Multicloud : comment réduire la surface d'exposition aux risques de cybersécurité
En faisant appel à plusieurs clouds, une entreprise multiplie de facto les points d'accès potentiels à ses applications pour des pirates. Chiffrement, patching, micro-segmentation réseau… Quid des bonnes pratiques pour faire face à ce défi.
Après le passage au cloud hybride, le multicloud est l'étape suivante sur la voie de la "cloudification". En recourant à plusieurs fournisseurs de cloud, publics ou privés, une entreprise limite son risque de dépendance technologique. Elle peut sélectionner, provider par provider, les services les plus compétitifs ou les plus innovants à un moment donné. Selon une enquête de BPI Network, deux tiers des décideurs ont adopté une stratégie multicloud et leur organisation fait appel à au moins deux plateformes de cloud public. Les bénéfices reconnus du multicloud sont toutefois contrebalancés par les enjeux de sécurité. Pour 63% des professionnels IT interrogés par BPI, la sécurité des différents clouds mais aussi celles des réseaux, des applications et des flux de données représentent le principal défi à relever.
"En soi, le multicloud ne crée pas plus de vulnérabilités qu'il en existait déjà mais il rajoute de la complexité à la complexité existante", estime Christophe Bardy, solution strategist chez Nutanix. "Une entreprise qui reposait jusqu'à présent sur un existant en cybersécurisé avec ses contraintes propres doit désormais appréhender des écosystèmes différents. Il y a autant de configurations multicloud que d'entreprises." Si les prestataires de cloud public vantent leurs dispositifs de sécurité, certifications et normes qualité à l'appui, ces derniers diffèrent d'un nuage à l'autre. Ce qui engendre pour le client un investissement en temps et en formation afin de jongler entre plusieurs interfaces de gestion et d'administration permettant de paramétrer au mieux ces systèmes de sécurité propriétaires.
"Entre configurations inadaptées et compromission d'authentification, les risques sont davantage propres au client que du ressort des clouds"
"Entre les configurations inadaptées et la compromission des données d'authentification, les risques sont davantage propres à chaque client que du ressort des acteurs du cloud", renchérit Geoffrey Portier, regional channel sales manager chez Entrust. "Les providers ont bien marketé leurs offres. Il est si facile de souscrire des services cloud qu'on en oublie parfois les questions de sécurité."
Mylène Jarossay, chief information security officer de LVMH et présidente du Cesin (Club des experts de la sécurité de l'information et du numérique), abonde dans ce sens. "La maîtrise de la complexité et de l'évolutivité des clouds exigent une expertise qui n'est pas encore si courante sur le marché. Même s'il y a des similitudes entre les grands clouds publics, il faut absolument connaître les détails techniques de chacun et suivre en continu les évolutions de leurs différents modules", argue-t-elle. Entre providers et clients, elle perçoit "un sentiment de déséquilibre permanent ou d'absence de référentiel possible".
Bring your own key... and encryptions
La réversibilité, une des promesses du multicloud, pose, selon Geoffrey Portier, un autre enjeu de sécurité. "Chaque provider ayant ses propres mécanismes de protection de données, une entreprise qui souhaite transférer des données d'un provider à un autre va devoir au préalable déchiffrer ces données, assurer ce transfert en clair puis utiliser un autre chiffrement."
Prêchant pour sa paroisse, Geoffrey Portier conseille de mettre en place une solution de BYOK (Bring your own key) ou de BYOE (Bring your own encryptions) s'intégrant aux dispositifs de sécurité des fournisseurs de cloud public. Un cran plus loin, un HSM (Hardware security module) permettra à une entreprise de générer, stocker et protéger ses propres clefs cryptographiques. "Ce qui lui permettra de garder la main sur le process et de s'interfacer à un ou plusieurs prestataires sans recourir à leurs solutions de chiffrement", explique Geoffrey Portier.
"Une machine virtuelle nue est sécurisée, mais une VM avec un OS et une application ne l'est pas"
Du côté de Nutanix, Christophe Bardy insiste sur l'importance du patching. "Une machine virtuelle nue est sécurisée, mais une VM avec un OS et une application ne l'est pas. Il est nécessaire de patcher l'OS pour combler d'éventuelles failles. Or, beaucoup d'entreprises rechignent à faire ce travail. C'est consommateur de temps et facteur d'indisponibilité de la plateforme", reconnait l'expert. "En parallèle, il s'agit aussi d'uniformiser par le haut les niveaux de protection et de s'assurer que les services cloud sont conformes aux standards en vigueur comme PCI DSS pour le paiement en ligne."
Christophe Bardy n'oublie pas la dimension réseau impliquant des connexions dédiées comme Direct Connect d'AWS ou ExpressRoute d'Azure. "Que faire au-dessus de cette couche de transport ?", interroge-t-il. Il conseille d'opter pour une solution de micro-segmentation réseau. "Elle permet par exemple d'appliquer une politique homogène de sécurité à une application on-premise avec débordement dans le cloud public. Une entreprise victime d'un ransomware recréera ainsi facilement son environnement."
Des parades techniques et organisationnelles
Pour sa part, Mylène Jarossay rappelle l'importance du contrôle d'accès basé sur les rôles ou RBAC (Role-based access control). Un utilisateur lambda utilisera une VM existante mais ne pourra pas en créer une nouvelle ou en supprimer à la différence d'un administrateur ou d'un super administrateur. "Les délégations doivent respecter les principes du moindre privilège et être accordées sur le plus petit périmètre possible", recommande Mylène Jarossay. En termes de monitoring, elle conseille de souscrire à l'option d'analyse des logs des fournisseurs qui, bien que payante en termes de stockage et de requêtage, lui semble indispensable.
Pour Mylène Jarossay, les parades sont techniques mais aussi organisationnelles. Dans le domaine du SaaS, il s'agit de lutter contre le shadow IT, phénomène qui demeure, selon elle, en constante augmentation. Quant aux applications Saas légitimes, il convient de "d'en transférer la sécurisation à l'éditeur en veillant à ce qu'il ait bien intégré la sécurité 'by design' et qu'il opère sa plateforme de façon sécurisée."
De même, les experts des environnements informatiques historiques (ou legacy) doivent revoir leurs pratiques et intégrer les nouveaux critères de confidentialité, d'intégrité, de disponibilité et de traçabilité dans le monde du multicloud. Un chantier de longue haleine.