De nouveaux réflexes de protection s’imposent avec le Cloud hybride qui repose sur plusieurs infrastructures distinctes et sur une chaîne de services applicatifs délivrés à la demande.
L’entreprise étendue invite ses revendeurs et partenaires à coopérer autour de services Cloud. Elle met en place des outils de partage de documents, des réunions en ligne via Internet, un suivi des projets, voire un CRM en mode SaaS, un outil de gestion de la relation client externalisé. Pour maintenir un bon niveau de sécurité dans l’intérêt des salariés, des clients et de l’écosystème, une sécurité multicouche devient la règle.
1 – Sensibiliser les utilisateurs
de services SaaS
A titre privé, chacun peut stocker ses fichiers numériques sur une infrastructure en ligne, sur un Cloud public ou via un service de partage de documents sur Internet. Les transferts et la synchronisation de fichiers s’avèrent simples, pratiques et même gratuits pour les premiers giga-octets de données échangés entre PC et terminaux mobiles. Le particulier fait confiance aux composants logiciels déployés par les éditeurs et à ceux qu’il invite dans son smartphone.
« Les utilisateurs représentent la plus grande faille de sécurité. »
Clément Oudot, Savoir-Faire-Linux
Dans l’entreprise, l’équipe informatique doit sensibiliser les salariés sur les risques associés à cette pratique. Dans la plupart des branches d’activités, la propriété intellectuelle, les savoir-faire et les principales transactions commerciales sont maintenant numérisées, attirant des convoitises.
« Les utilisateurs représentent la plus grande faille de sécurité. Ce sont eux qui cliquent sur une pièce jointe malveillante ou qui écrivent des mots de passe sur un post-it. Leur éducation s’avère très importante pour respecter de bonnes pratiques Cloud », souligne Clément Oudot, expert sécurité chez Savoir-Faire-Linux. Une première précaution consiste par inventorier les usages Cloud professionnels. La rédaction d’un guide de bonnes pratiques en ligne encourage des usages conformes à la politique de sécurité de l’entreprise. On y rappelle les règles de la branche d’activité, les risques et préjudices encourus en cas de fuites de données personnelles et on invite le lecteur à réfléchir sur l’intention réelle des prestataires de services gratuits. Des règles d’hygiène informatique complètent ce document, dont les annexes listent quelques fournisseurs référencés, des hébergeurs de proximité et des mesures concrètes pour sauvegarder ses fichiers.
2 – Définir une politique de sécurité intégrant les ressources externalisées
« De plus en plus de valeurs et de processus clés d’entreprises passent par le Cloud. Les adhérents d’une assurance attendent des services mobiles performants et personnalisés, en cas de panne de leur voiture. Une heure d’interruption d’un datacenter peut coûter jusqu’à 200 000 euros à une mutuelle. Le multi-hébergement devient fréquent dans cette activité, il signale la criticité du réseau et celle des accès aux services en ligne », illustre Mathieu Poujol, consultant principal du cabinet CXP PAC.
« Une heure d’interruption
d’un datacenter peut coûter jusqu’à
200 000 euros à une mutuelle. »Mathieu Poujol, CXP PAC
Dans ce domaine, les responsables de la production informatique et de la sécurité du système d’information n’agissent pas seuls. Des prestataires Cloud ou des ESN (entreprises de services numériques) coopèrent avec eux afin de définir et de faire appliquer partout la même politique de sécurité informatique.
Identifier et authentifier chaque interlocuteur offre l’occasion de remettre à plat les règles d’accès aux données numériques et aux applications, les règles de confidentialité, d’intégrité et de traçabilité des échanges. Chaque responsable de segment de réseau doit prendre en compte ces contraintes et traduire les objectifs de l’entreprise en engagements de niveaux de services (SLA). Lorsqu’il est identifié dans l’entreprise, le correspondant informatique et liberté participe à ses projets en privilégiant le respect de la vie privée des salariés et des clients.
