Par Mylène Jarossay,
Présidente du CESIN
Les entreprises migrent massivement leur système d’information vers le cloud. Cette évolution a souvent commencé par des applications en mode Saas. L’offre est devenue pléthorique et parfois, l’offre applicative existe seulement dans ce mode. Les entreprises y ont vu une simplicité de mise en œuvre et de déploiement. En augmentant la part du Saas, elles se sont interrogées sur le maintien des datacenters en propre ou dans un cloud privé. Ces réflexions ont débouché sur des projets de transition globale vers le cloud. La migration vers des clouds publics est désormais largement engagée. Les entreprises s’ouvrent souvent à plusieurs offres en parallèle, d’une part pour bénéficier des solutions applicatives bâties uniquement sur certains clouds, d’autre part dans un objectif de répartition des risques, voire de cyber-résilience.
Cette évolution vers le multi-cloud a fait naître un ensemble de nouveaux risques, au niveau de la cible elle-même et pour la période de transition.
Le premier challenge est la capacité à maîtriser un SI devenu très complexe. Celui-ci est construit sur des composants plus ou moins connus, inventoriés et cartographiés par l’entreprise cliente. Celle-ci consomme des ressources cloud en combinant Saas, Paas et Iaas. Les périmètres, les rôles et responsabilités des différents acteurs qui contribuent à chaque brique, ainsi que leurs sous-traitants, la puissance, la surface et la localisation élastiques du SI constituent un ensemble difficile à maîtriser au plan contractuel mais aussi au plan technique, en termes de design et d’exploitation.
Au cloud il faut allier les nouveaux modes de développement en continu, le devops, la containerisation, l’APIsation, l’automatisation, soit un ensemble de nouvelles façons de fabriquer, interfacer, exploiter et utiliser des applications.
Pour répondre à ce challenge, les responsables cybersécurité doivent travailler de concert avec les juristes ainsi que les DPO, lorsqu’il s’agit de traiter des données personnelles, afin de clarifier ce qu’est la donnée, comment et par qui elle est traitée. La protection de la donnée passe par une combinatoire judicieuse de moyens contractuels, techniques, organisationnels et humains. Selon le métier de l’entreprise, il y a des questions sur la souveraineté des données, sur la protection des données stratégiques et des savoir-faire, et dans tous les cas, il y a des informations confidentielles à sécuriser. Les marges de manœuvre contractuelles et techniques sur la sécurité des solutions cloud restent faibles. Il convient d’être particulièrement vigilant, car bon nombre d’offres Saas se sont montées très vite avec une sécurité insuffisante et les offres Paas et Iaas nécessitent de bien maîtriser techniquement la façon de les utiliser pour éviter de monter des architectures vulnérables.
Un effort conséquent de formation est nécessaire pour que tous les acteurs du SI, les responsables métiers, les chefs de projets, administrateurs, développeurs, exploitants, auditeurs, etc. comprennent ces nouvelles approches et les technologies associées. Jusqu’aux utilisateurs qui ont pris la main sur la gestion des données non structurées et risquent d’exposer des documents sensibles via des stockages en ligne dont ils ne maîtrisent pas toujours les règles de gestion. Et tout cela, pour des offres cloud qui évoluent sans cesse. Certes l’entreprise gère moins de déploiements locaux et les évolutions se veulent plus indolores. Pour autant, l’entreprise est confrontée à des changements de versions fréquents avec, de temps en temps, quelques ratages fonctionnels, de nouvelles vulnérabilités, sans compter les mauvaises surprises économiques glissées au détour du redécoupage des offres.
Les activités de cybersécurité doivent s’adapter à cette plasticité. Pour cela, il est recommandé de définir des modèles de sécurité, d’automatiser la production des architectures, et de définir et auditer en continu les paramètres de sécurité. C’est la garantie d’une sécurité cohérente et maintenue dans le temps.
La surveillance et la détection dans le cloud sont également un nouveau challenge. Comment récupérer, consolider analyser les journaux ? Que les solutions soient mutualisées entre différents clients ou dédiées, la question de la capacité à surveiller est essentielle pour la détection, l’investigation et la réponse à incidents.
Enfin, si la valeur informationnelle se trouve désormais dans le cloud, les attaques sur nos SI migrent, elles aussi. Les entreprises peuvent subir l’effet de ces attaques, avec peu de visibilité et de marge de réaction. Sans compter qu’elles peuvent également subir des usages abusifs des données qu’elles confient.
