Le cloud est devenu incontournable pour les entreprises, qui doivent évoluer et mettre en œuvre des stratégies de cybersécurité sur plusieurs niveaux et adaptative. En somme, elles doivent s’inscrire dans une stratégie d’adaptation perpétuelle.
Alors que le FIC a ouvert ses portes hier, sécurité du cloud continue d’être l’un des sujets les plus discutés. Celle-ci ne consiste pas seulement à verrouiller les accès ou chiffrer les données, elle englobe notamment la protection des infrastructures et la conformité au RGPD. Comme l’explique un rapport réalisé par 3DS Outscale, Atos et NetApp, « La sécurité dans le cloud est bien plus vaste que le seul aspect des cyberattaques, elle touche notamment à la sécurité des infrastructures puisque les données restent hébergées sur des serveurs et dans des centres de données physiques, vulnérables à de nombreux risques ; et également au respect de la confidentialité et de l’intégrité des données, influencé entre autres par des politiques réglementaires telles que le RGPD ou le Cloud Act ».
La sécurité dans le cloud constitue donc un défi protéiforme exigeant la mise en œuvre d’une stratégie à la fois globale et granulaire. Ainsi l’essor du cloud a continué à se renforcer avec la crise sanitaire et l’accélération subséquente. Selon le rapport cité plus haut, en France, le marché global des services cloud s’est accru de 17 % entre 2019 et2020, et devrait connaître une hausse de près de 20 % sur la période 2020-2024, pour atteindre un volume de plus de 40 milliards d’euros en 2024 (contre un peu moins de20 milliards d’euros en 2020).
Une approche holistique ou la vision à 360°
Dans un contexte d’insécurité numérique chronique et d’attaques de plus en plus sophistiquées, le rapport préconise une approche de la sécurité dès la conception (Security by design). « Afin de maximiser la sécurité dans le cloud, celle-ci doit être prise en compte le plus tôt possible dans le processus de migration ou de développement d’applications dans le cloud », peut-on lire dans le rapport. La sécurité by-design, consistant à inclure la notion de risque dès la phase de conception et sur l’ensemble du cycle de vie des données ou applications. Parmi les principes les plus utilisés de cette approche, l’anticipation des risques auxquels le système va être exposé, la réduction de la surface d’attaque, le principe du moindre privilège, ou encore la visualisation complète des systèmes en constituent les bases.
Les rédacteurs du rapport conseillent une approche holistique des systèmes d’information. La visualisation de l’ensemble des environnements informatiques est en effet un des points les plus importants, dans la mesure où la sécurité du système d’information repose sur la sécurité du maillon le plus faible. « Il est donc primordial d’avoir une vision complète de ses environnements pour identifier les potentiels points d’entrée non sécurisés », conseille le rapport. En effet, l’utilisation du cloud représente en cela un défi supplémentaire puisqu’il s’agit par définition d’un environnement ouvert et dynamique, au périmètre mouvant.
« La sécurité dans le cloud sera l’un des principaux sujets de réflexion et d’investissement des décisionnaires IT au cours des prochaines années, conclut le rapport. Le besoin accru de flexibilité et d’agilité dans les systèmes d’information pour soutenir les équipes métiers, l’augmentation du volume et de la complexité des cyberattaques, la multiplication des réglementations et des besoins de conformité, ne sont que quelques facteurs qui soutiendront l’attention portée à ce sujet ».