cloud Public aide à clarifier le modèle de sécurité et offre nativement des certifications importantes
Le modèle standard adopté par une grande partie des Cloud Providers depuis de nombreuses années est un modèle de responsabilité partagé : les couches basses sont prises en charge par le Cloud Provider, avec les moyens vu précédemment, les couches hautes sont sous la responsabilité du client. Le curseur étant à positionner différemment selon le Service Model : plus le service est managé, plus la responsabilité du fournisseur est importante (voir ici et là).
Pertinent il y a quelques années, ce modèle a tendance à cacher aujourd’hui une autre réalité : les Cloud Service Provider (CSP) deviennent des partenaires et des prescripteurs de sécurité de plus en plus indispensables, y compris pour les couches hautes sous responsabilité finale du client.
Le portfolio de services centrés sur la sécurité d’un acteur tel AWS par exemple est aujourd’hui sans aucune mesure avec ce qui a pu être déployé on-premise en termes de complétude et de qualité : logs & access management, audit, configuration management, chiffrement, gestion des flux etc.Il en va de même en termes de certifications diverses et variées (nationales, par secteur d’activité).
Timspirit a pu observer des Responsables de la Sécurité des Systèmes d’Informations (RSSI ou CISO en anglais) de grands Groupes utiliser auprès des COMEX ces services spécifiques comme un véritable atout majeur d’adoption du Cloud Public.
Parce que le cloud public facilite la sécurité « as a code » ou « by design »
Une nouvelle approche plus opérationnelle de la sécurité naît désormais sur les fondations de ces services de sécurité managés. En lieu et place de « Security Policies » déclinés au format PDF auxquels étaient tenus de répondre l’ensemble des personnes sur le terrain et sur lesquels les moyens de contrôles étaient faibles et ponctuels, il est désormais possible d’opposer une sécurité proactive et continue : quelques lignes de code dans Lambda permettent de mesurer en quasi temps réel l’état de compliance de votre SI en le confrontant à des règles simples édictés sous forme de code, et non plus de fichiers Excel. Après l’Infra-as-Code, bienvenue dans le monde du Security-As-Code !
Nous voyons chez Timspirit des clients s’embarquer dans ce nouveau paradigme, dans un premier temps dans une approche Audit, ou les non compliances détectées sont remontées (typiquement au SOC), et dans un second temps dans une approche de remédiation automatique sur les contrôles de sécurité les plus critiques.
Préparez-vous à embaucher un développeur comme RSSI !
Parce qu’on peut avoir une politique mature et différenciée
Une part importante des applications et des données sont généralement éligibles au Cloud public avec les précautions « standard ». Même pour le reste des données critiques, le Cloud est loin d’être exclu.
Il est tout à fait possible de sécuriser les données sensibles dans le Cloud Public en gardant in fine la maîtrise en interne et en écartant de facto toute possibilité au provider d’exploiter les données hébergées dans ses services. AWS propose par exemple des boitiers Gemalto SafeNet dans le cadre de son offre CloudHSM qui permet de gérer les clefs de chiffrement sans que jamais AWS ne puisse y accéder, laissant les données chiffrées même en cas de pertes. Vous pouvez également utiliser vos propres clefs (Bring Your Own Key), générées on-premise, pour chiffrer vos données dans le Cloud.
Parce qu’on peut dialoguer et construire avec des prestataires qui mûrissent
L’épouvantail du « Cloud Act » (qui impose aux Cloud providers américains, les 3 leaders AWS, Azure et Google, de fournir aux autorités les données de leurs clients dans le cadre d’enquêtes criminelles) fait toujours peur. Les fournisseurs Cloud sont conscients du sujet et s’emploient à trouver des solutions, à être transparents avec leurs clients et à les aider.
Côté fournisseur, Microsoft, par exemple, est engagé depuis 2015 dans une procédure judiciaire aux Etats-Unis. La cause ? Ne pas avoir à fournir au FBI les emails d’un citoyen non-américain hébergés sur le sol irlandais.De même, pour isoler les données, Microsoft a choisi Deutsche Telekom comme tiers de confiance pour sa région Allemande d’Azure.
Si les gages de bonnes volontés sont de plus en plus nombreux, les fournisseurs resteront néanmoins dans le cadre légal qui leur est fixé et se plieront en dernier recours aux injonctions judiciaires.
Pour autant, il est désormais possible de sous-traiter une partie de la sécurité opérationnelle du SI à des partenaires de confiance mieux armés et mieux positionnés sur le sujet – et surtout d’avoir une discussion lucide, parfois musclée mais mature, avec eux.
Parce que la Cybersécurité est amenée à se complexifier encore
L’effacement continue et irrémédiable des frontières de l’IT telles que nous les connaissons aujourd’hui, avec le Edge Computing, la mobilité, l’IoT, l’arrivée prochaine de la 5G oblige les DSI à un aggiornamento de leur pratique de sécurité.
Face à cette complexité sans cesse croissante, il devient impossible de tout couvrir soi-même. Mieux vaut s’appuyer sur des fournisseurs industriels, et concentrer l’effort interne sur la gestion des risques majeurs, l’identification des grands scenarii d’attaque et leur palliatif, et la diffusion de la culture de sécurité.
Aider vos équipes à adopter les « gestes qui sauvent », cela, aucun acteur externe ne le fera pour vous !
Antoine a réalisé pendant plusieurs années des projets d’infrastructure sur des sujets de stockage, de virtualisation, de supervision ou d’ordonnancement. Technophile avéré, il s'est tourné vers le conseil en Cloud Computing et transformation des DSI. Il fait partie de notre équipe Cloud Transformation. Antoine est un passionné de lecture et de musique - il débarque régulièrement à la péniche avec sa guitare ! C'est également un féroce adversaire au babyfoot...