À l’occasion de l’édition 2021 du FIC (Forum International de la Cybersécurité), nous avons interrogé Edouard Camoin, VP Résilience chez 3DS OUTSCALE, sur le sujet de la sécurité dans le Cloud. Il s’ensuivit une interview riche en informations et conseils pratiques pour toute entreprise qui souhaite mettre en place un projet Cloud. Bonne lecture !
— Qu’est-ce qu’un Cloud sécurisé ? Comment s’assurer que le Cloud provider soit en mesure de garantir la sécurité des données ?
— Un Cloud sécurisé, c’est un Cloud qui va apporter un certain nombre de garanties à ses clients, notamment en termes de disponibilité, de confidentialité, de traçabilité ou d’intégrité de la donnée. Le Cloud provider doit justifier de cette sécurité au travers de certifications qui vont permettre d’assurer à son client qu’il a bien couvert un certain nombre de points de sécurité, qu’ils soient techniques ou organisationnels. Les certifications les plus connues seraient celles de la gamme ISO 27000. Il en existe de différents types pour différents sujets ou différents types d’activités.
En France, il y a des certifications, ou qualifications, « gouvernementales », émises par l’Agence nationale de la sécurité des systèmes d’information, et notamment la qualification SecNumCloud pour les Cloud providers. Elle permet aux clients de ne pas avoir à auditer par eux-mêmes la sécurité du fournisseur Cloud. C’est ce que l’on appelle la transparence : ces certifications vont permettre de décrire aux clients les mesures de sécurité mises en œuvre, que ce soit sur le plan organisationnel ou technique. L’utilisateur pourra comparer les éléments aux points de la norme en parcourant les différents sujets traités. C’est très important, quand on contractualise avec un Cloud provider, de lui poser la question du périmètre couvert par l’ensemble de ses certifications.
— 3DS OUTSCALE a récemment co-développé un livre blanc « Sécurité dans le Cloud : un modèle à responsabilité partagée ». Concrètement, en quoi consiste ce modèle ?
— Quand on parle de sécurité, ce n’est jamais tout blanc ou tout noir. En effet, on parle de “chaine de confiance”. Tous les acteurs de la chaine contribuent à la sécurité. Ce n’est pas parce qu’un Cloud sécurisé apporte un certain nombre de garanties que l’utilisateur se retrouve dédouané de tous les concepts de sécurité qu’il doit prendre à sa charge.
Le Cloud, ce n’est pas une baguette magique. Certains sujets restent à la charge de l’utilisateur, qui doit notamment se poser les bonnes questions. “Est-ce que mes données peuvent être hébergées n’importe où ?” “Serait-il judicieux de faire appel à des Clouds qui sont souverains ?” “Est-ce que le cadre réglementaire m’y autorise ou non ?” “Le fournisseur de Cloud assure-t-il la gestion des droits d’utilisateurs ?” “Qu’est-ce qui reste à ma charge ?”
Il y a tout un tas de questions à se poser. Il faut bien comprendre l’offre fournie par le Cloud provider afin de bien comprendre où s’arrête sa responsabilité et où commence celle de l’utilisateur. En général, plus on est en bas dans les couches de Cloud, plus il reste de sujets à charge du client, notamment toute la partie applicative. Dans ce cas de figure, le Cloud provider fournit dans l’ensemble tout ce qui est couches d’infrastructure. En revanche, plus on monte dans les couches, plus de sujets le Cloud provider prend en charge. Mais cela ne veut pas dire zéro responsabilité à l’utilisateur ! Pour conclure, il est primordial de comprendre où commence et où s’arrête la responsabilité de chacun.
— Quelles sont les mesures à adopter par l’utilisateur afin de s’assurer que ses données sont protégées ?
— Le point initial, c’est de penser à la sécurité dès le début du projet : on parle de Security by Design. En réalité, les entreprises oublient souvent ce point. Elles intègrent la sécurité tardivement dans les projets, soit en phase d’implémentation, voire parfois en phase de production. Le sujet revient alors après que le contrat est signé et le projet lancé. Si la sécurité n’est pas pensée dès le début, il y aura certainement des surcoûts cachés. Des systèmes qui n’auront pas été mis en place avec les éléments de sécurité nécessaires. On se retrouve alors à devoir recommencer.
Dans l’approche Security by Design, il est également important d’intégrer la gestion du risque, c’est-à-dire de se poser les questions sur l’environnement, le contexte, les menaces potentielles pour pouvoir choisir les mesures de sécurité qui conviennent le mieux et par conséquent, le bon Cloud provider. « Est-ce que le fournisseur de Cloud doit être certifié ISO 27001 ? » « Est-ce que des garanties supplémentaires sont nécessaires et, dans ce cas-là, faudrait-il viser une qualification SecNumCloud ? »
Quand la sécurité est considérée dès le début du projet, c’est beaucoup plus facile, finalement, de l’intégrer et de la suivre dans le temps que de rattraper un existant. De plus, une fois que le projet est mis en œuvre, il faut penser à son maintien en conditions de sécurité, c’est-à-dire assurer les montées de version, par exemple. Des vulnérabilités sont susceptibles d’apparaître dans le temps parce que les logiciels ont des failles de sécurité, comment alors gérer ce cycle de vie ?
— Nous avons constaté une forte évolution quant au nombre et à la qualité des cyberattaques. Quelle serait la réponse ?
— Le fait de penser dès le début la manière dont vous opérez votre système vous permettra de mieux répondre aux évolutions du contexte et de la menace. Prenons le cas de 3DS OUTSCALE : les menaces ont énormément évolué dans le temps. Au début, nous essayions de cibler les cyberattaquants qui étaient plutôt opportunistes. Plus l’entreprise grossit, plus nous devons faire face aux attaquants très puissants que nous allons devoir mitiger. Forcément, la réponse à la menace de sécurité ne peut pas rester la même dans le temps. C’est pour cela que c’est important de le penser dès le début, d’avoir un système qui est évolutif et capable de s’adapter à l’environnement dans lequel il va vivre.
Retrouvez l’intégralité de l’interview sur outscale.tv.