La cybersécurité sur un nuage insuffle un vent de modernisation

La filière de la sécurité prévoit une année de croissance en raison de l’explosion des données dans le cloud et donc de la demande pour les protéger. Les innovations technologiques incitent hébergeurs et clients à investir dans ce domaine.

Le marché de la cybersécurité se porte à merveille. Favorisé par l’explosion du cloud, il a enregistré un bond d’activité de 10 % en 2021, selon le cabinet Pierre Audoin Consultants. Cette croissance s’annonce durable. En effet, les ventes de solutions de sécurité s’envolent depuis que les entreprises et autres administrations ont pris conscience de la nécessité d’une meilleure maîtrise de leurs risques du cloud. Les organisations qui entendent travailler avec des prestataires de ces services réclament en effet un haut niveau de sécurité – parfois supérieur à ce que revendiquent les champions de l’informatique à distance. Les DSI et RSSI des grands comptes ou des ETI sont plutôt méfiants. L’un d’eux, croisé aux Assises de la sécurité et des systèmes d’information 2021, nous confiait, sous couvert d’anonymat : « Mieux vaut prendre soin d’évaluer le niveau de sécurité chez les hébergeurs. Pour rester compétitifs, certains d’entre eux standardisent leurs offres et nivellent leurs services par le bas. » Un livre blanc sur les services cloud, publié en 2018 par Numeum (à l’époque Syntec Numérique), met, lui, en cause les contrats SaaS quant à la sécurité des données, à leur intégrité et à la reprise après incident. « Nous observons de la frustration chez les clients quant au degré de transparence qu’ils sont en mesure d’obtenir [en la matière] de la part des fournisseurs de ces services dans leurs contrats. » Même s’ils proposent rarement l’audit sécurité de leurs systèmes, les acteurs du cloud tiennent le même discours rassurant : les données des clients sont protégées au mieux. Néanmoins, le Cesin (Club des experts de la sécurité de l’information et du numérique) recommande aux entreprises de n’externaliser leurs données qu’après une analyse des risques, en prenant en considération la localisation des données ; la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients ; la perte des informations liée aux incidents fournisseurs ; la réversibilité de la solution et la dépendance technologique au fournisseur ; l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise, etc. Les fuites de données qui ont récemment touché des millions de personnes ont suscité une vive inquiétude concernant les outils de stockage, même parmi la clientèle des leaders du Nuage. Les exemples de fournisseurs de cloud victimes d’incidents de sécurité ne manquent pas. Alors que les technologies cloud évoluent, en particulier avec l’essor de l’edge computing, « les hébergeurs n’ont que peu modifié la structure de leur cyberdéfense », constate Badr Laasri, Cyber Security Engineer pour le cabinet d’audit Tenable. De fait, les systèmes de sécurisation des données dans le cloud ont de l’avenir. D’autant que de véritables standards ont fait leur apparition en matière de cybersécurité, tel le label Cloud de confiance délivré par l’Anssi (Agence nationale de la sécurité des systèmes d’information) qui identifie les offres cloud garantissant la meilleure protection des données, et pousse donc les prestataires de services à se mettre à niveau dans ce domaine. Pour « donner l’avantage aux gentils », les technologies de cybersécurité s’affinent et les produits dédiés au software pullulent. « À mesure que les données migrent dans le cloud, l’enjeu de leur sécurisation devient de plus en plus crucial. C’est un vrai challenge car avec les environnements cloud modernes [multicloud, conteneurisation, clusters Kubernetes, etc.], l’approche traditionnelle de la sécurité montre vite ses limites », note Éric Guillotin, ingénieur avantventes, chez Imperva. Alors que les thuriféraires du cloud mettent surtout en avant les économies de coûts réalisées par les entreprises qui y migrent leurs infrastructures, l’enjeu de la sécurité des données se situe au coeur du sujet. La tâche n’a toutefois rien d’une sinécure. Tout d’abord, on note une pénurie de compétences cyber spécialisées dans les technologies de sécurisation des bases de données cloudifiées. En outre, les structures de configuration de services cloud équivalents n’étant pas standardisées (à l’exception des plates-formes Docker et Kubernetes), il faut savoir maîtriser des offres dont l’interface diffère d’un fournisseur à l’autre. « Beaucoup de sociétés qui mettent en oeuvre des mécanismes de multicloud ne savent pas évaluer les solutions qui sécurisent les données convenablement », constate Charles Mure, Expert Cloud Security, chez Linkbynet.

