DataDome

Qu’est-ce que la sécurité du Cloud et quels sont les principaux risques et enjeux liés au Cloud en 2021 ?

Table des matières
Bot management DDoS
Paige Tester, Director of Content Marketing
16 Jul, 2019
|
min

Le « cloud computing » correspond à la prestation de services via Internet, qu’il s’agisse d’infrastructures de stockage, de réseaux, de serveurs, d’applications, de bases de données ou de tout autre service. Qu’elles soient grandes ou petites, de nombreuses entreprises migrent vers le cloud pour faire des économies, améliorer leur productivité et s’adapter plus rapidement à l’évolution des environnements de marché. Dans le cadre d’une étude réalisée par O’Reilly en 2020 auprès de 2 183 ingénieurs et cadres dirigeants, 88 % des participants ont déclaré utiliser le cloud d’une manière ou d’une autre. De plus, 25 % des personnes interrogées ont affirmé que leur entreprise comptait migrer toutes ses applications vers le cloud en 2021.

Pour rendre compte de la popularité du Cloud, il suffit de constater le succès des fournisseurs de ce type de services. Amazon Web Services (AWS) a réalisé un chiffre d’affaires de 11,60 milliards de dollars au troisième trimestre 2020, ce qui en a fait l’un des services les plus importants du groupe. De même, la société de logiciels cloud Slack était évaluée à 20 milliards de dollars lors de son lancement public en avril 2019. Enfin, Salesforce, leader du CRM Cloud, affiche une capitalisation boursière de plus de 125 milliards de dollars. Nous pourrions citer bien d’autres d’exemples d’entreprises de cloud d’une valeur de plusieurs milliards de dollars qui ont basé leur logiciel sur cette technologie et offrent des services cloud à leurs clients.

Toutefois, tout ce qui est créé dans le cloud doit être correctement sécurisé. Par « sécurité du Cloud », on entend l’ensemble de politiques, contrôles, procédures et technologies qui protègent tout ce qui a trait au cloud computing. Les fournisseurs de cloud ne sont jamais responsables à 100 % de la sécurité du cloud : celle-ci est en effet partagée entre les entreprises qui fournissent ce service et celles qui l’utilisent.

Dans cet article, nous expliquerons :

En quoi la sécurité dans le cloud diffère-t-elle des systèmes de sécurité informatique traditionnels ?

Le cloud computing est généralement plus sécurisé que les systèmes informatiques locaux. En effet, les fournisseurs de cloud sont incités à fournir la meilleure sécurité possible, car toute faille, interruption ou fuite risquerait de nuire à leurs bénéfices. Ils ont donc tout intérêt à consacrer une partie non négligeable de leurs ressources à assurer la sécurité des données, infrastructures ou applications de leurs clients. Toutefois, ils ne peuvent pas contrôler totalement la manière dont les clients utilisent leurs services, les utilisateurs qu’ils ajoutent, les données qu’ils téléchargent, etc.

De plus, les environnements cloud sont fortement interconnectés, ce qui représente la grande différence par rapport aux environnements informatiques traditionnels. En effet, ces derniers ont un périmètre relativement évident qui peut être sécurisé en limitant l’accès, contrairement aux environnements cloud dont les limites ne sont pas si faciles à déterminer. À titre d’exemple, imaginons qu’un employé accède à des données d’entreprise importantes stockées dans le cloud depuis un appareil non reconnu. À quel point l’appareil est-il sécurisé ? Est-ce réellement l’employé qui accède aux données ? À quel point le réseau qu’il utilise est-il sécurisé ?

Ainsi, une bonne stratégie de sécurité du cloud consistera d’abord à sécuriser les zones les plus vulnérables aux menaces externes, comme les sites web, les applications publiques et les API. Les différents types de cyberattaques, en particulier les attaques de botnets, représentent les menaces externes les plus dangereuses. C’est de cela que logiciels de gestion de bot vous protègent. Toutefois, il est tout aussi impératif de sécuriser les zones vulnérables aux menaces intérieures grâce à des techniques et technologies comme la gestion des identités et des accès (IAM), le chiffrement, les politiques de rétention des données, etc. Nous y reviendrons plus tard.

Quels sont les différents modèles d’architecture de sécurité dans le cloud ?

