peut-être pas été entièrement anticipés.
La question de la sécurité, par exemple, prend une place croissante : selon le dernier baromètre du CESIN, 63 % des entreprises estiment que la sécurisation des données stockées dans le cloud nécessite des outils spécifiques, et 33 % y a déjà souscrit.
Souvent, la mise en œuvre d'une stratégie multicloud a pour visée d’atténuer les risques liés à la sécurité et à la continuité des activités, en améliorant la cyber-résilience et en accélérant la reprise après sinistre. Toutefois, ce processus élargit la surface d'attaque en créant plus de territoires à défendre et plus de vulnérabilités potentielles à gérer. Heureusement, pour chaque risque engendré, il existe des solutions permettant de tirer le meilleur parti des investissements dans le cloud.
Les nouvelles capacités exigent une gestion prudente
L'un des principaux avantages de l'informatique cloud est son innovation permanente. Les fournisseurs de cette technologie introduisent continuellement de nouvelles fonctionnalités et capacités susceptibles d'apporter une plus grande valeur ajoutée à l'entreprise. Mieux encore, comme ces derniers gèrent les mises à jour des plateformes, les organisations peuvent commencer à utiliser ces optimisations immédiatement, sans le délai inhérent aux cycles de test et de mise en œuvre des mises à jour sur site.Cependant, déléguer la maintenance de la plateforme aux fournisseurs de services cloud signifie céder le contrôle sur le calendrier et les détails techniques des mises à jour. Les nouvelles fonctionnalités peuvent être publiées avec des paramètres par défaut qui ne sont pas optimaux pour une organisation, en particulier lorsqu'il s'agit de données sensibles. Plus grand le nombre de fournisseurs est, plus important est le risque d'un afflux constant de changements et de mises à jour.
Il est alors de la responsabilité des entreprises de suivre le rythme du changement perpétuel, en s'assurant que les nouvelles fonctionnalités sont configurées correctement afin qu'elles puissent être exploitées efficacement tout en maintenant une sécurité solide. Il est nécessaire d’exploiter les outils d'automatisation et d'orchestration qui rationalisent les opérations afin de réduire le risque de mauvaises configurations négligées.
Une plus grande diversité accompagnée d'une courbe d'apprentissage élevée
Lorsque les organisations se développent sur les marchés mondiaux, elles sont souvent attirées par la promesse de nouveaux clients et d'une augmentation des revenus. Toutefois, cette expansion s'accompagne de son lot de défis, notamment celui de naviguer dans des langues, des coutumes et des paysages réglementaires différents.Cette complexité se retrouve également dans le monde de l'informatique multicloud. Pour mieux servir une clientèle diversifiée, les entreprises se tournent souvent vers d'autres fournisseurs de cloud computing. En tirant parti des atouts uniques de chaque fournisseur, elles peuvent optimiser les performances des applications, se conformer aux exigences en matière de souveraineté des données, etc.
Ces avantages peuvent néanmoins être rapidement éclipsés par la complexité de la gestion de divers environnements cloud. Chaque prestataire apporte son propre ensemble de contrôles natifs, en particulier dans des domaines critiques tels que la gestion des identités et des accès (IAM). Par exemple, AWS et Azure, deux principaux fournisseurs de services cloud, gèrent la gestion des identités et des accès de manière fondamentalement différente. Alors que le premier propose des politiques IAM complexes basées sur JSON, faisant indirectement référence aux ressources auxquelles elles donnent accès, le deuxième utilise une approche de contrôle d'accès basée sur les rôles (RBAC), liée à la hiérarchie des ressources elles-mêmes. Bien que cette approche soit plus intuitive, elle offre un contrôle moins granulaire.
Par conséquent, la mise en œuvre d'une sécurité et d'une gouvernance cohérentes sur plusieurs plateformes cloud peut constituer un défi de taille. Les équipes informatiques doivent apprendre à maîtriser plusieurs systèmes, chacun avec ses subtilités techniques et ses meilleures pratiques. Il est donc vital d'investir en permanence dans la formation lors de l'adoption d'une stratégie multicloud.
Pour relever ce défi, les entreprises se tournent vers les outils de sécurité agnostiques des fournisseurs tiers qui proposent des solutions de cybersécurité avec une interface unifiée et un modèle opérationnel unique dans plusieurs environnements cloud. Cette approche permet une classification cohérente des données, un marquage des fichiers et des politiques de contrôle d'accès sur les principales plateformes de cloud computing. Alors, le personnel de sécurité ne doit maîtriser qu'un seul système de politique de contrôle d'accès, au lieu d'avoir à acquérir une expertise approfondie de chacun d'entre eux.
L’accès facile au navigateur ouvre des voies d'attaque
Quels que soient les fournisseurs de cloud computing utilisés par une organisation, le navigateur est le principal moyen d'accès. Ce modèle offre la flexibilité qu'exige le personnel moderne : les utilisateurs peuvent facilement accéder aux données et workloads cloud, à partir de leur ordinateur de bureau au bureau ou d'un appareil personnel à la maison, ou bien en voyage.Bien entendu, les attaquants sont impatients de tirer parti de cette facilité d'accès aux données sensibles et aux systèmes critiques. Ils pourraient notamment dérober les cookies du navigateur et extraire les jetons critiques émis après que l'utilisateur se soit authentifié auprès d'un service tel qu'Azure et qu'il ait suivi les étapes d’une MFA aux politiques d'accès conditionnel. En injectant ces jetons dans une nouvelle session de navigation, l'adversaire peut potentiellement contourner les contrôles de sécurité et accéder à toutes les données et à tous les systèmes que l'utilisateur authentifié a été autorisé à utiliser.
Afin d’atténuer ce risque, il convient tout d’abord de renforcer la sécurité des points d'accès afin d'empêcher la compromission des cookies des navigateurs. Ensuite, d’adopter un modèle de confiance zéro qui ne repose pas uniquement sur l'authentification initiale, mais qui évalue chaque demande d'accès en fonction du risque. Enfin, de former les utilisateurs aux risques associés au fait de laisser des sessions ouvertes sur des appareils partagés ou non sécurisés, ainsi qu'à d'autres aspects fondamentaux de la sécurité des navigateurs.
Alors, les équipes informatiques et les dirigeants ont tout intérêt à reconnaître les opportunités stratégiques, au même titre que les problèmes potentiels qui accompagnent l'adoption d'une stratégie multicloud. Une transition réussie nécessite le développement d'un cadre de sécurité et de conformité solide qui applique des politiques et des procédures de gouvernance cohérentes sur toutes les plateformes.
Par Michael Paye, VP of Research and Development chez Netwrix
