En effet, l’externalisation des applications et des données dans des plateformes Cloud introduit de nouvelles problématiques de sécurité. L’ouverture de ces plateformes sur Internet augmente la surface d’attaque et impose une gestion de la sécurité renforcée et plus rigoureuse. Les nouveaux modèles d’architecture distribuée utilisant des services managés amènent à revoir les modèles de sécurité existants :
- L’authentification et le contrôle d’accès doivent être renforcés. Une authentification simple par identifiant / mot de passe devient insuffisante.
- Les API d’accès aux applications doivent être fortement sécurisées.
- Les règles et bonnes pratiques de sécurité réseau doivent être déclinées en utilisant les services de la plateforme (Software Defined Network).
- La traçabilité et l’auditabilité des accès et des actions d’administration deviennent critiques.
Par ailleurs, les exigences règlementaires concernant notamment la localisation et la protection des données personnelles et sensibles doivent être satisfaites. Le stockage des données à l’extérieur de l’entreprise inquiète et nécessite de mettre en place des mécanismes de protection et de contrôle renforcés :
- Les données stockées et transmises doivent être chiffrées.
- L’intégrité des données doit être garantie.
- Les accès aux données doivent être tracés et auditables.
- Les services managés utilisés doivent être certifiés afin de garantir la protection des données accédées par le biais de ces services (Certification SOC2 par exemple).
- Les données doivent être sauvegardées et archivées en respectant les exigences réglementaires.
- La disponibilité des données doit être assurée. Les systèmes mis en place doivent garantir que les SLA définis seront respectés.
- Le patching des systèmes et des middlewares doit être automatisé.
- Le processus de destruction des supports de stockage (Disques usagés) contenant les données doit assurer la confidentialité des données stockées sur ces supports.
Ce constat peut laisser penser qu’il est plus dangereux de placer ses applications et ses données dans le Cloud que de les héberger on-premise. C’est en effet l’état d’esprit de nombreux RSSI et décideurs qui regardent le cloud avec méfiance.
Il s’agit pourtant d’une idée fausse !
En effet, les grandes plateformes Cloud offrent aujourd’hui tous les services de sécurité permettant de construire simplement des architectures totalement sécurisées en utilisant des mécanismes de sécurité nativement intégrés avec tous les services de la plateforme.
Il est ainsi possible en quelques clic de chiffrer l’ensemble des dépôts de données (Disques, Bases de données, Stockages Objet), de sécuriser les clés de chiffrement dans des coffres forts de clé et de gérer leur cycle de vie, de centraliser toutes les logs d’accès, de mettre en place une fédération d’identité, de publier des rapports d’audit régulier sur les vulnérabilités constatées, de disposer à tout moment d’images système patchées, de bénéficier de systèmes de protection Anti DDOS (Distributed Deny Of Services), …
La mise en œuvre de tels mécanismes on-premise est souvent très couteux. De ce fait, ces mécanismes de sécurité ne sont souvent implémentés que partiellement laissant ainsi ouvert certaines failles pouvant être exploitées pour s’introduire dans les systèmes.
Le niveau de confiance dans les plateformes Cloud augmente généralement avec la maturité et les possibilités offertes sur le plan de la sécurité apparaissent lorsque les architectes et les équipes sécurité ont acquis une expertise suffisante dans l’usage de ces plateformes.
La courbe d’évolution présentée ci-dessous montre la différence de perception du Cloud lorsque la maturité évolue :