Quelle est votre part de responsabilité en matière de sécurité et quelle est celle du fournisseur cloud ? Tout dépend de votre architecture de sécurité dans le cloud. Voici les quatre principaux modèles d’architecture de cloud adoptés par les entreprises :

  • Les clouds publics. L’entreprise loue une capacité informatique ou un espace de stockage sur un serveur cloud partagé avec d’autres locataires. C’est ce qu’on appelle le stockage multi-locataires. Bien qu’il soit rentable, ce modèle d’architecture n’est pas entièrement privé. Tous les locataires signent un Service Level Agreement (SLA), c’est-à-dire une entente de niveau de service, où ils s’engagent à ne pas compromettre l’intégrité du serveur qu’ils utilisent.

  • Les clouds tiers privés. L’entreprise loue un serveur privé à son fournisseur de cloud. Elle dispose ainsi d’un usage exclusif du serveur. Ce modèle d’architecture est plus coûteux, mais il pose moins de problèmes en matière de sécurité.

  • Clouds privés locaux. L’entreprise possède ses propres centres de données, composés de serveurs cloud à locataire unique.

  • Clouds hybrides. L’entreprise combine clouds privé et public, souvent hébergés par plusieurs fournisseurs.

Outre votre modèle d’architecture de sécurité dans le cloud, vous devez aussi comprendre quelles sont les responsabilités du fournisseur et les vôtres dans tous les cas de figure, et lesquelles peuvent varier selon le type de service cloud que vous utilisez. Nous examinerons ici les trois types de services cloud les plus fréquents et votre niveau de responsabilité en matière de sécurité pour chacun d’entre eux.

IaaS

Les services cloud IaaS (Infrastructure-as-a-Service ou infrastructure en tant que service) vous fournissent des infrastructures tels que des serveurs, réseaux, systèmes d’exploitation et stockage. Ils sont semblables aux centres de données traditionnels, mais vous n’avez pas à les opérer physiquement. Les fournisseurs de cloud sont responsables d’assurer la sécurité de ces infrastructures, mais rien de plus. En ce qui vous concerne, vous devez sécuriser tout ce qui est en amont de l’infrastructure : applications, données, environnement d’exécution, intergiciels, accès utilisateur, trafic réseau, systèmes d’exploitation, etc.

Exemples de services cloud IaaS : AWS, Microsoft Azure et DigitalOcean.

PaaS

Les services cloud PaaS (Platform-as-a-Service ou plateforme en tant que service) fournissent un espace test pour développer des applications. C’est là que vos développeurs peuvent créer des logiciels. Dans ce cas de figure, les fournisseurs de cloud sont responsables des environnements d’exécution, des intergiciels et du système d’exploitation. Vous êtes responsable de la sécurité des applications que vous créez, de l’accès utilisateur et du trafic réseau.

Exemples de services cloud PaaS : AWS Elastic Beanstalk, Heroku et Google App Engine.

SaaS

Le SaaS (Software-as-a-Service ou logiciel en tant que service) est le type de service cloud le plus utilisé et le plus connu. Il permet d’accéder à des applications complètes depuis votre navigateur. Le fournisseur cloud est responsable de la plupart des mesures de sécurité, car c’est lui qui gère l’application en elle-même, les données, les environnements d’exécution, les intergiciels et les systèmes d’exploitation. Votre part de responsabilité en termes de sécurité dépendra du contrat que vous avez négocié avec le fournisseur.

Exemples de services cloud SaaS : Slack, Box et Zoom.

Quels sont les principaux risques en matière de sécurité dans le cloud ?

Comme mentionné plus haut, le principal risque en matière de sécurité dans le cloud est l’absence de périmètre évident de l’environnement. Selon votre architecture de sécurité dans le cloud, les menaces peuvent provenir d’une erreur humaine, comme un serveur mal configuré, d’acteurs externes malveillants, comme une attaque bot Layer 7 DDoS ciblant les points vulnérables de votre application web, d’un mauvais contrôle utilisateur, comme un employé frustré avec un accès trop large qui exposerait les données de l’entreprise, ou de tout autre angle.

De plus, il est également possible que les fournisseurs de cloud n’offrent pas un degré de sécurité suffisant. À chaque plantage des serveurs AWS dans une partie du monde (ce qui reste toutefois assez rare), la plupart des sites web qui sont construits dessus plantent aussi. Partager un serveur avec d’autres entreprises, c’est-à-dire le stockage multi-locataires que nous avons évoqué plus haut, présente aussi certains risques. Si l’une des entreprises de votre serveur cloud partagé expose le serveur à des dangers potentiels, vous pourriez aussi en souffrir les conséquences. C’est pourquoi les grandes entreprises insistent souvent pour avoir des serveurs cloud privés.