3 – Gérer des identités
en respectant les standards
Attention à prendre en compte l’organigramme actuel de l’entreprise et non le dernier schéma hiérarchique formalisé par un stagiaire il y a trois ans, recommande Benoît Mortier, le PDG d’OpenSides : « Dans la gestion d’identités, le point de vue technique est relativement simple à mettre en place. En revanche, le projet organisationnel s’avère plus difficile. Il faut avoir une vraie vision de qui fait quoi, à quel endroit. Cela passe souvent par une remise à plat globale », témoigne-t-il.
En respectant des standards tels que SAML et OpenID, « on peut lire, décrire et implémenter la façon dont on s’identifie à une plateforme Cloud, via un document ouvert. On devient interopérable », poursuit Clément Oudot, chef du projet d’infrastructure d’authentification unique distribuée LemonLDAP::NG.
« L’externalisation ne dispense pas de faire son contrôle personnel, afin de vérifier précisément ce qui se passe pour les données de l’entreprise. »
Benoît Mortier, OpenSides
Un Cloud sécurisé doit offrir des mécanismes standards de contrôle d’accès, recommande pour sa part Sébastien Keller, responsable de projets de sécurité chez Thalès : « La gestion des identités, des autorisations et des droits sur la plateforme doit prendre en compte les services et les données numériques auxquelles on veut accéder. L’environnement Cloud nécessite beaucoup d’intégrations. Or, plus on respecte les standards et mieux on s’intègre. »
Offrir l’accès au bon service au bon utilisateur au bon moment ne suffit plus. Il s’agit à présent de fédérer des identités numériques d’utilisateurs et désormais aussi d’objets connectés. « Le RSSI de Sanofi surveille la connectique de pompes à insuline. Pour lui, un centre de données à l’arrêt est synonyme de mise en danger possible de nombreux diabétiques », illustre l’analyste Mathieu Pujol.
4 – Anticiper les attaques
et planifier la réversibilité
La gestion d’incidents informatiques et la résolution de cyber-attaques font déjà partie du quotidien des RSSI. Face aux menaces persistantes avancées (APT), les spécialistes n’interviennent souvent que plusieurs semaines après le démarrage d’une fuite de données. Malgré les pare-feu applicatifs du réseau et les outils d’analyse comportementale des environnements de travail, un logiciel malveillant peut donc atteindre un serveur de l’organisation, qu’il soit hébergé en interne ou chez un prestataire pour exfiltrer, par petits lots, des données cruciales et confidentielles. Cette hypothèse doit être envisagée ainsi que la suite d’actions à déclencher dans un tel cas : ré-internalisation de services, changement de serveur ou d’hébergeur. Il s’agit d’anticiper au maximum tout ce qui pourrait se passer ; une véritable gestion de crises à géométrie variable.
Les applications Cloud ont fait baisser le prix des logiciels. Néanmoins, l’utilisateur devient dépendant d’une chaîne d’hébergement de services, ce qui n’était pas le cas avec les logiciels à demeure. L’entreprise cliente devient parfois prisonnière d’accords commerciaux : « Nous avons été confrontés à une société qui éditait un logiciel de marketing en mode SaaS, et qui a été reprise par un autre acteur qui ne nous convenait pas. Nous avons eu un mois pour basculer vers un logiciel concurrent. La réversibilité est quasiment nulle dans la plupart des offres SaaS. Pour une relation saine entre utilisateurs et fournisseurs, il faudrait plus d’offres réellement ouvertes et réversibles », constate Ludovic Dubost, le PDG de l’éditeur XWiki.
5 – Suivre l’évolution des menaces, propager les patchs
Assurer la sécurité du Cloud n’incombe pas à un seul et unique boîtier multifonction, ni à une seule personne chargée de son exploitation. Il s’agit de mettre à jour continuellement tous les systèmes et applications du parc informatique (OS, systèmes embarqués, navigateurs et autres logiciels). C’est le cas, en particulier, dans une infrastructure Cloud hybride où l’on doit s’assurer que l’ensemble des postes de travail, serveurs et équipements de réseau reçoivent bien les derniers patchs de sécurité simultanément.