COÛTS OPTIMISÉS ET RISQUES HAUTEMENT COUVERTS

La réponse à leur apporter se trouve chez des éditeurs spécialisés (ou chez les géants de l’IT qui les rachètent) qui développent les solutions de sécurité les plus modernes pour protéger efficacement les informations. L’une de leurs approches est d’intégrer une couche d’unification des plates-formes des acteurs cloud, afin notamment de disposer d’une visibilité unifiée des logs produits. De fait, l’entreprise utilisatrice bénéficie d’un contrôle total de la traçabilité des accès à ses bases de données dans des infrastructures on-premise et cloud. D’autres éditeurs de logiciels innovent, eux, dans le Ciem (cloud infrastructure entitlement management), destiné à la gestion des identités multicloud. Plus globalement, la tendance consiste à inclure dans les solutions de sécurité des fonctionnalités de classification et d’étiquetage des fichiers sensibles se déplaçant dans un environnement cloud ou hybride, ainsi que du chiffrement – à double clé parfois –, et des restrictions d’accès sur ces éléments. La data loss prevention fait aussi partie des outils devenus indispensables, en l’occurrence pour empêcher les utilisateurs de partager involontairement des documents sensibles avec des personnes qui ne devraient pas y avoir accès. Enfin, les étiquettes de rétention permettent de gérer le cycle de vie des données, et donc de démarrer leur conservation sur une période définie ou leur retrait automatique à son issue. Mais si les logiciels de cybersécurité du cloud ont fait ainsi de gros progrès, ils sont notoirement sous-exploités. Selon Linkbynet, bien qu’ils représentent en moyenne 25 % de la facture cloud des entreprises, seulement 15 % de leurs capacités techniques sont employées. Le défi sera d’optimiser les coûts tout en bénéficiant d’un meilleur niveau de couverture des risques.

« Avec les environnements cloud modernes, l’approche traditionnelle de la sécurité montre vite ses limites »

Éric Guillotin, ingénieur avant-ventes, Imperva

LA CERTIFICATION SECNUMCLOUD GAGNE DU TERRAIN
Dans le monde entier, la bataille du cloud et de l’infra se heurte depuis le début au manque d’harmonisation des procédures. La récente mise à jour du référentiel SecNumCloud fait progresser cette situation.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié la nouvelle la version, intitulée 3.2.a, de son référentiel d’exigences nécessaires pour obtenir la certification SecNumCloud. Il s’agit en effet d’un sésame qui n’a rien de marketing ni de politique, mais qui a tout de la démarche scientifique. Le point essentiel est acquis : le fait, pour un fournisseur, de se prévaloir de la qualification SecNumCloud, atteste le sérieux de l’offre. Exactement comme pour les hébergeurs agréés Données de santé. Ce précieux document doit être fiable, respecté, applicable à tous et reconnu comme tel. Non que tout soit réglé. Les accords passés au nom de la coopération cloud entre des acteurs majeurs du marché – on pense ici, par exemple, au partenariat conclu entre le français Thalès et l’américain Google – ne manque pas de poser question. D’autres interrogations se feront jour, en particulier dans un domaine aussi changeant que l’informatique à la demande. Il n’empêche. Des garde-fous sont installés. Ainsi, et c’est peut-être le plus important, le référentiel précise que « le siège statutaire, administration centrale ou principal établissement du prestataire, doit être établi au sein d’un État membre de l’Union européenne ». Dans le même esprit, ce texte se rattache à l’émergence progressive d’un cloud de confiance, lui-même souhaitable et pérenne. Un cadre fixe et des modalités souples : tout l’enjeu se trouve dans ce périmètre-là.