Transposer et dépasser les stratégies de sécurité traditionnelles
La migration des SI vers le cloud bouleverse non seulement l’approche de la sécurité des serveurs et des applications migrées, mais aussi celle de la sécurité du poste de travail et de l’écosystème utilisateur. L’accélération des usages nomades, la possibilité d’accéder au cloud d’entreprise depuis un terminal banalisé (ordinateur domestique, smartphone) estompent fortement les lignes de démarcation entre l’intérieurdu SI et le monde extérieur.
Aussi les stratégies de défense traditionnelles, concentrées sur la défense du périmètre extérieur du réseau d’entreprise,perdent de leur pertinence et doivent être remplacées par un effort de sécurisation mieux réparti sur toutes les composantes du SI : identification et durcissement des applications critiques, classification et gouvernance des données, chiffrement des contenus plutôt que chiffrement des media et des supports, contrôle plus fin des identités, des rôles et des accès.
Comprendre le partage de la responsabilité avec le fournisseur
Le fournisseur de cloud et le client du cloud ont chacun leur rôle à jouer dans la sécurisation du système, avec un partage des responsabilités différent suivant le type de solution cloud choisie (SaaS, PaaS, IaaS).
Si ce principe du partage de la responsabilité est largement connu, le rapport Oracle/KPMG 2018 sur la sécurité du cloud a néanmoins établi que moins de la moitié des entreprises (43%) est capable d’identifier correctement la frontière des responsabilités habituelle dans un modèle IaaS.
Cette confusion concernant la répartition desresponsabilités de sécurité s’étend également au domaine de la conformité. A titre d’exemple, un client traitant des données de paiement n’hérite pas de laconformité PCI-DSS de son fournisseur de cloud.
Les implications réglementaires (GDPR notamment) de la migration vers le cloud sont elles aussi complexes et nécessitent pour le client de cascader à son fournisseur un certain nombre d’obligations.
Gérer les identités en environnement complexe
L’intensification des usages nomades, l’accès aux applications cloud de l’entreprise par des partenaires extérieurs (clients, fournisseurs, partenaires voire objets connectés) et finalement la nécessité pour les entreprises de gérer des bases d’utilisateurs multiples, complexifie la gestion et le contrôle des comptes et des droits d’accès.
Le rapport Oracle/KPMG montre par exemple que 36% des entrerprises utilisatrices du cloud ne disposent pas d’unesolution centralisée de gestion de leurs identités utilisateurs. La migration vers le cloud nécessite de repenser la stratégieIAM de l’entreprise en la centralisant et en y incluant l’ensemble des catégories d’utilisateurs (y compris les partenaires externes) et toutes les catégories de terminaux et d’objets à identifier (laptops, téléphones, tablettes, IoT).
Sécuriser les développements agiles
Avec le recours au cloud, les cycles de développement et de déploiement des solutions raccourcissent, les techniques de mise en œuvre gagnent en agilité et ambitionnent de fusionner les activités de développement et de déploiement opérationnel en continu (DevOps).
La doctrine cybersécurité de l’entreprise doit s’adapter à cette évolution et intégrer la sécurité à ces cyclesde développement et de mise en production agiles, sans sacrifier la maîtrise des risques.