Shared Responsibility 

La façon dont fournisseurs et entreprises utilisatrices protègent le cloud

En matière de protection du cloud public, le fournisseur et l’entreprise utilisant ce dernier partagent les responsabilités. Le modèle Shared Responsibility en régit de façon détaillée l’étendue.

Texte: Christoph Widmer, Images: tnt-graphics, 28 mai 2019

Puissance de calcul sur simple pression d’un bouton. Des applications commerciales accessibles à tout moment. Des environnements de développement prédéfinis à la disposition des services informatiques: le cloud a fondamentalement changé la façon de se servir de l’informatique. Ce faisant, le sujet de la sécurité de l’information (sécurité informatique, protection de l’information et des données) est devenu plus complexe. La sécurité du cloud public, en particulier, conduit régulièrement à des malentendus et à de fausses hypothèses parmi les utilisateurs du cloud. Pour autant qu’ils veulent s’orienter vers les modèles classiques d’externalisation et être soulagés des charges en matière de sécurité, celle du cloud ne peut pas être entièrement déléguée à son fournisseur. Les utilisateurs du cloud sont conjointement responsables de sa sécurité s’ils veulent vraiment obtenir, de manière sécurisée, des applications, des environnements de développement ou des instances de serveur virtualisées à partir du cloud public.

«Pour simplifier: le fournisseur de services cloud est responsable de la sécurité de l’infrastructure cloud, tandis que le consommateur est responsable de la sécurité dans le cloud».

Klaus Gribi, Senior Security Consultant de Swisscom

Le modèle Shared Responsibility réglemente les domaines de responsabilité des utilisateurs et des fournisseurs du cloud. Formulé à l’origine par Amazon Web Services et Microsoft Azure, ce modèle de responsabilité en matière de sécurité et de conformité est désormais utilisé par d’autres fournisseurs de cloud. «Pour l’essentiel, le modèle Shared Responsibility distingue la sécurité du cloud public lui-même (Security of the Cloud) et la sécurité DANS le cloud public (Security in the Cloud)», précise Klaus Gribi, Senior Security Consultant pour Swisscom. «Pour simplifier: le fournisseur de services cloud est responsable de la sécurité de l’infrastructure Cloud, tandis que le consommateur est responsable de la sécurité dans le cloud».

Le modèle de Shared Responsibility de Microsoft Azure.  

Les responsabilités varient en fonction du modèle de service cloud utilisé par le consommateur:

  • Infrastructure as a Service: le fournisseur de cloud assume peu de responsabilités.
    La majorité des utilisateurs de cloud sont les seuls responsables de la sécurité des solutions IaaS: ils sont responsables de la sécurité du système d’exploitation, des données et des applications. Le fournisseur de cloud est uniquement responsables de la protection de la plateforme de virtualisation.

  • Platform as a Service: le fournisseur de cloud est tenu à plus d’obligations.
    Avec l’offre PaaS, le fournisseur de cloud prend en charge la sécurité de l’ensemble de l’environnement de développement ainsi que des systèmes d’exploitation et des bases de données. En contrepartie, l’utilisateur est en charge de la sécurité et de la gestion des applications et des données développées et exploitées sur la plateforme.

  • Software as a Service: l’utilisateur est déchargé de toute responsabilité.
    Dans le cadre d’une offre SaaS, le fournisseur de services s’occupe de la majeure partie des aspects de la sécurité: Outre la gestion des utilisateurs et des données stockées dans le cloud, il s’occupe de toute la sécurité de ce dernier. Les utilisateurs de services SaaS sont responsables de la protection des données et informations. «En gros, les utilisateurs de solutions SaaS sont uniquement chargés de s’assurer que la gestion des identités et des accès est mise en œuvre correctement et de transférer dans le cloud les données qu’ils veulent y mettre», explique Klaus Gribi. «Ils peuvent renforcer la sécurité des données externalisées en les cryptant le cas échéant.»

Les domaines de responsabilité peuvent diverger

Bien que le modèle Shared Responsibility soit souvent une règle empirique, les domaines techniques dont les utilisateurs et les fournisseurs du cloud sont responsables peuvent varier d’un cas à l’autre. «Certes, le client d’un service IaaS est responsable de la sécurité à partir du système d’exploitation; cependant, il arrive que des fournisseurs installent des composants dans le système d’exploitation, afin de superviser les performances des instances virtualisées par exemple», explique Klaus Gribi. «Même dans le modèle Shared Responsibility, il est des frontières spécifiques aux fournisseurs qui peuvent être franchies de façon dynamique.»

 

En outre, l’utilisateur du cloud peut externaliser certains domaines d’activité: Si, par exemple, il opte pour un OS géré d’une instance IaaS, il n’est plus responsable du système d’exploitation, mais c’est le fournisseur du cloud ou un fournisseur tiers qui le devient. Toutefois, dans certaines circonstances, la gestion des pare-feu peut rester la tâche de l’utilisateur de cloud - la Shared Responsibility devient de plus en plus complexe. Les Service Level Agreements (SLA) du fournisseur de cloud réglementent exactement, pour chaque cas, la façon dont les responsabilités du fournisseur et du consommateur sont réparties. C’est pourquoi il est recommandé que les utilisateurs de cloud les lisent attentivement. Ce n’est qu’ainsi qu’ils seront en mesure de prendre eux-mêmes les mesures de sécurité appropriées - et de protéger au mieux les services cloud qu’ils utilisent.

Des facteurs techniques et d’organisation décisifs

Outre ces aspects techniques, la Shared Responsibility comprend également d’autres facteurs. A titre d’exemple, les utilisateurs de cloud ont besoin de savoir comment leur Chief Information Security Officer peut travailler avec l’organisation de sécurité du fournisseur de cloud:

 

  • Comment les processus de gestion des vulnérabilités sont-ils gérés exactement?
  • Quelle procédure le fournisseur suivra-t-il pour gérer les incidents de sécurité?
  • Comment les informations fournies par le portail Cloud Security du fournisseur de cloud sont-elles intégrées dans ses propres processus de sécurité?

 

«La question de la sécurité du cloud ne s’arrête donc pas au niveau de la sécurité technique, mais touche également les utilisateurs du cloud sur un plan administratif et organisationnel», note Klaus Gribi. «Ces facteurs sont déjà essentiels dans l’évaluation et le choix d’un fournisseur de cloud approprié.»

Hand with smartphone

Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?

> Inscription

En savoir plus sur ce thème