De nombreux chefs d’entreprise sont convaincus des atouts du cloud. Mais ils ont encore du mal à comprendre les subtilités de cet univers. C’est le cas en particulier pour la sécurité des données qui repose sur une répartition des responsabilités. Si des mesures ne sont pas prises en interne, le cloud peut devenir une faille de sécurité. D’où la nécessité de s’appuyer sur un modèle « Zero Trust » pour protéger toutes les applications et les données sensibles.
Sécurité du Cloud & Zero Trust
Les apparences ont la vie dure. C’est le cas de la sécurité du cloud. Certes, les datacenters des providers de cloud sont des bunkers. Mais ils ont un point faible : vous ! Les fournisseurs le précisent dans leur contrat : ils s’occupent de la sécurité de leur infrastructure, pas de vos données.
La protection des données que vous leur confiez et la gestion des accès est de votre responsabilité. En un mot, si vous hébergez des données critiques sur une instance SharePoint ou un drive quelconque et qu’elles sont accessibles à tout le monde (pas de chiffrement, pas de mot de passe…), c’est votre problème.
Pas celui du provider ! Il vous propose un certain nombre d’options (devant la négligence de leurs clients, certains providers ont aussi transformé des options en réglage par défaut…) sur la manière dont vous pouvez configurer et paramétrer ses outils de sécurité et ainsi renforcer la confidentialité de vos informations.
Les stratégies de sécurité traditionnelles, centrées sur le périmètre, sont dépassées. Elles ne permettent plus d’assurer une visibilité, un contrôle et une protection adéquats du trafic et des applications.
Et par définition, les options de sécurité d’un fournisseur de cloud ne sont pas adaptées aux spécificités de chacun de ses clients. Certains d’entre eux peuvent être soumis à des réglementations particulières ou avoir des clients qui leur imposent certains processus de sécurité.
Il est donc nécessaire de prendre différentes mesures permettant de disposer d’une approche « Zero Trust ». Avec une telle approche, vous appliquez le principe « ne jamais faire confiance, toujours vérifier » à toutes les entités (utilisateurs, dispositifs, applications…), indépendamment de ce qu’elles sont et de leur emplacement.
Ces principes peuvent être simples à mettre en œuvre dans un réseau d’entreprise, mais comment s’appliquent-ils au cloud ?
Les objectifs du Zéro Trust
Avant de commencer, il est important de définir les objectifs pour la mise en œuvre du « Zero Trust in the cloud », ainsi que les résultats commerciaux souhaités.
Identifiez vos applications et vos données en les classant (par exemple, confidentielles, sensibles, sans importance). Repérez ensuite leur localisation. Normalement, toutes les entreprises ayant entamé leur mise en conformité avec le RGPD ont déjà réalisé cette étape…
Cartographiez les flux, c’est-à-dire la façon dont vos applications fonctionnent réellement ;
Créez des frontières entre les utilisateurs et les applications et instaurez la microsegmentation. Cette pratique consiste à diviser les périmètres de sécurité en petites zones pour maintenir un accès séparé. Une personne ou un programme ayant accès à l’une de ces zones ne pourra accéder à aucune des autres zones sans autorisation distincte ;
Élaborez des politiques « Zero Trust » en fonction de qui doit avoir accès à quoi et appliquez des contrôles d’accès basés sur les principes du moindre privilège. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) rappelle notamment « qu’il est habituel de restreindre l’environnement d’exécution du composant aux ressources strictement nécessaires à ses besoins. Parallèlement, informez vos collaborateurs sur la mise en place de cette nouvelle politique ;
Surveillez et entretenez votre environnement “Zero Trust”.
Il convient d’inspecter et d’enregistrer en permanence tout le trafic afin d’identifier les activités inhabituelles. Grâce à une surveillance active, votre surface de protection peut s’étendre ;
Instaurez l’authentification multifactorielle
Il ne suffit pas de saisir un mot de passe pour obtenir l’accès. Une application courante de MFA (Multi-factor authentication) est l’autorisation à deux facteurs (2FA). Pour utiliser Office 365 par exemple, les collaborateurs doivent taper leur mot de passe, mais également saisir un code envoyé à un autre appareil, comme un téléphone portable, fournissant ainsi deux preuves de leur identité.
La mise en place d’une politique “Zero Trust” adaptée au cloud est indispensable. Fin 2016, des pirates avaient volé les identifiants du compte Amazon Web Service d’Uber pour ensuite voler des données concernant des millions de ses clients…
Les politiques de sécurité concernant le cloud doivent être dynamiques et appliquées de manière fiable. Cela nécessite une visibilité des données et des applications qui s’y trouvent. Des abonnements Office 365 jamais utilisés peuvent représenter une faille. Une étude a montré qu’un tiers des entreprises ne savaient pas combien de comptes Office 365 étaient réellement utilisés…
Le « Zero Trust in the cloud » complète les mesures de sécurité appliquées par le fournisseur et conduisent à un environnement de cloud computing plus sûr.
