Incontestablement, le Cloud Computing a profondément transformé notre manière de concevoir l’infrastructure. Générateur de nombreux avantages, le Cloud doit tout de même être abordé avec prudence notamment au niveau de la sécurité et plus précisément de la bonne gouvernance des accès au SI. Dans ce contexte, il est important de bien sécuriser son voyage et prendre toutes les mesures nécessaires, que ce soit au niveau technique ou réglementaire. L’important étant à toutes les étapes du projet de ne rien oublier. Nous allons donc aborder cinq grandes thématiques à prendre en compte avant de lancer son projet et de confier son infrastructure à un fournisseur Cloud.
1. Première classe ou voler en solo ?
Il convient tout d’abord de définir le type de Cloud Computing que vous allez sélectionner. Ainsi, en fonction du choix effectué ( SaaS, PaaS ou IaaS ), les règles de sécurité à prendre en compte seront différentes. Cette liste n’est évidemment pas exhaustive, mais une fois que vous avez sélectionné le modèle qui vous convient, il est important de s’assurer que l’ensemble des dispositions nécessaires ont été prises pour sécuriser votre environnement. En effet, n’oublions pas que chaque grande famille Cloud bénéficie de spécificités, ce qui implique de déployer des dispositifs de sécurité spécifiques.
2. Savoir ce qui est à bord
Attention ensuite à bien identifier le type de système qui peut être migré en toute sécurité dans le Cloud. Une fois ce travail réalisé, il est important de construire des accès sécurisés pour accéder aux applications et données stockées. C’est également à ce niveau que le respect des règles de conformité se pose, ainsi que les aspects liés à la responsabilité des hébergeurs. De manière générale, plus votre système est externalisé vers un fournisseur Cloud, plus la responsabilité de ce dernier est importante afin de garantir une parfaite sécurité de votre environnement.
3. Toujours vérifier les cartes d’embarquement
Assurez-vous de savoir qui accède à vos systèmes et données hébergées. Si vous prévoyez de travailler avec un fournisseur de Cloud pour fournir l’infrastructure, il est important d’intégrer que des personnes tierces pourront accéder à vos applications et données. Il est donc vital de pouvoir savoir qui accède à votre environnement et donc de cartographier les accès.
Si vous optez pour une approche IaaS ou PaaS, il est fortement conseillé d’investir dans un système de contrôle des accès au niveau de l’administration, dit bastion d’administration. Ce système doit aussi bien concerner les utilisateurs à privilèges de votre fournisseur Cloud que vos équipes internes. C’est l’opportunité de mettre en œuvre une véritable gouvernance des accès des utilisateurs à privilèges. Globalement, il est donc utile de demander à votre fournisseur de Cloud les mesures qu’il va prendre afin d’assurer une bonne gestion des accès à votre système.
4. Sécuriser vos bagages
Il est fondamental de crypter les données échangées dans le Cloud. Le fournisseur Cloud doit tout mettre en œuvre pour garantir une bonne intégrité des échanges réalisés et utiliser des technologies de cryptage et de chiffrement éprouvées. Cela permet de se prémunir de nombreux désagréments, comme notamment le détournement de comptes utilisateurs à privilèges. La capacité de votre fournisseur Cloud à traiter ces éléments sera une bonne indication de sa capacité à garantir la sécurité de vos données.
5. Penser à mettre en place une boite noire
Surveiller et enregistrer l’activité réalisée sur la plateforme Cloud est une nécessité. Tout d’abord pour bénéficier d’une piste d’audit fiable en cas de problème, et vérifier si une défaillance est liée à votre fournisseur Cloud. Attention également à bien identifier l’impact d’un tel dispositif de monitoring sur la performance de la plateforme qui doit rester disponible et garantir des temps d’accès qui n’impactent pas la productivité des utilisateurs.
Conclusion
Pour mener à bien son projet dans le Cloud, il est important de prendre en compte tous ces différents paramètres afin de bien identifier la criticité de vos données, de comprendre qui va y accéder et plus généralement de définir une bonne gouvernance des accès. Globalement, la sécurité dans le Cloud est une responsabilité partagée entre le fournisseur de services Cloud et le client. Dans ce contexte, choisir un fournisseur Cloud est une étape stratégique qui nécessite la plus grande vigilance. Il est important que les clients finaux ne confient pas les rênes de l’infrastructure au premier venu et que leur fournisseur leur démontre pragmatiquement qu’ils sont en mesure de leur proposer un environnement intégrant les meilleures pratiques en matière de sécurité.
Par Chris PACE, Product Marketing chez Wallix
