Le Cloud implique une politique de sécurité adaptée
Le Cloud est un secteur très dynamique. Quelles que soient leur taille et leur activité, de plus en plus d’entreprises migrent une partie de leur Système d’information (SI) dans le Cloud. C’est surtout le cas pour les services d’application à la demande (SaaS pour « Software as a service »). Ce secteur atteindra 105 milliards de dollars cette année selon une étude de Forrester.
Si ces solutions présentent d’indéniables atouts, il convient d’avoir une vision globale et détachée. Il est nécessaire d’appréhender l’ensemble des problématiques liées aux services et hébergements accessibles à distance. Or, beaucoup d’entreprises ne retiennent principalement que les bons côtés. Elles oublient d’intégrer le Cloud dans leur gestion des risques numériques.
Des forteresses
Certes, les données hébergées dans un data center bénéficient d’un niveau de protection plus fort qu’en local. Contrôles stricts des accès utilisateurs et administrateurs, redondance des sauvegardes, vidéosurveillance (en plus des badges) des accès physiques… Les data center sont des forteresses ! Mais comme tout système et infrastructure, le risque zéro n’existe pas. Vulnérabilités logicielles, défaillance technique, tentatives d’attaques externes ou internes, pertes de données intentionnelles ou non…, les risques sont variés.
Ce constat a été rappelé par le CESIN (Club des experts de la sécurité informatique et du numérique) à l’occasion d’une récente étude. Principale conclusion : un manque de maturité des pratiques de sécurité. 47 % des sondés (90 RSSI) expliquent n’avoir pas du tout intégré la dimension cloud au sein de leur politique de sécurité. Seul un quart a développé une politique spécifique et adopté leur PSSI (Politique de sécurité des systèmes d’information).
Cloud et shadow IT
Ce constat peut s’expliquer par trois contraintes principales auxquelles sont confrontées les entreprises. Elles doivent tout d’abord répondre à un dilemme : faciliter l’accès aux données sensibles tout en contrôlant et supervisant les utilisateurs dignes de confiance et pouvant, dans certains cas, modifier ou supprimer des comptes (cet accès à privilèges ou root implique de mettre en place une PAM : Privileged access management). Autre contrainte : le développement du « shadow IT ». Par souci d’efficacité, de plus en plus de métiers n’attendent plus que leur DSI mette à leur disposition de nouvelles applications : ils décident eux-mêmes d’installer tel ou tel logiciel.
Dans ces deux cas, un contrôle strict des accès et des identités est indispensable. Il permet de respecter la législation en vigueur (Loi informatique et libertés), de protéger l’activité et l’image de marque, mais également de conserver la confiance des clients.
Auditer, négocier, estimer…
La troisième contrainte pointée par l’étude du CESIN concerne la communication avec les fournisseurs de Cloud. 58 % des RSSI (responsables de la sécurité des systèmes d’information) interrogés n’arrivent pas à modifier (compatibilité des applications, paramètres de sécurité…) les contrats de leurs prestataires et 62 % déplorent que les sous-traitants ne soient pas nommés dans le contrat. Autre reproche : les difficultés à pouvoir mener des audits.
Or, auditer une solution SaaS et faire des tests d’intrusion avant le démarrage d’un service font partie des dix recommandations du CESIN. Ce club rappelle qu’il convient aussi:
- d’estimer la valeur des données que l’entreprise souhaite externaliser ;
- d’effectuer une analyse de risques du projet en considérant ceux inhérents au cloud (risques juridiques, risques techniques et de sécurité) ;
- d’analyser les écarts entre les réponses et ses exigences afin de négocier chaque point ;
- faire valider le contrat par un juriste.
En conclusion, l’être humain reste toujours l’un des maillons essentiels de la sécurité informatique. La sensibilisation, aux risques liés au Cloud, des RSSI, DSI mais aussi du Comité de Direction doit être une priorité.