"La gestion des identités et des accès est primordiale dans tous les modèles cloud"
Le principe de responsabilité partagée adopté par la plupart des clouds publics laisse de nombreuses questions en suspens. Expert en sécurité cloud chez Swisscom, Klaus Gribi explique les domaines auxquels les entreprises doivent faire attention.
Quelles différences doivent observer les entreprises entre la sécurisation d’une infrastructure propre et d’un environnement IaaS?
Dans un IaaS, le fournisseur de services cloud est responsable de la sécurité du cloud, jusque et y compris au niveau de virtualisation, y compris les services d’assistance commerciale et opérationnelle. Dans le cas de l’infrastructure on premise, l’utilisateur du cloud est aussi responsable de ce niveau. En d’autres termes, dans le cas du IaaS, l’utilisateur du cloud peut se concentrer sur la sécurité à partir du niveau du système d’exploitation. En matière de cloud computing, le niveau de sécurité technique n’est toutefois pas le seul à prendre en considération, les niveaux de sécurité organisationnel et administratif – de nouveaux processus de sécurité sont-ils nécessaires? une Cloud Policy est-elle nécessaire? – doivent aussi être pris en compte.
La sécurisation des environnements SaaS est de la responsabilité des fournisseurs cloud. Qu’en est-il de la protection des données?
Le respect de la législation en vigueur – en l’occurrence la loi suisse sur la protection des données – reste au final de la responsabilité d’un utilisateur du cloud. Il doit aussi tenir compte de cette responsabilité dans le modèle de services cloud SaaS.
Quelles mesures doivent être prises en matière de gestion des accès aux environnements cloud (IaaS, PaaS, SaaS)?
La gestion des identités, des identifiants et des accès est un aspect primordial de tous les modèles de cloud. L’authentification et l’autorisation des utilisateurs doivent bénéficier d’une attention toute particulière, par exemple par l’intégration d’un répertoire des utilisateurs, l’utilisation d’une identité de fournisseur pour différents services cloud et par l’introduction d’une authentification multifactorielle. Les mécanismes d’accès modernes basés sur les risques, tels que Microsoft Conditional Access, devraient être intégrés. Et ce non seulement sur les portails cloud mais aussi lors de l’utilisation d’API cloud.
La responsabilité partagée est un concept vague. A quoi doivent faire attention les entreprises dans les contrats qui les lient à leurs fournisseurs cloud?
Au final, ce sont les conventions du Service Level Agreement (qui devrait inclure la sécurité) et/ou les «conditions générales de vente» qui sont déterminantes, elles règlent les responsabilités de manière contraignante. Lors de l’évaluation d’un fournisseur de services cloud, un utilisateur de cloud devrait, dans un souci d’obligation de diligence, vérifier quelles sont ses responsabilités et celles qui incombent au fournisseur de services cloud.
