Jump to section

Quelles sont les spécificités de la sécurité dans le cloud ?

Mis à jour 4 août 2023
Copier l'URL

Présentation

La sécurité dans le cloud correspond à la protection des données, applications et infrastructures impliquées dans les services cloud et le cloud computing. Plusieurs aspects de la sécurité dans les environnements cloud (public, privé ou hybride) sont similaires à ceux d'une architecture sur site.

Renforcer la sécurité du cloud hybride

Origine des spécificités de la sécurité dans le cloud

Certains problèmes généraux de sécurité informatique, ou cybersécurité, notamment l'exposition et la fuite de données sensibles, les contrôles d'accès faibles, la vulnérabilité aux cyberattaques, les interruptions de la disponibilité, affectent les systèmes traditionnels aussi bien que les systèmes cloud. Pour assurer la sécurité dans le cloud, comme dans n'importe quel autre environnement informatique, vous devez prévoir des mesures de protection adéquates pour :

  • garantir la sécurité des données et des systèmes ;
  • connaître l'état actuel de la sécurité ;
  • détecter immédiatement tout événement inhabituel ;
  • suivre les événements inattendus et réagir.

Si de nombreux utilisateurs comprennent les avantages des environnements de cloud computing, ils se laissent souvent dissuader par les potentiels problèmes de sécurité. Nous sommes bien conscients qu'il est difficile d'appréhender quelque chose qui existe quelque part entre des ressources immatérielles envoyées sur Internet et un serveur physique. Il s'agit d'un environnement dynamique où tout évolue en continu, à l'instar des menaces qui pèsent sur la sécurité. Pourtant, dans l'ensemble, la sécurité dans le cloud équivaut à la sécurité informatique. Une fois que vous avez compris les différences, le terme « cloud » ne semble plus aussi dangereux.

Périmètres mouvants

Icon of rectangle going from solid stroke to dashed

La sécurité rime souvent avec contrôle des accès. Dans les environnements classiques, les accès sont habituellement régulés à l'aide d'un modèle de sécurité du périmètre. Les environnements cloud sont hautement connectés. Pour le trafic, il est donc facile de contourner les défenses classiques du périmètre. API non sécurisées, solutions de gestion des identités et des informations d'identification peu efficaces, pirates informatiques, utilisateurs malintentionnés sont autant de menaces pour le système et la sécurité des données. Pour empêcher les accès non autorisés et pallier les vulnérabilités dans le cloud, il faut adopter une approche centrée sur les données. Chiffrez les données, renforcez les processus d'autorisation, exigez l'utilisation de mots de passe complexes, optez pour l'authentification à deux facteurs, Intégrez des mesures de sécurité réseau à tous les niveaux.

Le « tout logiciel »

Icon of datacenter wrapped in a dashed stroke representing virtualization

Le « cloud » correspond aux ressources hébergées qui sont distribuées à un utilisateur via un logiciel. Les infrastructures de cloud computing (ainsi que les données traitées) sont dynamiques, évolutives et portables. Par conséquent, les contrôles de sécurité dans le cloud doivent s'adapter aux variables environnementales et protéger les charges de travail et les données, au repos et pendant leur transit, qu'elles fassent partie des charges de travail (par exemple pour le chiffrement) ou qu'elles fonctionnent de manière dynamique via un système de gestion du cloud et des API. Ainsi, vous pouvez éviter la corruption des systèmes et les fuites de données dans votre environnement cloud.

Menaces sophistiquées

Icon with exclamation point inside triangle

Les menaces sophistiquées correspondent à tout ce qui affecte négativement les systèmes informatiques modernes, y compris, bien évidemment, les clouds. Certains logiciels malveillants de plus en plus sophistiqués et autres attaques, telles que les APT (Advanced Persistent Threats), sont conçus pour contourner les défenses du réseau en ciblant les vulnérabilités de la pile informatique. Une fuite de données peut entraîner la divulgation d'informations confidentielles ainsi que la falsification ou la perte de données. Il n'existe pas de solution miracle pour contrer ces attaques. Vous devez donc rester au fait des dernières pratiques en matière de sécurité dans le cloud à mesure qu'elles évoluent pour suivre le rythme des menaces émergentes.

Découvrir les cinq étapes pour renforcer la sécurité des entreprises dans le cloud

La sécurité du cloud est une responsabilité partagée

Quel que soit le cloud que vous avez choisi de déployer, vous êtes responsable de la sécurité de votre espace au sein de ce cloud. Vous avez opté pour un cloud géré par un prestataire tiers ? Attention, cela ne signifie pas pour autant que vous pouvez vous en désintéresser. Les failles de sécurité découlent souvent d'un manque de précautions. La sécurité du cloud concerne tout le monde et pour vous en assurer, appliquez les principes de précaution suivants :

Utiliser des logiciels fiables

Le contenu de votre cloud a de l'importance. Comme pour n'importe quel code que vous téléchargez à partir d'une source externe, vous devez chercher à savoir d'où viennent les paquets que vous téléchargez, qui les a créés et s'ils contiennent du code malveillant. Téléchargez vos logiciels à partir de sources fiables et connues et assurez-vous qu'ils incluent des mécanismes pour récupérer et installer les mises à jour au moment opportun.