Malgré ces risques, il est tout à fait possible de sécuriser correctement votre environnement cloud. Comme nous l’avons déjà mentionné, les environnements cloud sont généralement plus sûrs que les environnements traditionnels, mais il est nécessaire de changer de priorité et de s’attacher non pas au périmètre de votre environnement, mais à ce qu’il contient.

Comment vous protéger des problèmes de sécurité dans le cloud ?

Sécurisez vos données

La sécurité des données correspond aux outils et technologies que vous utilisez pour bloquer ou limiter la visibilité des données stockées dans le cloud. La plupart du temps, les données sont chiffrées, une technique qui relève généralement de la compétence des fournisseurs de cloud. Vos données sont plus sécurisées quand elles sont chiffrées à la fois en transit et au repos. Ainsi, si un bot ou un pirate intercepte ou accède à vos données, il ne verra qu’un mélange de lettres et de symboles incompréhensibles sans vos clés de chiffrement.

En règle générale, vos données de chiffrement sont stockées par les fournisseurs de cloud, bien que les grandes entreprises préfèrent souvent les conserver elles-mêmes. Dans ce cas, il est généralement recommandé de ne pas stocker ces clés dans le cloud (qu’il soit privé ou non) et d’en faire plusieurs sauvegardes.

Limitez l’accès des utilisateurs

La gestion des identités et des accès (IAM) désigne les règles et protocoles liés à l’accès utilisateur, l’authentification et l’autorisation. Tous les utilisateurs n’ont pas besoin d’accéder au cloud de manière égale et vous devez modifier les autorisations en conséquence. Cette mesure est particulièrement importante si les utilisateurs peuvent accéder à vos données depuis n’importe quel appareil dans les configurations de type Bring Your Own Device (BYOD). En adoptant une bonne stratégie IAM, vous pourrez doser l’accès à vos données en fonction de vos besoins.

Par défaut, les rôles des utilisateurs du cloud sont souvent configurés de manière assez flexible. Pour des raisons de sécurité, il vaut mieux restreindre de manière stricte l’accès des utilisateurs au début, puis l’assouplir jusqu’à ce que vous trouviez un bon équilibre entre sécurité et commodité.

Sauvegardez vos données

Déterminez une stratégie de continuité des activités et de rétention des données au cas où votre fournisseur de cloud subirait une panne ou pire, perdrait vos données. Bien que cela soit plutôt rare, ne vous laissez pas prendre au dépourvu si une tempête violente met hors service les centres de données de votre fournisseur de cloud. Pensez donc à sauvegarder régulièrement vos données dans des serveurs de données locaux. Bien que tous les grands fournisseurs de cloud intègrent une redondance à leurs systèmes, mieux vaut prévenir que guérir.

Protégez vos couches externes des attaques

Les environnements cloud n’ont pas de couche évidentes susceptibles d’être attaquées, mais ils ont tout de même des îlots qui sont visibles et accessibles au monde extérieur, comme les applications web, les API publics, les sites web, les applications mobiles, etc. Vous devez protéger ces îlots contre les menaces externes. De plus en plus, ces menaces externes se présentent sous forme de robots malveillants qui sondent vos îlots pour détecter les vulnérabilités.

Face à leur sophistication croissante, les moyens de défense les plus répandus, comme les pare-feux, ne sont plus suffisants. Les pare-feux exigent beaucoup de maintenance et ne protègent pas contre les bots avancés qui sont conçus pour contourner les systèmes de sécurité. Choisissez plutôt un logiciel spécifique de gestion des bots pour éliminer le trafic bot nuisible tout en autorisant les bots bénéfiques.

Pour résumer

La grande majorité des entreprises font confiance aux services cloud pour assurer leur bon fonctionnement. Pour sécuriser correctement votre environnement cloud, vous devez comprendre votre modèle d’architecture de sécurité dans le cloud, le type de service cloud que vous utilisez (IaaS, PaaS ou SaaS) et quels sont les principaux risques et problèmes en matière de sécurité dans le cloud. Les environnements cloud sont généralement plus sûrs que les environnements informatiques traditionnels, mais vous devez tout de même prendre quelques précautions :

  • Sécurisez vos données

  • Limitez l’accès des utilisateurs

  • Sauvegardez vos données

  • Protégez vos couches externes des attaques

DataDome est une solution de gestion des bots qui protège vos couches externes des attaques bots les plus sophistiquées. Quelle que soit votre infrastructure cloud, notre solution se déploie en quelques minutes. De plus, vous bénéficiez d’une période d’essai de 30 jours. Essayez-la dès aujourd’hui.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés