Repousser les cyberattaques avant qu’elles ne menacent l’infrastructure des clients: telle est la tâche la plus évidente d’un fournisseur de cloud au niveau des mesures de sécurité. Toutefois, la sécurité du cloud va bien plus loin et elle soutient les entreprises clientes dans des domaines bien moins évidents.
Si votre entreprise n’a pas été touchée par des rançongiciels tels que Petya ou WannaCry, il peut y avoir trois raisons: vous n’avez pas été attaqué, vous avez appliqué des mesures de sécurité adéquates ou vous étiez déjà protégé par votre fournisseur de cloud. Tandis que les petites entreprises ne sont peut-être même pas la cible d’une attaque par des logiciels malveillants, la situation est tout autre chez un grand fournisseur d’accès, comme le montre l’exemple de Petya. «Nous avons détecté cette attaque suffisamment tôt et nous avons pu réagir avant que le rançongiciel n’arrive chez nos clients», se souvient Tobias Langbein, architecte de la sécurité informatique chez Swisscom. Concrètement, il a été possible de bloquer les adresses à la source des attaques et d’actualiser à temps les signatures des virus. Les attaques sur le cloud et les systèmes des clients ont ainsi été bloquées.
Une protection contre les cyberattaques
Cette détection précoce a aussi été le fruit d’une coopération étroite et de l’installation immédiate des mises à jour de sécurité des fabricants de logiciel. C’est justement dans les cas de cyberattaques qu’il est crucial de réagir rapidement, affirme Tobias Langbein: «En réagissant de façon préventive et en prenant des mesures de sécurité, nous pouvons éviter des dommages réels qui pourraient résulter de la défaillance de systèmes critiques pour l’entreprise.»
Cela n’est pas seulement vrai pour les menaces dues aux rançongiciels et autres logiciels malveillants. Les attaques DDoS au cours desquelles les systèmes sont submergés par les requêtes et donc paralysés peuvent être bloquées à temps si elles sont détectées à un stade précoce. L’expertise et le dispositif technique en matière de sécurité d’un fournisseur de cloud profitent donc directement aux clients dont les applications et les systèmes fonctionnent sur le cloud. Les utilisateurs en tirent des bénéfices sans même devoir développer l’infrastructure correspondante et les compétences nécessaires.
La sécurité du cloud va au-delà de la protection contre les logiciels malveillants
La protection contre les cyberattaques ne représente qu’une pièce du puzzle dans l’ensemble du système de sécurité dans le cloud. D’une part, elle inclut les mesures techniques de protection contre les attaques et celles servant à assurer la sécurité des données et leur disponibilité. D’autre part, le contrôle des accès à l’entrée du centre de calcul en fait aussi partie. Ils sont nécessaires, même si les attaques se produisent le plus souvent sur Internet, comme l’explique Tobias Langbein: «Les mesures de sécurité doivent couvrir tous les aspects. Sinon, nous ne pouvons pas garantir la sécurité de façon crédible.»
En effet, il ne suffit pas de prendre simplement des mesures de protection. Leur effet doit pouvoir être prouvé. Cette preuve de l’efficacité des mesures prises est appelée conformité. La base en est constituée par les normes ISO et les exigences réglementaires, dont le respect est vérifié par des organes de contrôle externes dans le cadre d’audits. «Nous assurons contractuellement à nos clients le respect des normes de sécurité», déclare Tobias Langbein. «Nous pouvons aussi prouver la conformité à travers les audits.»
La conformité profite également aux entreprises qui n’ont pas à faire face à des exigences de sécurité aussi élevées que les banques pour leurs propres données. Cela est particulièrement vrai pour les PME qui sont elles-mêmes des fournisseurs et prestataires de services pour les grandes entreprises: «Ces PME sont souvent confrontées à des exigences de conformité qu’elles ont du mal à prouver elles-mêmes», explique Tobias Langbein. «En tant que fournisseur de cloud, nous pouvons apporter cette preuve pour nos clients.»
