Les environnements hybrides et multicloud sont une réalité dans de nombreuses entreprises. Et ils constituent un casse-tête pour les CISO qui doivent veiller à la sécurité des données. En effet, les environnements hétérogènes posent de nombreux problèmes en matière de cybersécurité.
Texte: Andreas Heer, Image: Swisscom, Date: 1er mars 2024 5 Min.
Il y a des moments où même les informaticiens ont l’impression que le cloud est nébuleux. Peu transparent et inaccessible, comme un nuage au sens météorologique du terme. C’est toujours le cas lorsqu’ils veulent obtenir une vue d’ensemble des environnements cloud (hétérogènes).
Il va sans dire qu’un manque de transparence est peu souhaitable pour assurer la sécurité dans le cloud. En effet, les exigences en matière de sécurité des données ont augmenté de manière presque aussi exponentielle que les volumes de données, même dans le cadre de la numérisation en cours. Dans un environnement basé sur les données, celles-ci doivent être disponibles et fiables pour qu’une entreprise puisse fonctionner.
En raison de ces facteurs, la sécurité des données est devenue plus complexe à l’ère du cloud. «Avant, lorsque les données se trouvaient exclusivement dans le propre centre de calcul d’une entreprise, une subdivision en différentes zones de sécurité suffisait», se souvient Alex Obrist, Product Manager Managed Cloud and Security Services chez Swisscom. «Aujourd’hui, en revanche, les données sont classifiées et catégorisées et les rôles et identités sont vérifiés lors de l’accès. C’est le véritable changement de paradigme qui a eu lieu avec le cloud.»
Les difficultés que pose la sécurité des données dans les environnements hybrides et multicloud peuvent se résumer par les trois «C»: complexité, culture, conformité. Voici comme la situation se présente en détail:
Lisez cet article et l’article suivant sur les meilleures pratiques et les solutions existantes au format PDF.
La cybercriminalité représente un marché depuis longtemps. Le Ransomware as a Service, la répartition des différentes étapes de l’attaque entre des personnes spécialisées et même le centre d’appels des bandes de ransomware pour leurs «clients» en témoignent. Les attaques prennent de plus en plus d’ampleur et les nouvelles failles de sécurité sont exploitées en quelques jours. Les attaques ont souvent lieu là où une opportunité s’offre à vous – malheur à l’entreprise qui n’a pas protégé ses systèmes à temps.
Source: Zscaler Cloud (In)Security Report 2022
Les erreurs de paramétrage dans le cloud public simplifient le travail des cybercriminels, notamment lorsqu’ils accèdent à l’infrastructure d’une entreprise (initial access). Ici un système-test mal protégé, là un accès à un webmail sans authentification à deux facteurs, qui est ouvert grâce à des données d’accès dérobées par phishing: c’est à partir de ces ingrédients que les assaillants préparent leur cocktail empoisonné.
Les cybercriminels profitent du fait que les environnements hybrides et multicloud deviennent rapidement flous. Cela prend moins de temps de mettre en place un test VM que de le sécuriser et de le documenter. Les responsables de la sécurité se perdent alors dans le brouillard. Le manque de visibilité pose problème aux entreprises, comme l’explique Alex Obrist: «Avant, il existait un concept pour le stockage des données. Aujourd’hui, il existe d’innombrables outils permettant d’identifier des données dans le cloud. Trouver ce qui convient et l’utiliser correctement représente un véritable défi.» L’absence de vue d’ensemble complique la tâche pour les entreprises qui souhaitent mettre en œuvre des politiques uniformes et respecter les exigences de conformité.
La distribution des données et des applications n’est pas la seule source de confusion dans le paysage IT. À cela s’ajoutent les multiples approches et systèmes de sécurité des opérateurs de cloud. Cela nécessite des procédures différentes de la part des fournisseurs de services cloud afin d’atteindre le même objectif et de sécuriser l’environnement cloud conformément aux prescriptions. «Si une entreprise essaie d’appliquer des consignes de sécurité avec les différents outils, elle risque de perdre la vue d’ensemble», explique Alex Obrist pour décrire la situation.
Une telle palette d’outils hétérogène augmente la probabilité que les humains commettent des erreurs. Surtout en l’absence de spécialistes connaissant les différents opérateurs de cloud. Et les erreurs de configuration sont l’un des plus grands risques de sécurité dans les environnements hybrides et multicloud. Selon une étude de Zscaler de 2022, les environnements cloud de 98 % des personnes interrogées présentaient des lacunes importantes en raison d’erreurs de paramétrage.
Toutefois, les pertes de données inopportunes et la publication accidentelle de documents commerciaux confidentiels constituent également un risque dans les environnements cloud, que cela soit intentionnel ou non.
La «conservation des données en Suisse» est un sujet qui rajoute une couche de complexité. Est-il garanti que les outils de sécurité utilisés sont réellement exploités en Suisse et que, par exemple, le service SMS destiné aux clients ne fait pas de détour par un autre pays? Obtenir une vue d’ensemble des offres des prestataires constitue un véritable défi – et une tâche fastidieuse.
Le moment nébuleux évoqué au début se produit souvent lorsqu’il faut prouver que les directives de conformité sont respectées. Sans visibilité, ni vue d’ensemble de tout l’environnement informatique, un monitoring complet n’est tout simplement pas réalisable. Il s’agit toutefois d’un prérequis pour respecter la data governance, les réglementations et les prescriptions légales. «Les entreprises ont besoin d’un inventaire de données pour pouvoir protéger ces actifs. Pour cela, il faut de la visibilité», constate Alex Obrist. «Pour une entreprise dont l’exploitation d’environnements cloud ne fait pas partie de ses compétences clés, il est difficile de garder une vue d’ensemble.»
Les certifications de sécurité telles que la norme ISO 27001 requièrent les mêmes conditions. Elles s’appuient sur des processus de conformité et des processus standardisés; elles présupposent l’utilisation des instruments de contrôle correspondants. Retrouver une bonne visibilité sur l’ensemble de l’environnement devrait donc être l’objectif principal d’une stratégie de sécurité des données.
Les environnements hybrides et multicloud hétérogènes exigent de nouvelles approches et de nouveaux outils pour garantir et vérifier la sécurité des données:
«Il est important que les entreprises puissent décider de la manière dont elles veulent protéger ces données, où qu’elles se trouvent», résume Alex Obrist. Les nuages peuvent alors se dissiper et dégager la vue sur l’environnement cloud.
Lisez l’article suivant pour découvrir les bonnes pratiques et les solutions que les entreprises peuvent utiliser pour garantir la sécurité des données dans les environnements hybrides et multicloud. Téléchargez maintenant les deux articles.
Le lien pour le téléchargement vous sera envoyé par e-mail par la suite.
Vous trouverez ici nos règles de protection des données, y compris notre politique de confidentialité en ligne, ainsi que les possibilités de révocation du traitement des données ou de désabonnement des newsletters: Règles de protection des données (ouvre une nouvelle fenêtre)