Des approches tournées vers l’avenir pour la sécurité dans le cloud

Drei Personen an einem Notebook diskutieren über Best Practices für Datensicherheit in der Cloud.

Garantir la sécurité des données dans les environnements hybrides et multicloud reste un défi pour les CISO et les responsables informatiques. Toutefois, de nouvelles solutions, telles que CNAPP, font leur apparition afin d’apporter de la transparence et gérer les problèmes que cela représente. Voici un aperçu des bonnes pratiques en la matière.

Texte: Andreas Heer, Image: Swisscom, Date: 4 avril 2024    5 Min.

Pour les météorologues, les structures nuageuses composées de multiples couches qui se forment dans le ciel constituent sans aucun doute un événement passionnant. Dans le domaine de l’informatique, de telles structures représentent en revanche un défi technique pour la sécurité et il s’agit pourtant d’une réalité. Selon la Global Cloud Security Study 2023 de Thales, 79 % des entreprises utilisent des environnements hybrides ou multicloud. Du point de vue de la sécurité, des solutions sont nécessaires pour gérer les problèmes que cela pose, comme le souligne Raffael Peluso, Head of Security Product Management chez Swisscom: «les éléments de base servant à mettre en place des mesures de sécurité nous donnent une image claire de l’objectif à atteindre: quelles données sont stockées dans le cloud? Et quelles sont les exigences vis-à-vis de ces données, par exemple en matière de disponibilité et de conformité?»

Les mesures de cybersécurité dans le multicloud

Pour les offres de cloud public, il est également important de comprendre quelles sont les mesures de sécurité prises en charge par le fournisseur de cloud public et celles à la charge de l’entreprise en charge en tant que cliente. Ce modèle de responsabilité partagée montre la répartition des attributions entre le fournisseur et le client. Habituellement, le fournisseur est responsable de la sécurité et de la disponibilité de l’environnement cloud à proprement dit, tandis que le client s’occupe de la protection de ses propres données et applications. Pour cette partie supérieure du cloud stack, le fournisseur de cloud propose une série de solutions de sécurité. Reste toutefois à savoir quels aspects de la sécurité une entreprise peut ainsi couvrir et sur quel point des solutions supplémentaires sont nécessaires.

Dans les environnements hybrides et multicloud, la visibilité de l’ensemble des ressources cloud et des charges de travail est essentielle pour répondre aux exigences en matière de sécurité des données et de conformité. Une approche stratégique de l’évaluation des mesures appropriées comporte plusieurs aspects techniques et organisationnels. Les principaux sont les suivants:

  • focalisation sur des solutions qui fonctionnent pour tous les prestataires, offrent une vue d’ensemble uniforme et permettent d’imposer des politiques dans l’ensemble du paysage;
  • approches Zero Trust avec architectures SASE (Secure Access Service Edge) pour sécuriser l’accès aux ressources cloud sur tous les réseaux, appareils et utilisateurs;
  • formation du personnel afin de développer une conscience de la sécurité dans le traitement des données et une culture de la sécurité (Security Awareness). Cela implique également de sensibiliser davantage les informaticiens responsables de la mise en place et de l’exploitation des environnements cloud à la sécurité;
  • prendre des mesures contre la pénurie de main-d’œuvre qualifiée, par exemple la reconversion et la formation continue du personnel, l’amélioration des conditions de travail, la formation de spécialistes, la collaboration avec des partenaires externes et des prestataires de Managed Security Services (MSSP).

Accédez facilement à cet article et au premier article sur les défis de la sécurité des données au format PDF.

Qu’est-ce qu’une architecture Secure Access Service Edge (SASE)?

Une architecture SASE sert à assurer l’identification et l’accès sécurisés des appareils et des utilisateurs aux environnements cloud. Pour ce faire, le cadre de sécurité basé sur le cloud réunit des fonctions SD-WAN et des solutions ZTNA (Zero Trust Network Access). Cela permet de garantir aux équipements terminaux un accès contrôlé et protégé aux ressources cloud, où qu’ils se trouvent. L’approche Zero Trust garantit une nouvelle identification des appareils et des utilisateurs à chaque accès. Il est donc plus difficile pour les cybercriminels d’accéder aux ressources cloud d’une entreprise à l’aide de données d’accès dérobées ou de méthodes de force brute.

Les approches et processus pour assurer la sécurité des données dans le multicloud

Le changement de paradigme vers le cloud computing a donné naissance à de nouveaux concepts qui prennent en compte le changement d’infrastructure et les besoins de sécurité des entreprises au niveau technique et au niveau des processus, en s’éloignant de la simple protection de périmètre. Ou, comme le résume Raffael Peluso: «dans les environnements multicloud, les processus se concentrent sur les interfaces de la collaboration entre différents domaines.» Voici les principales approches:

