En matière de protection du cloud public, le fournisseur et l’entreprise utilisant ce dernier partagent les responsabilités. Le modèle Shared Responsibility en régit de façon détaillée l’étendue.
Texte: Christoph Widmer, Images: tnt-graphics, 28 mai 2019
Puissance de calcul sur simple pression d’un bouton. Des applications commerciales accessibles à tout moment. Des environnements de développement prédéfinis à la disposition des services informatiques: le cloud a fondamentalement changé la façon de se servir de l’informatique. Ce faisant, le sujet de la sécurité de l’information (sécurité informatique, protection de l’information et des données) est devenu plus complexe. La sécurité du cloud public, en particulier, conduit régulièrement à des malentendus et à de fausses hypothèses parmi les utilisateurs du cloud. Pour autant qu’ils veulent s’orienter vers les modèles classiques d’externalisation et être soulagés des charges en matière de sécurité, celle du cloud ne peut pas être entièrement déléguée à son fournisseur. Les utilisateurs du cloud sont conjointement responsables de sa sécurité s’ils veulent vraiment obtenir, de manière sécurisée, des applications, des environnements de développement ou des instances de serveur virtualisées à partir du cloud public.
«Pour simplifier: le fournisseur de services cloud est responsable de la sécurité de l’infrastructure cloud, tandis que le consommateur est responsable de la sécurité dans le cloud».
Klaus Gribi, Senior Security Consultant de Swisscom
Le modèle Shared Responsibility réglemente les domaines de responsabilité des utilisateurs et des fournisseurs du cloud. Formulé à l’origine par Amazon Web Services et Microsoft Azure, ce modèle de responsabilité en matière de sécurité et de conformité est désormais utilisé par d’autres fournisseurs de cloud. «Pour l’essentiel, le modèle Shared Responsibility distingue la sécurité du cloud public lui-même (Security of the Cloud) et la sécurité DANS le cloud public (Security in the Cloud)», précise Klaus Gribi, Senior Security Consultant pour Swisscom. «Pour simplifier: le fournisseur de services cloud est responsable de la sécurité de l’infrastructure Cloud, tandis que le consommateur est responsable de la sécurité dans le cloud».
Le modèle de Shared Responsibility de Microsoft Azure.
Les responsabilités varient en fonction du modèle de service cloud utilisé par le consommateur:
Bien que le modèle Shared Responsibility soit souvent une règle empirique, les domaines techniques dont les utilisateurs et les fournisseurs du cloud sont responsables peuvent varier d’un cas à l’autre. «Certes, le client d’un service IaaS est responsable de la sécurité à partir du système d’exploitation; cependant, il arrive que des fournisseurs installent des composants dans le système d’exploitation, afin de superviser les performances des instances virtualisées par exemple», explique Klaus Gribi. «Même dans le modèle Shared Responsibility, il est des frontières spécifiques aux fournisseurs qui peuvent être franchies de façon dynamique.»
En outre, l’utilisateur du cloud peut externaliser certains domaines d’activité: Si, par exemple, il opte pour un OS géré d’une instance IaaS, il n’est plus responsable du système d’exploitation, mais c’est le fournisseur du cloud ou un fournisseur tiers qui le devient. Toutefois, dans certaines circonstances, la gestion des pare-feu peut rester la tâche de l’utilisateur de cloud - la Shared Responsibility devient de plus en plus complexe. Les Service Level Agreements (SLA) du fournisseur de cloud réglementent exactement, pour chaque cas, la façon dont les responsabilités du fournisseur et du consommateur sont réparties. C’est pourquoi il est recommandé que les utilisateurs de cloud les lisent attentivement. Ce n’est qu’ainsi qu’ils seront en mesure de prendre eux-mêmes les mesures de sécurité appropriées - et de protéger au mieux les services cloud qu’ils utilisent.
Outre ces aspects techniques, la Shared Responsibility comprend également d’autres facteurs. A titre d’exemple, les utilisateurs de cloud ont besoin de savoir comment leur Chief Information Security Officer peut travailler avec l’organisation de sécurité du fournisseur de cloud:
«La question de la sécurité du cloud ne s’arrête donc pas au niveau de la sécurité technique, mais touche également les utilisateurs du cloud sur un plan administratif et organisationnel», note Klaus Gribi. «Ces facteurs sont déjà essentiels dans l’évaluation et le choix d’un fournisseur de cloud approprié.»
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème