Chaque transition vers le Cloud exige une attention particulière sur la sécurité des identités et des accès. En particulier, l’approche multi-Cloud, très en vogue actuellement.
Le multi-Cloud correspond à une architecture informatique où les charges applicatives sont distribuées à la fois en interne et chez plusieurs prestataires de services Cloud. Cela permet de réduire les coûts et de gagner en flexibilité. Mais de nouvelles pratiques deviennent nécessaires pour garantir un niveau de sécurité homogène, sans dégrader les performances des applications. Seule une société sur quatre surveille l’accès à ses données sensibles, évalue le cabinet d’études Ponemon Institute. Pour garantir une conformité légale sur la confidentialité des données privées, les organisations doivent réviser ce qu’elles savent de leurs données. Elles doivent surveiller en particulier les accès (login), scruter les activités suspectes, les transferts non autorisés et remédier aux incidents via des contrôles et des alertes de sécurité adaptés : « Les bonnes pratiques sont celles édictées depuis quelque temps, mais il y a maintenant une volonté plus forte de contrôle, insufflée notamment par le nouveau règlement européen en matière de protection des données à caractère personnel (GDPR ou RGPD). On protège, au plus près des applications, l’accès aux données échangées afin de renforcer leur confidentialité, via un chiffrement SSL par exemple », illustre Laurent Pétroque, expert sécurité chez F5 Networks.
« Il y a maintenant une volonté plus forte de contrôle, insufflée notamment par le nouveau règlement européen en matière de protection des données à caractère personnel. »
Laurent Petroque, F5 Networks
Bien connaître ses données et services
La gestion des risques liés aux services potentiellement externalisés démarre avec l’inventaire des données pour les catégoriser. L’entreprise partage des fichiers aux risques plus ou moins élevés, en fonction du temps. Une planification de la R&D établie il y a vingt ans sera moins sensible que celle lancée le mois dernier, par exemple. Cette première étape donne un bon indice pour les services soigneusement recensés, qu’il convient, ou pas, d’expédier dans le Cloud. Les données de santé et les transactions financières exigent un environnement “AA”, aux règles renforcées pour l’Authentification, l’Autorisation et l’Audit, donc la traçabilité. Leurs charges applicatives sont, en général, les dernières à rejoindre un Cloud public. Au contraire, les présentations de produits et de services de l’entreprise sont volontiers hébergées sur un Cloud public, via le site web où l’on glisse des études de cas clients et les résultats les plus flatteurs.
Fédérer les identités
Entre ces deux familles de données, les fichiers du travail collaboratif ou de la planification des métiers migrent progressivement vers un Cloud à très haute disponibilité, avec une détection et une prise en charge continues du moindre incident de sécurité.
La fédération d’identités gagne les datacenters de toutes tailles. « Le protocole OAuth facilite l’interaction avec les services Cloud », confirme Arnaud Cassagne, directeur des Opérations de Newlode. Ce protocole autorise un site ou une application web à utiliser l’API sécurisée d’un autre site web. Il est mis en œuvre par un nombre croissant de services – grand public et professionnels – adossés aux environnements Cloud de Microsoft, Google ou Amazon. Côté développeur, cela permet de saluer l’internaute par son nom ou de mettre en avant des offres en fonction de son code postal par exemple. Pour sa part, SAML d’OASIS est à la fois un langage (Security Assertion Markup Language) et une norme ouverte pour l’échange d’informations d’authentification entre un prestataire de services et un fournisseur d’identités. Un fournisseur tiers peut ainsi authentifier les utilisateurs, en remettant un document XML signé au prestataire de services. Mais comment évolue l’orchestration des outils de sécurité du datacenter, selon les règles de chaque organisation, selon les services hébergés ou bien suivant d’autres critères ? « Les solutions de gestion d’identité s’appuient de plus en plus sur les ouvertures faites au travers de protocoles de fédération d’identité pour répondre aux besoins d’accès aux environnements hybrides », confirme Laurent Pétroque, avant de conseiller : « Comme la tendance multi-Cloud domine actuellement sur l’approche tout Cloud, l’organisation doit conserver une maîtrise de la gestion des identités des utilisateurs ». La transition multi-Cloud s’avère donc le bon moment pour renforcer le contrôle d’identité par une authentification multi-facteurs ou par une protection contre le vol de mots de passe. Grâce à ce nouveau socle de sécurité, l’entreprise régira le contrôle d’accès et les autorisations sur les applications du datacenter et sur celles hors du datacenter.
Gérer des groupes d’habilitations
La consolidation des protections autour d’une même console de sécurité apporte plus de flexibilité aux administrateurs, souligne-t-il : « Ils peuvent procéder à la ségrégation des utilisateurs en groupes et gérer plus facilement les habilitations, voire en déléguer la gestion. Il devient alors possible d’intégrer ces solutions de gestion d’identité dans des workflows plus larges, permettant par exemple de les coupler au système d’informations des ressources humaines. » La circulation des administrateurs dans le datacenter passe également par une gestion d’habilitations rigoureuse. « Ces accès sont soit temporaires, soit permanents. Lorsqu’ils sont permanents, il faut enregistrer une photo, et parfois des empreintes palmaires ou digitales, pour personnaliser chaque badge d’accès. L’entrée dans le datacenter ne s’effectue parfois qu’une personne à la fois, grâce au sas tournant », illustre Romain Quinat, expert sécurité chez l’intégrateur Nomios.
En général, le badge ne donne qu’un accès limité à la zone où se trouvent les équipements du client et les portes des baies informatiques sont souvent verrouillées. Les mêmes principes d’administration de la sécurité se déclinent sur les salles d’entreprise, avec des mécanismes de gestion d’identité et d’habilitation appropriés. « Dans la mesure où la plupart des personnes opérant dans un datacenter disposent d’accès d’administration, les comptes à privilèges doivent être contrôlés et gérés de façon efficace », confirme-t-on chez OneIdentity.
Standardiser les protections multi-Cloud
L’équipe de production informatique a coutume de protéger ses serveurs physiques et virtuels à l’aide d’une pile de solutions complémentaires. La salle machine, hier considérée comme une forteresse, concentrait les protections périmétriques. Mais à l’heure du multi-Cloud, les applications et les bases de données quittent cette enceinte. De l’inspection des postes clients à celle des couches réseaux, en passant par le scanner de vulnérabilités et le pare-feu applicatif, toute la pile des protections mérite un nouvel examen. Lorsqu’on choisit le multi-Cloud, les protocoles et standards de sécurité s’imposent progressivement pour assurer une confiance de bout-en-bout.