  • DevSecOps (Development, Security, Operations) associe le développement et la maintenance agiles d’applications à des mesures de sécurité et à l’exploitation. Cela signifie que la sécurité est intégrée à chaque étape du cycle de vie du logiciel et que les tests correspondants sont automatisés dans le pipeline CI/CD. La vérification comprend le code d’application et l’IaC (Infrastructure as Code, configuration automatisée des ressources). Ce processus, également appelé shift left, garantit le respect des consignes de sécurité, même lors de cycles courts de développement et de déploiement. De plus, DevSecOps aide à améliorer la sensibilisation à la sécurité chez les professionnels de l’informatique, car la sécurité informatique fait partie intégrante de chaque étape du processus.
  • Cloud Workload Protection (CWP) protège les VM et les containers pendant leur fonctionnement. CWP comprend à la fois la protection contre les cyberattaques et la surveillance visant à détecter d’éventuelles failles de sécurité, assurant ainsi une transparence globale dans le cloud sur l’état de sécurité des charges de travail.
  • Cloud Security Posture Management (CSPM) correspond en quelque sorte au niveau de conformité de CWP. Tandis que CWP assure la protection technique, CSPM vérifie les charges de travail pour détecter les erreurs de configuration et s’assurer que les consignes de sécurité (policies) sont respectées. Cela permet de veiller de manière centralisée au respect des directives de conformité.
  • Cloud Infrastructure Entitlement Management (CIEM) se charge de la gestion centralisée et uniforme des identités et des autorisations dans les environnements hybrides et multicloud. CIEM simplifie ainsi la gestion complexe de l’Identity et Access Management (IAM) à travers les différents outils des opérateurs de cloud.

Protéger les environnements multicloud avec CNAPP

Pour les solutions qui combinent de telles fonctionnalités de sécurité, la société d’études de marché Gartner a inventé le terme Cloud Native Application Protection Platform (CNAPP). CNAPP associe des mesures de sécurité traditionnelles, telles que l’analyse des logiciels malveillants et l’analyse des vulnérabilités, à des méthodes qui répondent aux exigences de sécurité spécifiques dans tous les environnements cloud. Les approches mentionnées ci-dessus, telles que DevSecOps, CWP ou CSPM, en font partie.

CNAPP offre ainsi aux entreprises une plateforme leur permettant de mettre en œuvre de manière centralisée des mesures techniques et organisationnelles pour s’assurer du respect des directives de conformité. Cela permet d’obtenir la transparence et la visibilité nécessaires pour exploiter les environnements hybrides et multicloud de manière sécurisée au-delà des frontières des fournisseurs. Puisque les solutions CNAPP sont de toute façon basées sur le cloud, elles sont généralement achetées auprès d’un fournisseur ou d’un MSSP sous forme de service.

Raffael Peluso, Head of Security Product Management, Swisscom

«En tant qu’élément de CNAPP, DevSecOps est décisif pour assurer la sécurité de bout en bout.»

Raffael Peluso, Head of Security Product Management, Swisscom

En tant que plateforme centrale, CNAPP présente un avantage majeur: tous les groupes d’utilisateurs bénéficient d’une vue d’ensemble uniforme, sont tous au même niveau et à jour. Cela permet par exemple à l’équipe de l’infrastructure cloud ou de DevOps de réagir immédiatement aux erreurs de configuration. Et en cas d’événements de sécurité, le Security Operations Center (SOC) est alerté et prend les mesures appropriées pour réagir à un éventuel incident.

Pour mieux identifier les faiblesses et les erreurs de configuration, les solutions CNAPP misent de plus en plus sur l’apprentissage automatique et d’autres formes d’intelligence artificielle. En raison du dynamisme du marché des solutions basées sur l’IA (générative), les entreprises doivent suivre l’évolution. Et vérifier, avant de prendre une décision, si la fonctionnalité IA proposée répond effectivement à leurs besoins spécifiques.

Les bonnes pratiques en matière de sécurité multicloud

Quelles mesures de sécurité sont mises en œuvre dans les environnements hybrides et multicloud et comment en déduire quelles sont les bonnes pratiques à adopter en matière de sécurité dans le cloud? En principe, ces bonnes pratiques s’appliquent indépendamment de la complexité du paysage du cloud. Les mesures techniques telles que le cryptage, la classification des données, l’authentification multifactorielle sont de toute façon obligatoires en tant que protection de base. En plus de la protection de base, CNAPP propose des mesures de protection techniques et organisationnelles supplémentaires, qui sont nécessaires dans les environnements cloud complexes. «DevSecOps est décisif pour assurer la sécurité de bout en bout», explique Raffael Peluso. «À cela s’ajoute une formation de sensibilisation à la sécurité qui s’adresse également les spécialistes de l’informatique.»

Ces mesures contribuent à obtenir une vue d’ensemble du paysage informatique de l’entreprise. Pendant son fonctionnement, la surveillance continue permet d’affiner cette vision, par exemple avec Cloud Workload Protection. À cela s’ajoute l’analyse des mesures mises en place, explique Raffael Peluso: «grâce à une surveillance continue et à des audits réguliers, les entreprises identifient les écarts et améliorent la transparence dans l’environnement cloud.» Ainsi, les entreprises ne considèrent pas les différentes structures nuageuses uniquement comme un défi. Elles en tirent aussi les bénéfices souhaités.

Découvrez le premier article sur les défis de la sécurité des données dans les environnements hybrides et multi-cloud auxquels les RSSI doivent faire face. Téléchargez les deux articles maintenant.

Téléchargez la série d'articles « Sécurité des données »

Le lien pour le téléchargement vous sera envoyé par e-mail par la suite.

Vous trouverez ici nos règles de protection des données, y compris notre politique de confidentialité en ligne, ainsi que les possibilités de révocation du traitement des données ou de désabonnement des newsletters: Règles de protection des données (ouvre une nouvelle fenêtre)