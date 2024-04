La gouvernance, pilier d’une stratégie Move To Cloud maîtrisée

avril 2024 par Paul Barbe, EMEA Director Business developer & sales specialist, Nomios

Répercussion de la pandémie Covid, généralisation du recours au télétravail, accès aux dernières technologies et innovations… Quelle que soit la raison invoquée, le recours au Cloud computing s’est largement accéléré dans les entreprises françaises ces dernières années. D’ailleurs, la considération économique n’est plus le seul facteur conduisant à réaliser cette transition ! En effet les avantages sont nombreux : flexibilité et souplesse, accélération des processus en termes de gestion des ressources et de développement applicatifs ou accès aux dernières innovations sont autant de facteurs incitatifs pour le passage au Cloud, tout ou partie. On pourrait même ajouter l’efficacité en termes de collaboration, voire une certaine sensibilité environnementale.

L’adoption du Cloud entraîne des changements critiques en cascade

Il est désormais courant de constater qu’un nombre croissant d’entreprises migrent certaines ressources essentielles, et même stratégiques. C’est un des signes de la confiance dans les offres Cloud des fournisseurs, mais qui s’accompagne également d’une multitude de changements au quotidien dans la conduite des opérations. Que ce soit en termes de sécurité jusqu’à l’infrastructure et l’architecture IT, en passant par les fonctions opérationnelles.

En l’occurrence, le recours à des ressources Cloud transforme la manière de procéder, mais également les processus et la répartition des tâches. La flexibilité conduit les équipes IT à adopter des architectures modernes, entrainant une multiplication à marche forcée des containers ou des micro-applications. Le revers de la médaille, dont les entreprises n’ont parfois pas conscience, est que ceci étend considérablement les surfaces d’attaques.

Le paradigme de la sécurité périmétrique est alors remis en question, y compris en ayant recours à des modèles DevOps : à force de penser en termes de fonctionnalités, on en vient parfois à négliger les exigences en termes de performance ou de sécurité… Ceci est d’ailleurs flagrant dans la tendance du développement dit « No Code », avec des librairies prêtes à l’emploi. Si elles sont effectivement pratiques, elles présentent aussi le désavantage de ne plus contraindre les développeurs à avoir conscience des conséquences en termes de sécurité. Ce qui représente une différence majeure vis-à-vis de l’utilisation de ressources on premise, qui obligeait les développeurs à travailler en fonction d’un budget limité, et donc obligatoirement avec des contraintes en termes de performance et de sécurité !

Les enjeux de ces changements sont donc souvent structurels, mais impliquent tout autant les équipes elles-mêmes. Le Move To Cloud n’est pas qu’un changement technologique : si les dimensions infrastructures et logiciels sont concernées, il impose aussi de se doter de compétences humaines souvent très spécialisées.

Gérer la gouvernance en mode start-up

La transition Cloud est donc un sujet global qui doit être perçu avec un regard neuf et des compétences spécifiques ; cela explique d’ailleurs pourquoi ce sont souvent des nouvelles équipes qui s’en occupent. La sécurité n’est pas le seul enjeu majeur, car d’autres données sensibles doivent elles aussi bénéficier d’une approche nouvelle. C’est notamment le cas vis-à-vis des données bancaires (PCI DSS) ou personnelles (RGPD).

C’est aussi l’occasion pour les entreprises d’adopter une approche transverse de la gouvernance générale des données. Effectivement, le recours au Cloud a également transformé la manière de gérer certains process, nécessitant la mise en place d’une politique revue. Concrètement, la gestion des identités et des accès est devenue une préoccupation fondamentale car elle diffère fortement une fois externalisée. Sa gestion se rapproche désormais plutôt de celle d’une application en tant que telle. Elle nécessite alors une précision d’orfèvre pour conférer les bons droits aux bonnes personnes, afin d’éviter des risques majeurs.

L’application d’une politique de gouvernance sur-mesure pensée pour le Cloud est donc cruciale. Notamment pour éviter qu’elle soit un simple copié-collé du fonctionnement historique, mais aussi pour qu’elle intègre immédiatement les spécificités du Cloud. C’est donc une approche agile et nouvelle, concentrée sur le produit et son exécution, qui est fortement recommandée.

Les principaux risques à anticiper dans la transition vers le Cloud

• Une configuration des ressources sans fondements

Elle est souvent consécutive à un projet Move To Cloud lancé sans avoir préalablement anticipé la mise en place de bonnes pratiques usuelles en matière de gouvernance. C’est un sujet d’autant plus sensible qu’il est amplifié par la multiplication des portes d’entrées via de nombreuses interfaces notamment.

