Les avantages de l\u2019infrastructure cloud n\u2019ont plus besoin d\u2019\u00eatre expliqu\u00e9s. Toutefois, la migration des applications professionnelles vers le cloud public complique souvent la vie du service de la s\u00e9curit\u00e9 de l\u2019information. En outre, la fusion d\u2019un cloud priv\u00e9 avec un cloud public (suite \u00e0 la transition vers la strat\u00e9gie du cloud hybride) est un d\u00e9fi non seulement pour le service de s\u00e9curit\u00e9 de l\u2019information, mais aussi pour celui de l\u2019informatique. Leurs inqui\u00e9tudes sont compr\u00e9hensibles : les syst\u00e8mes et les donn\u00e9es critiques pour la s\u00e9curit\u00e9 et la stabilit\u00e9 de l\u2019entreprise \u00e9chappent soudainement hors \u00e0 leur contr\u00f4le direct. Mais cette anxi\u00e9t\u00e9 est-elle justifi\u00e9e ?<\/p>\n
La plupart des grandes entreprises utilisent d\u00e9j\u00e0, d\u2019une mani\u00e8re ou d\u2019une autre, des technologies de num\u00e9risation \u2013 au moins sous la forme d\u2019un cloud priv\u00e9 (consolidation des ressources et de leur r\u00e9partition entre machines et serveurs virtuels). Mais aujourd\u2019hui, les entreprises sont de plus en plus int\u00e9ress\u00e9es par l\u2019utilisation des clouds publics, ce qui peut r\u00e9duire consid\u00e9rablement les co\u00fbts de maintenance, optimiser les accords de niveaux de service et faciliter la mise \u00e0 niveau des capacit\u00e9s.<\/p>\n
Qu\u2019est-ce que l\u2019utilisation de clouds pour traiter le probl\u00e8me de la s\u00e9curit\u00e9 des donn\u00e9es change pour les sp\u00e9cialistes de la s\u00e9curit\u00e9 de l\u2019information, et pourquoi cela les inqui\u00e8te-t-il ? Imaginons le cas de la migration d\u2019une infrastructure d\u2019entreprise vers Amazon Web Services (AWS), un leader dans l\u2019industrie du cloud public.<\/p>\n
D\u2019abord, les employ\u00e9s du service de s\u00e9curit\u00e9 de l\u2019information sont nerveux parce qu\u2019ils ont l\u2019impression de c\u00e9der le contr\u00f4le \u00e0 un tiers. Dans un cloud priv\u00e9, ils contr\u00f4lent tout : le mat\u00e9riel, l\u2019\u00e9quipement r\u00e9seau et les plates-formes de virtualisation (hyperviseurs), et m\u00eame les syst\u00e8mes d\u2019exploitation et les applications. Dans le cloud public, ils peuvent seulement contr\u00f4ler la machine virtuelle ainsi que le syst\u00e8me d\u2019exploitation et les applications install\u00e9es. Par cons\u00e9quent, alors qu\u2019il obtient une puissance de calcul pratiquement illimit\u00e9e, le client voit ses possibilit\u00e9s d\u2019utilisation d\u2019outils de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9s limit\u00e9es.<\/p>\n
On appelle ce type d\u2019approches des mod\u00e8les de responsabilit\u00e9 partag\u00e9e, et cela ne devrait pas \u00eatre une raison de s\u2019inqui\u00e9ter. La disponibilit\u00e9 de l\u2019infrastructure cloud et l\u2019ex\u00e9cution de ses niveaux de protection de base rel\u00e8vent de la responsabilit\u00e9 du fournisseur de services. AWS dispose de plusieurs technologies de s\u00e9curit\u00e9 int\u00e9gr\u00e9es (propres au cloud) telles que le chiffrement des disques de la machine virtuelle, les VPN s\u00e9curis\u00e9s, etc. Cependant, la s\u00e9curit\u00e9 int\u00e9gr\u00e9e ne permet pas toujours d\u2019\u00e9valuer avec pr\u00e9cision le contexte de travail des machines virtuelles et n\u2019est donc pas si efficace pour pr\u00e9venir les cyber-menaces avanc\u00e9es, y compris les vuln\u00e9rabilit\u00e9s zero-day. Ainsi donc, la protection du syst\u00e8me d\u2019exploitation et des applications (et, par cons\u00e9quent, des donn\u00e9es qui se trouvent dans les machines virtuelles) rel\u00e8ve de la responsabilit\u00e9 du client.<\/p>\n
Encore une chose : les sp\u00e9cialistes de la s\u00e9curit\u00e9 de l\u2019information n\u2019aiment pas le changement. Les pratiques informatiques, les m\u00e9canismes de surveillance et la cybers\u00e9curit\u00e9 sont g\u00e9n\u00e9ralement profond\u00e9ment ancr\u00e9s dans les processus d\u2019affaires des entreprises. Par cons\u00e9quent, il est hautement ind\u00e9sirable de les perdre dans la migration vers le cloud public ; cela conduirait in\u00e9vitablement \u00e0 l\u2019apparition de nouveaux risques de s\u00e9curit\u00e9. De plus, \u00e9tant donn\u00e9 que l\u2019utilisation de plusieurs consoles de surveillance et de gestion augmente la difficult\u00e9 de d\u00e9tection des menaces et fait d\u2019un nuage hybride une cible facile pour une cyberattaque s\u00e9rieuse, il est toujours possible qu\u2019il existe un besoin de nouvelles solutions de gestion de la s\u00e9curit\u00e9.<\/p>\n