La sécurité des données comme atout principal
Afin de pouvoir répondre aux exigences les plus strictes, les aspects de sécurité doivent être pris en compte dès le stade de la planification du cloud. «Aspect déterminant: les infrastructures de la clientèle doivent être séparées les unes des autres de façon à rendre impossible tout accès intempestif», ajoute Tobias Langbein. Dans le cadre de son travail, il est notamment chargé de conseiller les architectes du cloud lors de la planification afin de garantir cette isolation. L’implémentation se fait à travers l’équipement et des logiciels qui par exemple séparent les uns des autres les espaces de stockage et les serveurs virtuels de chaque client du cloud.
Mais que se passe-t-il lorsqu’un bug dans un logiciel ou dans l’équipement occasionne une faille dans la sécurité? «Dans de tels cas, nous en sommes informés par le fabricant et nous pouvons y remédier à temps», répond Tobias Langbein. L’efficacité des mesures est régulièrement contrôlée au moyen de tests de pénétration. Dans ce cadre, un spécialiste de la sécurité informatique doit essayer de pénétrer dans les systèmes, bien entendu à la suite d’une demande officielle. De cette façon, il est possible de reconnaître les points faibles et d’y remédier. Mais ce n’est pas tout: «Lors de ces tests, nous avons déjà découvert des failles que le fabricant ne connaissait même pas», ajoute Tobias Langbein en souriant.
L’isolation des systèmes permet aussi de s’assurer que seul le client peut accéder à ses données. En association avec des mesures de protection des données, par exemple dans le cas de pannes matérielles, il est ainsi possible de garantir la sécurité des données. «Pour nous en tant que fournisseur de cloud, il s’agit là de notre atout le plus précieux pour nous assurer de la confiance de nos clients», affirme Tobias Langbein.
Les mesures de protection au centre de calcul
Archivage et sauvegarde de données
Avec Swisscom, vous stockez vos données en toute sécurité dans le cloud dans un centre de calcul suisse. Et la sauvegarde automatique dans le cloud protège votre entreprise contre la perte de données.
La sécurité et la disponibilité d’un centre de calcul dans son ensemble sont indiquées par ce qu’on appelle des tier level. Ils prennent également en compte le contrôle des accès et la sécurité incendie. Pour faire fonctionner les applications essentielles à l’entreprise dans un cloud, le centre de calcul se doit d’être certifié tier level 3, ce qui correspond au deuxième niveau le plus élevé. Le niveau le plus élevé, le tier level 4, est un prérequis pour les données sensibles des clients dans le secteur bancaire, les assurances et le domaine de la santé. Par exemple, le centre de calcul Swisscom de Wankdorf possède cette certification.
De leur côté, les certificats ISO apportent la preuve de la protection technique de l’infrastructure et représentent donc des labels de qualité pour l’informatique. Ici, la norme la plus importante est la norme ISO 27001. Elle décrit les mécanismes et les processus de gestion de la sécurité.
De la «Swissness» pour les besoins locaux
Les certifications et les audits assurent la crédibilité des mesures de sécurité. Cette transparence est source de confiance. De même, il est évident que les entreprises s’attendent à ce que leur fournisseur de cloud se conforme aux normes de sécurité. Cependant, selon Tobias Langbein, les exigences dépassent l’application de simples mesures de sécurité: «Nos clients veulent que nous leur fournissions de la ‹Swissness›.» Cela signifie tout d’abord que les données doivent être sauvegardées en Suisse et que le for juridique et le lieu du contrat se trouvent en Suisse. En outre, certains clients exigent également qu’il ne soit possible d’accéder aux données qu’à partir de la Suisse.
Ces aspects en rapport avec la «Swissness» sont d’importants éléments distinctifs entre Swisscom et les fournisseurs mondiaux pour le cloud ou, comme Tobias Langbein le formule: «Nous proposons une offre locale de cloud pour les entreprises ayant des besoins locaux spécifiques.»
Les images montrent l’Operation Control Center de Swisscom, lieu de surveillance de l’infrastructure. Photos: Luca Zanier.