BLOG

Plusieurs Clouds ? Risques multiples.

Miniature de Lori MacVittie
Lori MacVittie
Publié le 27 juillet 2020

La plupart des organisations opèrent dans plusieurs propriétés cloud en plus de leur propre cloud privé sur site. Au cours des trois dernières années, nous avons posé des questions sur les défis et les frustrations auxquels sont confrontés les professionnels de tous les métiers de l'informatique lorsqu'ils opèrent dans ce mode.

Chaque année, la réponse la plus fréquente est la même : la cohérence.

Ce n’est pas une surprise. Les organisations fonctionnent encore largement en équipes cloisonnées, et l’introduction du cloud public n’a rien changé à cela. En fait, cela a largement augmenté le nombre de silos, car les équipes axées sur le cloud sont souvent nécessaires pour s'adapter correctement aux tableaux de bord, aux consoles et aux modes de fonctionnement uniques de chaque cloud public.

Cette réalité rend plus difficile la sécurisation des applications dont les organisations, et non les fournisseurs de cloud, sont responsables. Les défis découlent en partie de l’utilisation de services de sécurité hétérogènes qui peuvent ou non fournir la parité des politiques requises pour sécuriser suffisamment une application selon les attentes de l’entreprise. Les capacités d’un service de sécurité peuvent ne pas être les mêmes que celles d’un autre. Si vous dépendez d'une fonctionnalité pour protéger une application et qu'elle est disponible dans un cloud mais pas dans l'autre, vous ne pouvez pas obtenir une sécurité cohérente.

Il n’est donc pas surprenant qu’un rapport de Sophos sur l’état de la sécurité du cloud en 2020 ait révélé un nombre plus élevé d’incidents de sécurité parmi les organisations opérant dans plusieurs propriétés cloud :

« Les organisations multi-cloud ont signalé davantage d'incidents de sécurité au cours des 12 derniers mois. Soixante-treize pour cent des organisations interrogées utilisaient deux ou plusieurs fournisseurs de cloud public et ont signalé davantage d'incidents de sécurité que celles utilisant une seule plateforme.

Le rapport a clarifié davantage la source de ces incidents, constatant que les failles de sécurité causées par une mauvaise configuration ont été exploitées dans 66 % des attaques, réparties en trois catégories : 

  • 33 % des identifiants de compte Cloud volés
  • 22 % Mauvaise configuration des ressources cloud 
  • 44 % Pare-feu d'application Web mal configuré

Une mauvaise configuration peut être le résultat de plusieurs choses. Les fautes de frappe sont courantes. Une mauvaise interprétation de la terminologie ou une mauvaise compréhension du modèle politique peuvent en être une autre.

Pour réduire les fautes de frappe et autres erreurs d’origine humaine, l’automatisation entre souvent en jeu. Mais cela n’aide pas dans ce dernier cas, où les différences dans les modèles de politique et les langues peuvent être une source de confusion qui conduit à des erreurs de configuration.

La meilleure réponse aujourd’hui pour résoudre le problème de mauvaise configuration est la standardisation. Le choix d’un ensemble standard de services de sécurité fonctionnant dans chaque environnement dans lequel vous avez besoin qu’ils fonctionnent contribuera grandement à éliminer les erreurs de configuration. En se concentrant sur un seul ensemble de services de sécurité, les compétences acquises sont conservées dans toutes les propriétés cloud. L’expertise repose sur l’expérience et, en se concentrant sur un ensemble plus restreint de langages et de modèles de politiques, les organisations peuvent aborder avec plus de confiance la sécurisation des applications dans n’importe quel environnement.

La normalisation agit également comme un multiplicateur de force pour l’automatisation en permettant la réutilisation du code, des scripts et des modèles qui provisionnent, déploient et gèrent les services de sécurité sur plusieurs clouds. Les artefacts d’automatisation deviennent renforcés et optimisés par l’utilisation et la réutilisation, ce qui inspire une plus grande confiance dans l’utilisation du cloud.

Le cloud est là pour rester, tout comme la réalité des multiples clouds par organisation. Mais cela ne signifie pas que nous devons accepter la réalité d’une augmentation des incidents de sécurité. En abordant délibérément les services de sécurité dans une optique de standardisation et en prêtant attention aux structures organisationnelles internes qui peuvent entraver la collaboration, les organisations peuvent prendre des mesures positives pour améliorer la sécurité, étendre l’automatisation et optimiser les compétences et l’expertise de leurs atouts les plus précieux : leur personnel.