La généralisation du digital dans les activités des entreprises leur a permis d’aller toujours plus vite dans leur capacité à développer et mettre en œuvre leur stratégie commerciale et répondre avec agilité et rapidité aux attentes précises de leurs clients.
Ce besoin d’accélération s’est traduit par le basculement massif des systèmes d’information vers des services de cloud computing. Autrefois limitées aux activités back-office, un usage pour les domaines métiers les plus sensibles se développe rapidement chez les organisations.
Outre une capacité de réaction et d’évolution plus rapide, le cloud procure d’autres avantages par rapport aux SI traditionnels (SI internes ou infogérés) :
- Coûts réduits
- Facturation à l’usage
- Délai de mise en œuvre plus court
- Solutions plus souples
- Administration IT réduite
- Meilleur accès aux dernières technologies
- Fiabilité accrue.
Toutefois, un large basculement des SI de l’entreprise dans le cloud déporte la responsabilité du management des SI et des risques correspondants vers les prestataires de cloud.
D’autre part, l’accroissement des cybermenaces, le développement des exigences réglementaires (notamment RGPD) mais aussi les attentes croissantes des utilisateurs intensifient le besoin de maîtrise des risques de sécurité de l’entreprise : la disponibilité, l’intégrité, la résilience et la confidentialité de ses services et données.
Pour faire face à ces nouveaux défis et assurer la sécurité et la pérennité de ses activités, l’entreprise doit repenser en accéléré l’organisation et la gouvernance de ses SI et de ses risques en intégrant la dimension cloud computing.
Les bonnes pratiques pour sécuriser le cloud
La sécurité des applications, données et infrastructures hébergées dans le cloud computing doit faire partie intégrante de la démarche de maîtrise des risques de l’entreprise. Elle repose sur une stratégie, des politiques, des processus, des technologies et des contrôles.
Il existe des bonnes pratiques pour initialiser la sécurité des SI dans le cloud.
Bonnes pratiques liées à votre fournisseur de service cloud
Choisir un prestataire de confiance
Avant tout engagement dans une prestation cloud, chaque entreprise doit évaluer les capacités du prestataire à offrir un niveau de sécurité et de conformité réglementaire satisfaisant, qui permettra de couvrir ses risques selon ses attentes et besoins.
L’entreprise devra vérifier la viabilité du prestataire en vérifiant les certifications du prestataire, sur les référentiels :
- La norme ISO 27001 relatives à l’établissement, à la mise en œuvre, à l’exploitation, à la surveillance et à l’amélioration des systèmes de management de la sécurité de l’information (SMSI)
- La norme ISO 27002 qui décrit une liste de mesures de sécurité destinées à assurer la sécurité du SI et de ses données.
- Et surtout, le référentiel SecNumCloud, qui définit les exigences quant au prestataire de service de cloud computing. Ce référentiel proposé par l’ANSSI (Agence National de Sécurité de SI) s’appuie sur la norme ISO 27001
Le cas échéant, l’entreprise pourra, également, soumettre le prestataire à un questionnaire d’évaluation basé sur ces mêmes référentiels.
A défaut de réponse claires et viables sur ces points, l’entreprise devra éventuellement renoncer à la prestation.
Définir les bases d’une relation de confiance avec le prestataire
La mise en œuvre d’une prestation de cloud computing doit s’accompagner :
- D’un partage clair des responsabilités entre l’entreprise et le prestataire. En fonction, du type de prestation IAAS, PAAS, SAAS, l’entreprise cliente porte une part des responsabilités plus ou moins importante. Cette part doit être identifiée, pour distinguer les dispositifs de sécurité qui incombent à l‘entreprise, et ceux au prestataire.
- D’un contrat décrivant la prestation, les obligations réglementaires à respecter.
- Pour rappel, le RGPD impose des règles particulières pour tout transfert de données personnelles hors UE. L’entreprise doit donc savoir avec certitude où sont hébergées ses données et ses traitements. L’entreprise doit également s’assurer que le prestataire n’utilisera pas ses données personnelles sans autorisation.
- De la pertinence des dispositifs de sécurité du prestataire pour détecter, prévenir et traiter les vulnérabilités et les attaques.
- D’une clause de réversibilité définissant les modalités de cette réversibilité. De même, des modalités pour s’assurer de la destruction des données en cas d’arrêt de la prestation.
- Des modalités de contrôles et d’audit réguliers du prestataire, de tests d’intrusion et de vulnérabilité.
- Des modalités de continuité d’activité.
- Des exigences de niveaux de service et des moyens de les suivre (mise en œuvre d’un SLA = service level agreement), en particulier concernant la gestion des incidents.
- D’interfaces (sous forme d’API) permettant une connexion facile et sécurisée entre les services cloud du prestataire et les autres SI de l’entreprise pour garantir un fonctionnement optimal des activités de l’entreprise.
- L’entreprise doit pouvoir s’interfacer notamment aux dispositifs de détection et de prévention des menaces pour obtenir une vision complète de son SI et bénéficier automatiquement des informations nécessaires en cas de menace ou d’attaque pour être en capacité de réagir. Cette interface peut être destinée à alimenter l’équipe de supervision et d’administration du SI de l’entreprise, tel qu’un SOC (Centre des opérations de sécurité).
Bonnes pratiques internes pour vos services cloud
Le chiffrement des données
Les fournisseurs de services cloud proposent souvent le chiffrement de vos données. Mais l’entreprise, pour conserver un contrôle total sur la confidentialité de ses données, doit mettre en place un dispositif de chiffrage des données en transit et stockées dans le cloud et gérer ainsi les clés de chiffrement. NB : Beaucoup d’états ont le droit, dans un cadre juridique particulier, une enquête par exemple, de demander à l’entreprise les clés pour déchiffrer les données. Il est dans ce cas souhaitable que l’entreprise soit propriétaire de ces clés plutôt que son prestataire.
La gestion des identités et des accès
La gestion des identités et des accès doit permettre de protéger l’accès aux données et aux traitements aux seules personnes habilitées dans un soucis de confidentialité. Mais cela doit également être possible par l’utilisation des outils d’identification centralisés de l’entreprise type IAM (Identification Access Management) pour que chaque utilisateur n’est pas à saisir ses identifiants pour l’accès à chaque service hébergé dans le cloud. Le prestataire doit proposer une interface (une API par exemple) pour connecter ses services cloud à l’IAM de l’entreprise.
La mise en place de MFA (authentification à facteurs multiples) peut fournir une assurance d’authentification supplémentaire efficace.
Sécuriser les points de terminaison utilisateurs (endpoints)
La multiplication des points d’accès distant via le shadow IT (terminaux personnels n’appartenant pas à l’entreprise tels que les smartphones, PC portables, tablettes…) et des navigateurs web, aux SI de l’entreprise rend plus difficile la sécurisation. L’entreprise devra protéger ces terminaux et navigateurs avec un VPN, un antivirus, un pare-feu…
L’entreprise pourra également s’appuyer sur une solution de CASB (Cloud Access Security Broker), qui permet de sécuriser les données de bout en bout, depuis le cloud jusqu’aux terminaux utilisés par les utilisateurs et repérer les événements suspects et les menaces potentielles.
Une organisation et une gouvernance de la sécurité SI centralisée
L’heure est à des SI de plus en plus hybride et multicould. Dans ce contexte, l’entreprise doit se doter d’une organisation de cybersécurité centralisée pour l’ensemble du périmètre de ses activités afin de gagner en efficacité et en cohérence.
Le RSSI est au cœur du dispositif. Il définit les stratégies et les politiques de protection des SI en collaboration avec l’ensemble des responsables de l’entreprise pour bien comprendre les objectifs et enjeux clés de l’entreprise et protéger efficacement les SI les plus stratégiques.
Si possible, il se dote d’une équipe centralisée de détection et d’analyse en cybersécurité, un SOC (Security Operation Center). Elle doit être équipée d’un outils de recueil des événements issus de tous les SI, un SIEM (Security Information Event Management) pour faire du renseignement, de la surveillance et de la détection des menaces sur l’ensemble des SI. Ce dispositif pourra être complété par un outil d’apprentissage automatique de détection des menaces connues, une IA (Intelligence artificielle), pour améliorer, dans la précision et la rapidité, la détection des menaces et permettre à l’équipe de se focaliser les menaces majeurs et/ou inconnues.
Former les collaborateurs de l’entreprise
Les collaborateurs de l’entreprise sont des cibles privilégiées des cybermenaces. Un simple mail doté d’un lien ou d’un fichier malveillant peut mettre à bas un système de défense cyber. Sensibiliser et former les collaborateurs aux bonnes pratiques de sécurité et aux risques cyber, leurs caractéristiques et les modalités pour les repérer est un des fondements d’une stratégie de sécurité.
En résumé
La capacité de l’entreprise à assurer la sécurité de ses données et traitements avec des SI hybrides et multicloud en perpétuelle évolution, malgré des accès hétérogènes et distants, permettra à l’entreprise de garder l’agilité et la rapidité nécessaire à son activité et à sa stratégie, pour répondre aux attentes de l’utilisateur digital dans un climat de confiance et de respect des réglementations.
À propos de l’auteur