Comprendre les exigences en matière de conformité

Les données personnelles, financières et autres informations sensibles stockées dans le cloud peuvent être soumises à des réglementations strictes. Les lois varient en fonction de l'endroit où vous menez vos activités (et des parties prenantes). Par exemple, dans l'Union européenne, c'est le Règlement général sur la protection des données (RGPD) qui s'applique. Vérifiez bien les exigences en matière de conformité qui vous concernent avant de choisir votre cloud.

Gérer les cycles de vie

Dans un environnement cloud, il est facile de déployer de nouvelles instances, mais aussi d'oublier celles qui s'y trouvent déjà. Les instances négligées (actives, mais non surveillées) peuvent devenir dangereuses, car elles deviennent très vite obsolètes et ne bénéficient plus de nouveaux correctifs de sécurité. Pour éviter cette situation, optez pour une solution de gestion et de surveillance du cycle de vie.

Envisager la portabilité

Êtes-vous en mesure de déplacer facilement vos charges de travail d'un cloud à un autre ? Les contrats de niveau de service doivent définir clairement quand et comment le fournisseur de cloud doit transférer les données ou applications aux clients. Même si vous n'envisagez pas de migration à court terme, la situation finira probablement par se produire. Évitez les futurs problèmes de dépendance en réfléchissant dès aujourd'hui à la portabilité des applications.

Assurer une surveillance en continu

En surveillant ce qui se passe dans vos environnements de travail, vous pouvez éviter les failles de sécurité ou du moins en réduire les effets négatifs.

Choisir le bon fournisseur de cloud

Choisissez des partenaires et des collaborateurs fiables et qualifiés, qui comprennent la complexité inhérente à la sécurité et aux services dans le cloud. Il arrive qu'une infrastructure de cloud public puisse être plus sécurisée que le cloud privé d'une entreprise, car le fournisseur de cloud public dispose d'une équipe chargée de la sécurité mieux informée et qualifiée.

Les clouds publics sont-ils vraiment sûrs ?

C'est une bonne question, alors parlons-en. Nous avons déjà abordé les différences entre les trois clouds (public, privé, hybride), mais ce qui vous préoccupe vraiment, c'est la sécurité au sein des clouds publics. Sachez que tout dépend de leur utilisation.

Les clouds publics, comme Amazon Web Services (AWS), Microsoft Azure et Google, sont suffisamment sécurisés pour la plupart des charges de travail, mais ils ne sont pas pour autant adaptés à tous les cas, notamment parce qu'ils ne sont pas isolés comme les clouds privés. Un cloud public vous permet de prendre en charge plusieurs clients. En d'autres termes, vous pouvez « louer » de la puissance de calcul (ou de l'espace de stockage) du datacenter d'un fournisseur de cloud en même temps que d'autres « clients ». Chaque client signe avec le fournisseur de cloud un contrat de niveau de service (SLA) qui indique les responsabilités de chacun. Le principe est le même que pour la location d'un appartement auprès d'un propriétaire. Le propriétaire (fournisseur de cloud) s'engage à entretenir le bâtiment (infrastructure cloud), à conserver les clés (accès), sans pour autant s'immiscer dans la vie privée (confidentialité) du locataire (client). En retour, le locataire promet d'éviter toute action susceptible de corrompre l'intégrité du bâtiment ou de déranger les autres locataires (par exemple exécuter des applications non sécurisées). Malheureusement, vous ne choisissez pas vos voisins et il n'est pas exclu que l'un d'eux laisse un jour entrer une personne malveillante. Même si l'équipe chargée de la sécurité de l'infrastructure chez le fournisseur de cloud surveille tout événement inhabituel, certaines attaques agressives ou discrètes (par exemple les attaques par déni de service distribuées ou DDoS) peuvent toujours affecter les autres clients.

Heureusement, vous pouvez compter sur plusieurs normes de sécurité, réglementations et structures de contrôle reconnues par le secteur, notamment la matrice CCM (Cloud Control Matrix) de la Cloud Security Alliance (CSA). Vous pouvez également vous isoler au sein d'un environnement multi-client en déployant certains outils de sécurité supplémentaires (comme le chiffrement ou des techniques de mitigation de DDoS) qui protègent les charges de travail sur une infrastructure compromise. Et si cela ne suffit pas, vous pouvez déployer des solutions CASB (Cloud Access Security Brokers) pour surveiller les activités et renforcer les politiques de sécurité pour les fonctions d'entreprise peu risquées. Toutefois, toutes ces précautions ne suffisent souvent pas dans les secteurs régis par des règles de confidentialité, de sécurité et de conformité très strictes.

