À quelles difficultés les CISO sont-ils confrontés dans le cloud en matière de sécurité?
Les environnements hybrides et multicloud sont une réalité dans de nombreuses entreprises. Et ils constituent un casse-tête pour les CISO qui doivent veiller à la sécurité des données. En effet, les environnements hétérogènes posent de nombreux problèmes en matière de cybersécurité.
Texte: Andreas Heer, Image: Swisscom, Date: 1er mars 2024 5 Min.
Il y a des moments où même les informaticiens ont l’impression que le cloud est nébuleux. Peu transparent et inaccessible, comme un nuage au sens météorologique du terme. C’est toujours le cas lorsqu’ils veulent obtenir une vue d’ensemble des environnements cloud (hétérogènes).
Il va sans dire qu’un manque de transparence est peu souhaitable pour assurer la sécurité dans le cloud. En effet, les exigences en matière de sécurité des données ont augmenté de manière presque aussi exponentielle que les volumes de données, même dans le cadre de la numérisation en cours. Dans un environnement basé sur les données, celles-ci doivent être disponibles et fiables pour qu’une entreprise puisse fonctionner.
En raison de ces facteurs, la sécurité des données est devenue plus complexe à l’ère du cloud. «Avant, lorsque les données se trouvaient exclusivement dans le propre centre de calcul d’une entreprise, une subdivision en différentes zones de sécurité suffisait», se souvient Alex Obrist, Product Manager Managed Cloud and Security Services chez Swisscom. «Aujourd’hui, en revanche, les données sont classifiées et catégorisées et les rôles et identités sont vérifiés lors de l’accès. C’est le véritable changement de paradigme qui a eu lieu avec le cloud.»
Les difficultés que pose la sécurité des données dans les environnements hybrides et multicloud peuvent se résumer par les trois «C»: complexité, culture, conformité. Voici comme la situation se présente en détail:
- Complexité: dans les environnements hybrides et multicloud, les données sont traitées et stockées à différents endroits, sur site ainsi que dans le cloud privé et public. Cela augmente la surface d’attaque, qui fait l’objet de cyberattaques de plus en plus sophistiquées et fréquentes.
- Culture: les environnements complexes augmentent le risque d’erreurs de paramétrage. Résultat: on a par exemple des buckets AWS ou des blobs Azure trop facilement accessibles depuis Internet. À cela s’ajoute le fait que, la plupart du temps, les collaborateurs(trices) n’enregistrent pas les données dans le cloud avec les mesures de protection nécessaires – de manière involontaire. Selon le Verizon Data Breach Investigations Report 2023, le facteur humain a joué un rôle dans trois quarts des cas.
- Conformité: D’une part, les exigences imposées aux entreprises ne cessent de croître en raison du durcissement des réglementations ou des lois, par exemple avec la nouvelle loi sur la protection des données (LPD) ou la directive SRI 2 de l’UE. D’autre part, la mise en conformité et le contrôle de celle-ci dans différents environnements sont complexes.
Lisez cet article et l’article suivant sur les meilleures pratiques et les solutions existantes au format PDF.
Des données plus compliquées à sécuriser en raison des environnements cloud complexes
La cybercriminalité représente un marché depuis longtemps. Le Ransomware as a Service, la répartition des différentes étapes de l’attaque entre des personnes spécialisées et même le centre d’appels des bandes de ransomware pour leurs «clients» en témoignent. Les attaques prennent de plus en plus d’ampleur et les nouvelles failles de sécurité sont exploitées en quelques jours. Les attaques ont souvent lieu là où une opportunité s’offre à vous – malheur à l’entreprise qui n’a pas protégé ses systèmes à temps.
Pour 98 % des personnes interrogées, les environnements cloud présentaient des lacunes importantes en raison d’erreurs de paramétrage.
Source: Zscaler Cloud (In)Security Report 2022
Les erreurs de paramétrage dans le cloud public simplifient le travail des cybercriminels, notamment lorsqu’ils accèdent à l’infrastructure d’une entreprise (initial access). Ici un système-test mal protégé, là un accès à un webmail sans authentification à deux facteurs, qui est ouvert grâce à des données d’accès dérobées par phishing: c’est à partir de ces ingrédients que les assaillants préparent leur cocktail empoisonné.
Les cybercriminels profitent du fait que les environnements hybrides et multicloud deviennent rapidement flous. Cela prend moins de temps de mettre en place un test VM que de le sécuriser et de le documenter. Les responsables de la sécurité se perdent alors dans le brouillard. Le manque de visibilité pose problème aux entreprises, comme l’explique Alex Obrist: «Avant, il existait un concept pour le stockage des données. Aujourd’hui, il existe d’innombrables outils permettant d’identifier des données dans le cloud. Trouver ce qui convient et l’utiliser correctement représente un véritable défi.» L’absence de vue d’ensemble complique la tâche pour les entreprises qui souhaitent mettre en œuvre des politiques uniformes et respecter les exigences de conformité.
