Si la sécurité du Cloud convainc de plus en plus de DSI, de nombreuses questions se posent encore, notamment pour choisir son fournisseur Cloud. CIO Practice dresse la check-list des questions à se poser pour ne pas regretter d’avoir signé son contrat Cloud.
Fini le temps des idées reçues sur le Cloud prétendument trop dangereux en matière de cybersécurité ! Les DSI entrent dans l’ère de la maturité comme le confirment les dernières statistiques du cabinet Opinion Matters. Ainsi, 56 % des DSI européens estiment que la sécurité est un des principaux atouts pour passer à une infrastructure Cloud. Pour comparaison, cinq ans auparavant, 65 % des décideurs informatiques considéraient que le Cloud péchait sur cet aspect, d’après une étude du cabinet Forrester.
« Nous assistons aujourd’hui à un vrai changement de mentalité chez les DSI. Jusqu’à il y a quelques années, nous étions encore dans une phase de crainte liée au caractère relativement nouveau du Cloud. Ce temps-là est révolu ! Les DSI ont compris que le Cloud ne diminue en rien la sécurité des données. En effet, la nature et le volume des cyberattaques est identique d’une infrastructure Cloud à une installation on-premises », précise Nabil Hachem, consultant sécurité et réseau chez T-Systems.
Selon l’expert, si le Cloud ne change rien à la nature ou à la virulence des cybermenaces, il remet à plat un certain nombre de paramètres liés aux responsabilités juridiques et d’exploitation puisqu’un nouvel acteur entre dans la gestion de la politique de sécurité et des données : le fournisseur Cloud. C’est pourquoi il convient de vérifier un certain nombre de points précis avant de choisir son prestataire.
1. La protection physique de l’infrastructure Cloud
Le premier niveau de paramètres à évaluer est lié aux protections physiques et la redondance des data centers. Le lieu est-il placé sous vidéosurveillance ? Comment les entrées sont-elles contrôlées ? Le data center respecte-t-il les normes anti-incendie ? Ces questions semblent basiques mais sont en réalité essentielles. Ainsi, en juillet 2016, un petit incendie dans un data-center d’Ottawa au Canada a rendu l’accès aux e-mails impossible pour près de 50 000 fonctionnaires du pays pendant plusieurs jours et a retardé le versement des salaires de plus de 80 000 personnes. Pour éviter d’en arriver là, la norme ISO 27002 fixe de nombreux pré requis pour la sécurité physique.
2. Le cryptage et la sécurité des données hébergées
La norme ISO 27002 et ISO 27017 (incluant des considérations spécifiques pour le Cloud) établissent des règles précises pour l’accès aux données. Même sur une infrastructure Cloud partagée, les données doivent être cloisonnées, notamment via des VLAN ségrégés, des tables de routage et des firewalls dédiés. De même, les DSI doivent s’assurer que les données hébergées sont bien cryptées si nécessaire et identifier l’acteur qui doit gérer les clés de cryptage. En outre, il faut également s’assurer de la sécurité des données en mode transport dans le data center et vers le monde extérieur, par exemple via des tunnels et connexions chiffrés.
D’autres questions se posent également sur la localisation des données – il faut toujours s’assurer que les données ne seront pas accessibles suite aux règlements locaux de pays hébergeant, comme c’est le cas avec Patriot Act. La sécurité des données est désormais indispensable face à l’arrivée prochaine du règlement général sur la protection des données (RGPD) qui renforce les exigences en matière de confidentialité des données personnelles et engage la responsabilité de l’entreprise. Des pénalités sont prévues qui peuvent atteindre 4 % du chiffre d’affaires.
3. La responsabilité de la cybersécurité et de la gouvernance dans le Cloud
Mais qui est responsable en cas d’incident de sécurité ? En fonction du niveau de services choisi (IaaS, PaaS ou SaaS), la responsabilité ne sera évidemment pas la même. Par exemple, dans le cas d’une Infrastructure as a Service, c’est l’entreprise et non le fournisseur qui gère la sécurité des applications. Tous ces aspects doivent être définis en avance avec le fournisseur Cloud pour éviter toute confusion. les DSI et le fournisseur du Cloud doivent définir la gouvernance globale : comment sont gérés les incidents ? Par qui ? Qui est informé ? Comment ?
4. Le contrôle d’accès à l’environnement Cloud
L’utilisation du Cloud signifie qu’il y aura des employés du fournisseur qui peuvent accéder aux données et aux applications. Les DSI doivent s’assurer que le fournisseur Cloud dispose des processus et des fonctionnalités qui définissent l’accès à ses données et à ses applications. Le fournisseur doit être transparent sur la localisation des administrateurs. La méthode d’accès doit être sécurisée et la traçabilité maintenue.
À l’inverse, les fournisseurs du Cloud doivent accompagner leur client pour assigner et gérer les rôles et les niveaux d’autorisation associés pour chacun de leurs utilisateurs. Le tout conformément à leur politique de sécurité en place.
5. Les audits en continu de l’infrastructure Cloud
Reste ensuite à vérifier régulièrement le niveau de sécurité de l’infrastructure Cloud. Pour cela, des audits doivent être inscrits dans le contrat avec le fournisseur. Ce dernier devra ainsi fournir des rapports récurrents sur la protection des données, tentatives d’intrusion, conformité réglementaire, etc.
6. Le besoin de réversibilité
Enfin, il est un point souvent oublié dans les contrats IT : la réversibilité. En cas de changement de fournisseur Cloud, ce dernier doit s’engager à détruire les données transférées chez un nouveau prestataire.
Une fois tous ces points vérifiés, les DSI seront en mesure de mieux maîtriser la sécurité de leurs données et applicatifs dans le Cloud. « Les fournisseurs Cloud disposent aujourd’hui de toute l’expertise et de la force de frappe nécessaires pour lutter contre la cybercriminalité ce que n’ont pas forcément les entreprises isolées », conclut Nabil Hachem.