Sélectionner une page

Confier la sécurité de ses infrastructures à son propre fournisseur Cloud : une bonne idée ?

Confier la sécurité de ses infrastructures à son propre fournisseur Cloud : une bonne idée ?

Dans le Cloud, à tous les niveaux d’hébergement – IaaS, PaaS ou Saas -, les entreprises gagnent en efficacité et en souplesse. Dans le même intérêt, il est tentant de recourir aux services de sécurité proposés par les opérateurs de Cloud face aux enjeux de sécurité complexes dans le nuage. Le risque : pousser la démarche trop loin et perdre la main sur ce qui relève de la responsabilité de l’entreprise. Dès lors, comment ajuster ?

 

Sécurité Cloud chez le fournisseur : solution de confiance ou de facilité ?

Avec le Cloud, tout passe à grande échelle, problématiques de sécurité incluses. Prenons un exemple : les configurations de sécurité à maîtriser et corriger dans le Cloud. Selon un récent rapport sur l’adoption du Cloud et les risques associés, les entreprises possèdent à tout moment en moyenne 14 instances IaaS/PaaS mal configurées en cours d’exécution, ce qui génère plus de 2 200 incidents de mauvaise configuration par mois. De quoi illustrer l’ampleur de la tâche sur ce seul sujet de sécurité dans le Cloud. D’autres s’y ajoutent, notamment la protection des applications et données contre les vulnérabilités ou la chasse aux actifs cachés ou dormants qui accroissent la surface d’attaque.

Les entreprises ne détiennent pas nécessairement les compétences internes, ni le temps, de gérer la sécurité Cloud. Dès lors, elles sont nombreuses à s’appuyer sur les services de leurs opérateurs Cloud et ce, sur tous les fronts. La protection des données en fait partie : le rapport révèle que 69 % des entreprises s’en remettent à leurs fournisseurs de services de Cloud pour assurer la sécurité de leurs données. Une tendance confirmée par l’étude 2019 sur la sécurité Cloud de Thales : près de la moitié des entreprises de Cloud computing fournissent elles-mêmes des clés de chiffrement lorsque les données sont stockées dans le Cloud. Paradoxe : 78 % des répondants affirment qu’il est important que leur entreprise conserve le contrôle de ces clés, or ce n’est le cas que pour 53 % d’entre eux.

 

Il est urgent de comprendre le partage des responsabilités

Confier la protection de ses données dans le Cloud à ses fournisseurs Cloud est un mauvais reflexe compte-tenu du partage des responsabilités de sécurité dans le Cloud. Ainsi, le fournisseur est responsable de la sécurité du Cloud qu’il met à disposition des entreprises. Cela inclut l’infrastructure globale, le stockage, les bases de données, le réseau, les calculs. Par contre, l’entreprise reste responsable de ce qu’elle migre dans le Cloud : données, plates-formes, applications, systèmes d’exploitation, pare-feu, etc. Le tout, sachant qu’aucun fournisseur de Cloud ne fournit une sécurité à 100 % de toute manière.

Pourquoi tant d’entreprises passent outre cette répartition cruciale des responsabilités ? La principale raison tient à un manque de connaissance. Beaucoup pensent que leurs fournisseurs de Cloud s’occupent de tout. Trop souvent, le partage des responsabilités ne passe pas dans le radar de sécurité Cloud de l’entreprise, voire même, sa propre responsabilité en la matière.

 

Quels risques à ne pas endosser sa responsabilité de sécurité Cloud ?

Le principal risque qu’encourt une entreprise qui a laissé filer la sécurité de ses données Cloud à son fournisseur est de ne pas pouvoir prendre la main en cas de compromission des données. À l’heure du RGPD notamment, c’est un grave risque à courir, alors qu’en moyenne, l’entreprise envoie 48 % de toutes ses données dans le Cloud et jusqu’à 60 % des informations sur ses clients.

En cas d’attaque ou d’altération des données, c’est bien l’entreprise qui devra rendre des comptes, payer des amendes, subir une érosion de confiance de ses clients et de son image de marque. Pas son fournisseur Cloud.

Il est donc capital que l’entreprise garde la main sur les responsabilités de sécurité Cloud qui lui incombent. L’équipe interne doit toujours avoir une vue de la situation, détenir les clés de chiffrement des données cryptées dans le Cloud et, si les compétences manquent à l’appel, s’appuyer sur un partenaire informatique neutre vis-à-vis des fournisseurs de Cloud.

A propos de l'auteur

Nuno VENTURA

Responsable BU sécurité

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter