Vers un cloud sûr grâce au partage des responsabilités
La sécurité du cloud public n’est pas seulement l’affaire des fournisseurs de services cloud: les consommateurs de ces services doivent aussi y contribuer. C’est précisément ce qu’illustre le modèle Shared Responsibility.
Dans le domaine de la sécurité du cloud, nombre d’entreprises sont encore les victimes d’idées reçues. C’est du moins la conclusion d’une étude réalisée l’an dernier par l’entreprise de cybersécurité américaine Palo Alto Networks auprès de 500 experts en sécurité de grandes entreprises en Europe et au Proche-Orient. Certes, 83% des experts interrogés indiquent avoir confiance dans la capacité de leur fournisseur de services cloud à protéger leurs infrastructures. Mais dans le même temps, un tiers d’entre eux estiment – à tort – que c’est le fournisseur de services cloud qui assume la plus grande responsabilité dans la protection des données des entreprises dans le cloud public.
Or, cette protection n’est pas la mission du seul fournisseur de services cloud: l’utilisateur doit aussi mettre des mesures en place pour pouvoir acheter des applications, des environnements de développement ou des instances de serveur virtualisées de manière sécurisée dans un cloud public. Le modèle Shared Responsibility régit le partage des responsabilités entre fournisseurs et utilisateurs dans le domaine de la sécurité. Formulé à l’origine par Amazon Web Services et Microsoft Azure, ce modèle de partage des responsabilités en matière de sécurité et de conformité a depuis été repris et modifié par d’autres fournisseurs de services cloud. "Pour l’essentiel, le modèle Shared Responsibility distingue la sécurité du cloud public lui-même (Security of the Cloud) et la sécurité DANS le cloud public (Security in the Cloud)", précise Klaus Gribi, Senior Security Consultant pour Swisscom. "Pour simplifier: le fournisseur de services cloud est responsable de la sécurité de l’infrastructure cloud, tandis que le consommateur est responsable de la sécurité dans le cloud". Le détail des responsabilités de chacun varie selon le modèle de livraison des services cloud:
Infrastructure as a Service: la sécurité relève principalement de la responsabilité du consommateur
L’utilisateur d’une solution IaaS est généralement livré à lui-même. Le fournisseur de services garantit uniquement la sécurité de la plateforme de virtualisation. Le client doit assurer la sécurité du système d’exploitation, des données et des applications.
Platform as a Service: plus de responsabilité pour le fournisseur
Le fournisseur de services cloud assume une responsabilité plus importante que dans le modèle IaaS: il est responsable de la sécurité de l’ensemble de l’environnement de développement, ainsi que des systèmes d’exploitation et des bases de données. En contrepartie, l’utilisateur est en charge de la sécurité et de la gestion des applications, bases de données et données exploitées sur la plateforme.
Software as a Service: l’utilisateur est déchargé de toute responsabilité
Dans le cadre d’une offre SaaS, le fournisseur de services s’occupe de la majeure partie des aspects de la sécurité: il est responsable de tout ce qui est stocké dans le cloud à l’exception de ce qui relève de la gestion et des données de l’utilisateur. Les utilisateurs de services SaaS sont responsables de la gestion des utilisateurs ainsi que de la protection des données et informations. "En gros, les utilisateurs de solutions SaaS sont uniquement en charge de transférer dans le cloud les données qu’ils veulent y mettre, explique Klaus Gribi. Ils peuvent renforcer la sécurité de ces données en les cryptant le cas échéant."
Les domaines de responsabilité peuvent diverger
Même lorsque le modèle Shared Responsibility est valide, les frontières entre responsabilité du client et du fournisseur de services restent floues. "Certes, le client d’un service IaaS est responsable de la sécurité à partir du système d’exploitation; cependant, il arrive que des fournisseurs installent des composants dans le système d’exploitation afin de superviser les performances des instances virtualisées, par exemple", explique Klaus Gribi. "Même dans le modèle Shared Responsibility, il est des frontières spécifiques aux fournisseurs qui peuvent être franchies autrement."
L’entreprise utilisatrice doit en conséquence prêter une attention particulière aux Service Level Agreements de son fournisseur de services cloud: ces documents définissent avec précision les responsabilités de chaque partie en matière de sécurité. A condition de connaître et de comprendre les domaines de responsabilité du fournisseur de services cloud, elle sera en mesure de mettre en œuvre les mesures adaptées pour protéger les services cloud qu’elle utilise aussi efficacement que possible.
Des facteurs techniques et d’organisation décisifs
Naturellement, les Service Level Agreements jouent un rôle central dans l’évaluation et le choix d’un fournisseur cloud approprié. Mais le modèle Shared Responsibility englobe aussi d’autres facteurs: "En matière de sécurité cloud, tout n’est pas que technique, explique Klaus Gribi. Le choix d’un fournisseur plutôt qu’un autre dépend aussi d’éléments d’ordre légal et organisationnel."
L’entreprise utilisatrice doit tenir compte du futur mode de collaboration entre son Chief Information Security Officer et l’organisation de sécurité du fournisseur, en posant notamment les questions suivantes:
Des portails de sécurité seront-ils disponibles pour permettre cette collaboration?
Quelle procédure le fournisseur suivra-t-il pour gérer les incidents de sécurité?
Des interfaces automatiques sont-elles en place pour permettre l’interaction entre les organisations de sécurité du client et du fournisseur à l’échelon organisationnel?
Les conventions administratives du fournisseur sont aussi importantes. L’entreprise devrait évaluer le reporting de sécurité du fournisseur, déterminer si des règles d’indemnisation sont applicables en cas de défaillance de ses infrastructures, etc.
En matière de gouvernance et de conformité, des directives spécifiques au secteur d’activité spécifique de l’entreprise peuvent s’ajouter, dont le fournisseur devra tenir compte. Par exemple, la localisation géographique du fournisseur de services cloud détermine la législation dont il dépend: c’est un facteur très important notamment pour les banques, qui sont assujetties aux directives de la FINMA.
En outre, le fournisseur cloud doit proposer des contrôles de sécurité suffisants: "Il n’est pas rare qu’une entreprise décide de faire appel à un fournisseur cloud précisément parce qu’il dispose de fonctionnalités spécifiques, comme le chiffrement des données, la gestion des identités et des accès ou l’intelligence des menaces, explique Klaus Gribi. C’est la raison pour laquelle ce sont des basiques."
