Par Eric Heddeland - VP EMEA Europe du Sud & Marchés Émergents chez Barracuda Networks
En 2020, les entreprises ont massivement opéré leur migration vers le Cloud, qu’il soit hybride, privé ou public. Selon une étude réalisée par le Gartner, les investissements dans ces solutions devraient augmenter de 50% d’ici 2022. Mais ce passage obligé vers un nouveau modèle d’externalisation de l’hébergement des données et des applicatifs n’est pas sans problèmes. La migration crée aussi des failles, au plus grand plaisir des hackers et au plus grand dam des entreprises. D’autant que les clients sont aussi responsables de la sécurité des plateformes qui hébergent leurs data et leurs applications. Il n’est pourtant pas si difficile de protéger leur Cloud quel qu’il soit.
Essor du Cloud et failles de sécurité
Avec la transformation digitale, les technologies Cloud sont désormais matures. Elles se déclinent selon différents types : hybride, privé, public. Le Cloud abrite des données de différentes formes et formats et propose des capacités de stockage impressionnantes qui ne cessent de croître. Le Cloud a surtout permis à beaucoup d’entreprises de gagner en souplesse dans leurs propres process. Désormais, les données bougent. Elles sont vivantes, elles s’échangent et se transforment d’une filiale à l’autre.
Tout bénéfice technologique crée de nouvelles failles. En effet, le Cloud est devenu le nouveau terrain de chasse des hackers. Cette souplesse d’usage a eu pour corollaire de créer de nouvelles et nombreuses failles de sécurité. Les applications développées par des entreprises ou intégrées dans les portefeuilles applicatifs des entreprises s’interfacent le plus souvent mal entre elles et créent des brèches pour les hackers. Si bien que le Cloud est devenu un vecteur de transport d’attaques potentielles de premier choix.
Mieux se protéger: une responsabilité client
Peu le savent, mais il est de la responsabilité d’une entreprise de mettre en place des outils de protection face à la permissivité des attaques. Avant la transformation digitale, les sociétés étaient responsables de leurs propres systèmes d’information. Pour elles, il était naturel d’avoir leur propre système de défense interne à l’entreprise. Avec la migration de leurs données et applicatifs dans le Cloud, elles pensent par réflexe que la migration les désengage de leur responsabilité sécuritaire. Or ce qu’offrent certaines plateformes c’est avant tout une qualité de services et un accompagnement. Les principaux providers de Cloud offrent un ensemble de solutions standardisées. La démarche de créer une configuration de sécurité renforcée est de la responsabilité du SI de l’entreprise.
Les outils qui assurent efficacement et intégralement la sécurité du Cloud existent. Il serait impossible de couvrir de manière synthétique l’ensemble des cas potentiels d’attaques et donc de protection. Nous pouvons cependant énoncer un principe de base. Il est essentiel de s’assurer que la solution présente une couche de sécurisation à trois niveaux : au niveau de la donnée, au niveau des applications et au niveaux du réseau. Elle doit également être en mesure de sécuriser les interfaces ainsi que les liens entre les différents produits embarqués dans le Cloud via des firewalls physiques ou virtuels. Car pour rappel ces interfaces sont les plus vulnérables. Il faut également choisir une solution qui permette de réaliser le scan des différentes configurations et veiller à ce qu’elle propose un back-up en cas de perte de données lors de la migration.
Un principe reste immuable : le développement des applications d’une entreprise est tellement vaste et personnalisé qu’une plateforme préconfigurée par les acteurs du Cloud ne sera jamais suffisante en terme de sécurité. C’est à l’entreprise qu’incombe cette tâche par la mise en place de solutions de sécurité adaptées à la diversité de leurs configurations.