Le DevSecOps pour la sécurité des technologies cloud-native

Le modèle DevSecOps associe les pratiques DevOps et les stratégies de sécurité. Les entreprises qui l'adoptent peuvent renforcer la sécurité informatique et réduire l'exposition aux risques. Les technologies cloud-native telles que Kubernetes, les conteneurs, les microservices et les Service Mesh se sont démocratisées, car elles fournissent les éléments de base nécessaires aux entreprises pour créer, déployer et exécuter des applications cloud de manière plus dynamique, fiable et à plus grande échelle qu'auparavant. 

Les changements introduits par les technologies cloud-native obligent les entreprises à faire évoluer leur sécurité vers un modèle DevSecOps. Cela signifie que les équipes de sécurité et d'ingénierie doivent travailler ensemble pour développer des stratégies qui aident l'entreprise à créer et exécuter des applications modernes et évolutives, avec des pratiques shift left qui intègrent la sécurité plus tôt dans le cycle de vie du développement logiciel et des workflows qui mettent en œuvre la sécurité en tant que code.

En savoir plus sur le DevSecOps

Limiter les risques avec le cloud hybride

Multiple icons forming a circle around a business man icon

Les décisions en matière de sécurité dépendent fortement du niveau de tolérance aux risques et de l'analyse coûts-avantages. De quelle manière les risques et les avantages potentiels peuvent-ils affecter l'état global de votre entreprise ? Quelles sont les priorités ? Toutes les charges de travail ne nécessitent pas le même niveau de chiffrement et de sécurité. Prenons un exemple concret : en verrouillant la porte de votre domicile, vous mettez tous vos biens en sécurité, mais cela ne vous empêche pas d'enfermer quand même vos objets de valeur dans un coffre-fort. Il est toujours intéressant de disposer de plusieurs options

et c'est exactement pour cette raison que de nombreuses entreprises se tournent aujourd'hui vers les clouds hybrides, qui vous offrent tous les avantages de tous les types de clouds. Un cloud hybride est la combinaison d'au moins deux environnements de cloud interconnectés, publics ou privés.

En effet, les clouds hybrides vous donnent la possibilité de répartir vos charges de travail et vos données en fonction des exigences en matière de conformité, d'audit, de politique ou de sécurité. Vous pouvez ainsi protéger les charges de travail sensibles dans un cloud privé et exécuter les charges de travail moins critiques dans un cloud public. Bien qu'il existe quelques problèmes de sécurité spécifiques au cloud hybride (comme la migration des données, l'accroissement de la complexité et l'élargissement de la surface d'attaque), la présence de plusieurs environnements constitue une barrière solide contre les risques de sécurité.

Choisir votre parcours cloud-native

En savoir plus sur l'approche de Red Hat en matière de sécurité et de conformité

Keep reading

ARTICLE

Le DevSecOps, qu'est-ce que c'est ?

Si vous souhaitez tirer pleinement parti de l'agilité et de la réactivité d'une approche DevOps, vous devez également intégrer la sécurité informatique au cycle de vie complet de vos applications.

ARTICLE

Quelles sont les spécificités de la sécurité dans le cloud ?

Les préoccupations en matière de sécurité de haut niveau affectent les systèmes informatiques traditionnels et cloud. Découvrez quelles sont les différences.

ARTICLE

Le SOAR, qu'est-ce que c'est ?

Le SOAR fait référence à trois capacités logicielles clés qu'utilisent les équipes de sécurité : la gestion des cas et des workflows, l'automatisation des tâches et la centralisation de l'accès, de l'interrogation et du partage des renseignements sur les menaces.

En savoir plus sur la sécurité

Produits

Red Hat Certificate System

Structure de sécurité qui gère les identités des utilisateurs et préserve la confidentialité des communications.

Red Hat Advanced Cluster Security Kubernetes

Solution de sécurisation des conteneurs native pour Kubernetes et adaptée aux entreprises, qui permet de créer, de déployer et d'exécuter des applications cloud-native de manière sécurisée.

Red Hat Insights

Service d'analyses prédictives qui aide à identifier et à écarter les menaces qui compromettent la sécurité, les performances et la disponibilité de votre infrastructure Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Console unique pour le contrôle des clusters et applications Kubernetes, avec des politiques de sécurité intégrées.

Articles liés

Ressources

Résumé

Renforcer la sécurité et la cohérence du cloud hybride

Checklist

Quatre solutions pour renforcer la sécurité dans le cloud

Pour aller plus loin

RÉSUMÉ

Sécurité et conformité de Red Hat Enterprise Linux

CHECKLIST

6 façons de renforcer la sécurité grâce au cloud computing

LIVRE NUMÉRIQUE

Rapport sur l'état de la sécurité de Kubernetes 2022

LIVRE BLANC

Une approche multicouche de la sécurité des conteneurs et de Kubernetes

RAPPORT

Global Tech Outlook 2022 : un rapport de Red Hat

PRÉSENTATION DE TECHNOLOGIE

Comment déployer une solution DevSecOps complète

LIVRE NUMÉRIQUE

Renforcer le niveau de sécurité et de conformité

CHECKLIST

Priorités en matière de sécurité et de conformité pour la modernisation de l'environnement informatique

CHECKLIST

6 pratiques pour renforcer votre infrastructure informatique