En pratique, plusieurs logiciels de sécurité coopèrent dorénavant sur le réseau local et chez les prestataires Cloud. La protection globale devient multicouche ; elle se nourrit d’une veille constante des cyber-menaces et d’une mise à jour régulière des logiciels de sécurité déployés : anti-malware, passerelle VPN, IDS/IPS et pare-feu inclus. Le plus souvent, les outils de sécurité contribuent à cette amélioration continue, en partageant les exceptions et comportements douteux rencontrés, des injections de requêtes malveillantes ou dénis de services distribués par exemple. Cette coopération s’étend aux solutions de sauvegarde dans le Cloud où plusieurs sites d’une PME combinent parfois leurs ressources de backup pour faciliter la restauration de données après un incident.
6 – Mettre à jour ses listes d’accès
Combien de comptes d’anciens salariés, consultants ou stagiaires sont-ils toujours actifs plusieurs mois après leur départ ? « En optant pour un logiciel SaaS, l’entreprise doit se poser des questions sur chacun des utilisateurs à gérer, interne ou externe. Le prestataire de services demandera forcément une liste de personnes autorisées. Il faut bien y réfléchir », recommande Clément Oudot.
Outre un contrôle d’accès par listes blanches pour les services autorisés, l’entreprise gagne à limiter la navigation vers les domaines Internet susceptibles d’héberger des applications malveillantes. Mais, au-delà de la combinaison de ces listes, comment propager les règles de sécurité locales sur des équipements externalisés auprès d’un tiers ? « En pratique, l’entreprise ne déplace pas son pare-feu ni son équipement IDS chez son prestataire Cloud. Elle devient locataire des solutions de sécurité en place. Par conséquent, elle peut faire seulement de menus travaux. Le plus souvent, la PME doit faire avec les solutions et logiciels de sécurité retenus par son hébergeur », note Clément Oudot. Il confirme néanmoins que les PME-PMI migrant vers des services SaaS constatent souvent un gain de sécurité. « En fait, les petites organisations sont largement dépourvues d‘outils de sécurité informatiques souvent coûteux. Grace à la mutualisation des moyens, le prestataire SaaS procure une protection supérieure à celle en place dans la plupart des PME », nuance-t-il.
7 – Chiffrer les données sensibles
et conserver les clés
La plupart des prestataires Cloud revendiquent l’usage de données chiffrées comme une garantie d’intégrité. En pratique, chaque solution de chiffrement conserve ses limites et ses vulnérabilités : des attaques par canal auxiliaire, par collision ou rencontre au milieu restent possibles bien que complexes à mettre en œuvre. L’écueil principal consiste à stocker les clés au même endroit que les données sensibles. Les standards de chiffrement de données (AES, Advanced Encryption Standard) régissent les algorithmes et la taille des clés à employer. Ils facilitent la garantie d’un chiffrement conforme, en délivrant des caractéristiques à implémenter. Dans le cas d’une messagerie externalisée, les pièces jointes et les clés de chiffrement gagnent à être aiguillées vers une infrastructure Cloud privée, maîtrisée par l’entreprise.
Dans un Cloud hybride, il faut considérer les services composites créant une chaîne de dépendances au niveau des engagements de sécurité et de qualité de services. Par exemple, le temps de réponse d’une application vers les sites de l’entreprise dépend de plusieurs fournisseurs, éditeurs et sous-traitants impliqués. Mieux vaut définir ses propres SLA que retenir uniquement ceux fournis par défaut. On s’intéressera ainsi aux indices de stabilité et de continuité du service, plus parlants pour les métiers. La surveillance de ces SLA doit pouvoir s’effectuer de façon unifiée. « L’externalisation ne dispense pas de faire son contrôle personnel, afin de vérifier précisément ce qui se passe pour les données de l’entreprise », encourage Benoît Mortier.
