Vous aimeriez vous diriger vers le cloud, mais voilà : vous avez des questions. Elles concernent les responsabilités de chaque acteur ou le choix d’un cloud privé ou public par exemple. Peut-être voulez-vous avoir la garantie que vos données seront protégées, que votre système sera sécurisé. Vous aimeriez certainement connaître les bonnes pratiques à respecter en matière de sécurité cloud. Pour vous répondre, nous avons sollicité l’un de nos experts cloud.
Cloud et sécurité : quelles garanties pour les données ?
« Au même titre que du cloud privé, le cloud public est régi par des normalisations. La conformité doit être respectée, tant sur un cloud privé que sur un cloud public. Il n’y a pas de compromis à faire sur la sécurité ! Il suffit de vérifier en amont que l’hébergeur choisi applique les normalisations de conformité en adéquation avec ce que l’on souhaite mettre dans le cloud.
Du côté du fournisseur de cloud, celui-ci doit vous donner des outils qui permettront de vérifier la sécurité de vos données. Par exemple, Microsoft met à disposition de ses utilisateurs de nombreux outils (on-premises et cloud). Je pense à Azure Information Protection, qui permet de protéger vos informations sensibles . Il y a Azure Sentinelle, qui est un SIEM. Le SIEM est un agrégateur de logs et de données qui permet de visualiser et remonter des informations de sécurité sur son infrastructure très rapidement. Les utilisateurs Microsoft disposent également d’Azure Security Center. C’est en quelque sorte l’outil garant de la bonne sécurité dans Azure. Il sert à contrôler et à piloter l’ensemble des briques de sécurité. Grâce à cette solution, il est aisé de vérifier quotidiennement que tout va bien. » répond l’expert cloud.
Cloud et sécurité : comment faire sans équipe interne experte sur le sujet ?
L’expert cloud Empower se veut rassurant : « Les outils d’assessment de Microsoft sont à la portée d’un non-expert. Ils permettent de manière très claire de remonter l’information. Ensuite, ils expliquent, étape par étape, ce qu’il faut mettre en place pour pouvoir atteindre le but souhaité.
Néanmoins, il est toujours préférable d’avoir un expert sécurité, soit chez soi, soit via un prestataire de services qui connaît les bonnes pratiques de la sécurité dans le cloud. »
Quelles sont les responsabilités de l’organisation en cas de défaillance ?
« Il est de la responsabilité de l’organisation de sécuriser ses données, du moins pour le IaaS et le PaaS. Pour cela, le cloud provider met à disposition des outils dédiés à la résilience des données. En clair, votre application ou les informations de votre application peuvent être géoredondées. Par exemple, on peut répliquer les données d’un datacenter sur un autre. La résilience peut également passer aussi par un plan de reprise d’activité ou PRA. Même chose en cas de réplication d’un système d’information sur un datacenter distant. Une simple sauvegarde de la donnée est aussi considérée comme de la résilience. Bien sûr, plus on monte dans la résilience, plus les coûts sont chers. Libre à l’organisation de choisir comment organiser la résilience de ses données. Dans le cas du SaaS, les responsabilités sont partagées en cas de défaillance, car on est en mode locatif à 100%. »
Et quelles sont les responsabilités d’un fournisseur de cloud ?
« Ses responsabilités ne se trouvent pas au niveau des données. En effet, cette responsabilité revient à 100% à l’organisation. Le fournisseur de cloud doit proposer des outils de normalisation vous permettant de gérer vos données plus simplement. Il vous donne la possibilité de vérifier la sécurité en adéquation avec les règles et les normalisations imposées. Ici, on parle de normalisation ISO 27001, d’hébergement HDS pour la France par exemple. C’est notamment le cas de Microsoft, qui est hébergeur de santé.
En gros, sa responsabilité est de garantir qu’il met à la disposition de l’organisation tous les outils qui vont lui permettre de vérifier que sa donnée n’est pas exposée. Si cela arrive accidentellement, le fournisseur de cloud ne pourra être responsable.
Cependant, il met tout en place – on parle d’encryption (de chiffrage), de protection, de résilience des données – afin que cette donnée ne soit jamais exposée ou ne soit pas lisible en cas d’attaque.
Imaginons qu’un datacenter soit piraté. À ma connaissance, ce n’est jamais arrivé sur un datacenter Microsoft. Mais si cela arrivait, grâce à ce qui aura été mis en place, je pense que la lecture des données serait clairement impossible. »
Cloud et sécurité : quelles sont les bonnes pratiques ?
L’expert cloud Azure en énumère plusieurs : « Exposer le moins de données possible, les exposer de la meilleure des manières possibles. Utiliser les bons outils pour protéger ses données. Penser au firewall, aux SIEM pour auditer et vérifier la sécurité. Donner le moins d’accès possible aux données. Mettre en place de l’authentification forte pour gérer les accréditations et les droits. Je crois qu’à l’heure actuelle, moins de 10% des comptes administrateur dans le cloud public sont protégés par de l’authentification forte. Alors qu’en 3 clics, on peut mettre ça en place ! »
Il conclut : « C’est de la responsabilité de chacun de savoir à quel endroit on va mettre son curseur de sécurité. Ça va dépendre aussi des moyens mis en place, financiers et humains. On parle beaucoup de la sécurité dans le cloud public, mais la sécurité, c’est l’affaire de tous. Chacun à son rôle à jouer au sein de son organisation. Les DSI doivent mettre en place des normalisations et des bonnes pratiques. Mais chaque personne doit être aussi responsable à son échelle de la sécurité des données et du système d’information. »
Vous avez d’autres questions ? Demandez-nous ! Toute l’équipe est à votre disposition.