Le rôle-clé de l’être humain pour créer une culture de la sécurité
La distribution des données et des applications n’est pas la seule source de confusion dans le paysage IT. À cela s’ajoutent les multiples approches et systèmes de sécurité des opérateurs de cloud. Cela nécessite des procédures différentes de la part des fournisseurs de services cloud afin d’atteindre le même objectif et de sécuriser l’environnement cloud conformément aux prescriptions. «Si une entreprise essaie d’appliquer des consignes de sécurité avec les différents outils, elle risque de perdre la vue d’ensemble», explique Alex Obrist pour décrire la situation.
Une telle palette d’outils hétérogène augmente la probabilité que les humains commettent des erreurs. Surtout en l’absence de spécialistes connaissant les différents opérateurs de cloud. Et les erreurs de configuration sont l’un des plus grands risques de sécurité dans les environnements hybrides et multicloud. Selon une étude de Zscaler de 2022, les environnements cloud de 98 % des personnes interrogées présentaient des lacunes importantes en raison d’erreurs de paramétrage.
Toutefois, les pertes de données inopportunes et la publication accidentelle de documents commerciaux confidentiels constituent également un risque dans les environnements cloud, que cela soit intentionnel ou non.
La «conservation des données en Suisse» est un sujet qui rajoute une couche de complexité. Est-il garanti que les outils de sécurité utilisés sont réellement exploités en Suisse et que, par exemple, le service SMS destiné aux clients ne fait pas de détour par un autre pays? Obtenir une vue d’ensemble des offres des prestataires constitue un véritable défi – et une tâche fastidieuse.
L’avion de la conformité piloté à l’aveugle à travers les nuages
Le moment nébuleux évoqué au début se produit souvent lorsqu’il faut prouver que les directives de conformité sont respectées. Sans visibilité, ni vue d’ensemble de tout l’environnement informatique, un monitoring complet n’est tout simplement pas réalisable. Il s’agit toutefois d’un prérequis pour respecter la data governance, les réglementations et les prescriptions légales. «Les entreprises ont besoin d’un inventaire de données pour pouvoir protéger ces actifs. Pour cela, il faut de la visibilité», constate Alex Obrist. «Pour une entreprise dont l’exploitation d’environnements cloud ne fait pas partie de ses compétences clés, il est difficile de garder une vue d’ensemble.»
Les certifications de sécurité telles que la norme ISO 27001 requièrent les mêmes conditions. Elles s’appuient sur des processus de conformité et des processus standardisés; elles présupposent l’utilisation des instruments de contrôle correspondants. Retrouver une bonne visibilité sur l’ensemble de l’environnement devrait donc être l’objectif principal d’une stratégie de sécurité des données.
Une sécurité des données efficace dans les environnements hybrides et multicloud
Les environnements hybrides et multicloud hétérogènes exigent de nouvelles approches et de nouveaux outils pour garantir et vérifier la sécurité des données:
- une approche Security and Compliance by Design pour détecter les erreurs de configuration avant même la mise en service;
- au centre (au sens propre du terme) du processus, un monitoring qui vérifie l’état de l’ensemble de l’environnement hybride ou multicloud. Cela permet de démontrer que la mise en œuvre est correcte;
- afin de mettre en œuvre des lignes de sécurité uniformes, celles-ci doivent pouvoir être mises en place et gérées de manière centralisée;
- comme les opérateurs de cloud misent sur différents outils et approches, les professionnels de l’informatique ont eux aussi besoin d’être davantage sensibilisés à la sécurité. La formation de sensibilisation à la sécurité devrait donc être étendue aux spécialistes.
- En l’absence de spécialistes ou si l’exploitation d’un service interne complet de cybersécurité n’est pas judicieuse pour des raisons économiques, des tâches peuvent être confiées à des prestataires de services de sécurité gérés (MSSP).
«Il est important que les entreprises puissent décider de la manière dont elles veulent protéger ces données, où qu’elles se trouvent», résume Alex Obrist. Les nuages peuvent alors se dissiper et dégager la vue sur l’environnement cloud.
Lisez l’article suivant pour découvrir les bonnes pratiques et les solutions que les entreprises peuvent utiliser pour garantir la sécurité des données dans les environnements hybrides et multicloud. Téléchargez maintenant les deux articles.
Téléchargez la série d'articles « Sécurité des données »
Le lien pour le téléchargement vous sera envoyé par e-mail par la suite.
Vous trouverez ici nos règles de protection des données, y compris notre politique de confidentialité en ligne, ainsi que les possibilités de révocation du traitement des données ou de désabonnement des newsletters: Règles de protection des données (ouvre une nouvelle fenêtre)