• La non-conformité aux normes et standards

La mise en place d’outils d’audit est une première aide précieuse vis-à-vis de la conformité d’un système. Ils permettent d’éviter les principaux écueils en prévenant les risques, mais aussi de se conformer au mieux aux normes et standards en vigueur et à venir (ex : NIS 2).

• La contrainte de l’accès légitime aux données

Que ce soit une fuite de données – comme on a pu en voir pléthore à travers des buckets S3 mal sécurisés – ou le détournement de comptes avec accès à privilèges, la mise en place d’une gouvernance adaptée devient fondamentale. Dans un environnement cloud, les accès étant répartis entre une multitude d’entités (prestataires, employés, applications, etc.), les enjeux majeurs deviennent alors l’adaptation aux nouvelles contraintes de connexions mais aussi la sécurisation des comptes.

• Les conséquences du multicloud

La gestion d’une infrastructure distribuée sur plusieurs Cloud peut rapidement devenir un casse-tête pour le DSI/RSSI, lorsqu’il s’agit d’appliquer une politique globale. L’utilisation d’outils spécialisés permet d’unifier et d’harmoniser la diffusion de ces politiques.

• Le manque de maîtrise des ressources

La simplicité et la flexibilité apportées par le Cloud, permettant de démarrer des fonctions à la volée, entraînent un besoin impérieux de visibilité. Atteindre cet objectif et maîtriser son environnement (développement, ressources, réseau, etc.) impose le recours à une approche IAC (Infrastructure as Code). Et ce pour protéger les ressources au sein du cloud et pour bénéficier d’une vision commune de ces ressources, alignée avec les enjeux de cybersécurité.

• Le danger de la surexposition des données

La facilité et la rapidité de déploiement de ressources dans le cloud peut aussi potentiellement avoir des conséquences négatives. Dans un contexte de démultiplication du recours aux API ou de distribution déraisonnée des données par exemple, le danger est intrinsèquement lié à la mauvaise configuration des ressources. C’est-à-dire sans respect des bonnes pratiques à observer en la matière.

• Les vulnérabilités à travers le développement applicatif

L’industrialisation du développement applicatif, illustrée notamment à travers une approche CI/CD utilisée par les équipes DevOps, doit être étroitement surveillée. En effet, le déploiement des applications en environnement cloud peut conduire à de multiples services Web potentiellement vulnérables et surtout, à une échelle de réseau très importante.

L’enjeu principal : maîtrise des contraintes et consolidation des indicateurs

Si le Cloud apporte évidemment de nombreux bénéfices, la migration doit être pensée et accompagnée pour éviter les nombreux écueils qui la composent. La difficulté consiste à trouver le juste équilibre entre sécurité, outils, gouvernance et gestion des équipes, tout en garantissant une haute flexibilité.

La transition vers le Cloud est donc avant tout un sujet de transformation. Elle nécessite une approche sur-mesure et évidemment adaptée à chaque entreprise. Si le sujet n’est pas uniquement technique, la mise en place d’outils spécifiques est vivement conseillée pour se doter d’une supervision centralisée.

Les plateformes modernes de protection des applications Cloud natives (CNAPP) répondent à ces problématiques. Elles vont même plus loin en étant désormais au service des métiers. Ces outils ne sont donc plus des freins ou des contraintes au service de la sécurité uniquement. Ils s’intègrent entièrement dans le cycle de vie de développement. Le DSI n’est plus celui qui dit non à ses équipes, mais bien celui qui sécurise le processus DevOps par exemple.

Le choix de la technologie sous-jacente dépendra quant à lui de nombreux critères, à commencer par les spécificités ou la cohérence vis-à-vis de la politique de gouvernance de l’entreprise. En effet les solutions de type CSPM (Cloud Security Posture Management), IAM ou même CASB (Cloud Access Security Broker) ne sont pas adaptées à toutes les situations. Elles doivent ainsi remplir un même rôle : être au service des métiers et de la DSI et dans le meilleur des cas, s’insérer dans les process de développements applicatifs.

Ce sont donc tous les indicateurs issus de ces outils, consolidés au sein par exemple d’un SIEM ou d’un SOC managé, qui permettront à l’entreprise d’optimiser ses capacités de détection et de réponse.