La mise en place d’une stratégie de sécurité est l’un des plus grands enjeux liés à la migration d’une infrastructure vers le cloud. Cette problématique représente aujourd’hui l’un des challenges majeurs pour les entreprises.
Depuis une dizaine d’année, le cloud est devenu la pierre angulaire de la transformation numérique des entreprises. En effet, toute entreprise qui souhaite réussir sa transition doit nécessairement se tourner vers le cloud. Le mainframe était, autrefois, le modèle majoritairement privilégié par les entreprises car elles leur permettaient de centraliser, de mutualiser les ressources et de garder le contrôle sur l’ensemble du processus. Aujourd’hui, les avancées technologiques permettent de centraliser et de mutualiser le « computing » sous forme de service fourni par les acteurs du cloud.
Le cloud s’est alors positionné comme une vraie tendance de fond et est devenu fondamental aux entreprises car il offre de réelles perspectives de croissance tout en optimisant la rapidité de mise en service des applications business. Il permet donc de transformer et de digitaliser plus rapidement, avec plus de flexibilité. Des capacités qui ont pris tous leur sens cette année en raison de la démocratisation du travail à distance suite aux mesures de confinement.
Cependant, tout comme les entreprises se sont dirigées en masse vers le cloud, les cybercriminels ont su innover leurs modes d’opérations pour tirer profit de la situation. Selon une récente étude, 84% des DSI/RSSI européens affirment avoir constaté une augmentation des cyber-menaces depuis le début de l’année 2020.
Comment le cloud entraine une perte de contrôle de la sécurité
La crise sanitaire et les différentes mesures qui en découlent ont révélé une des caractéristiques essentielles du cloud : rendre les processus et l’accès aux données disponibles, à tout moment où que l’on soit et potentiellement par tous. Les fichiers et documents n’ont plus besoin d’être enregistrés sur les ordinateurs de bureau ou des dispositifs de stockage externe. Ils sont conservés dans le cloud et sont accessibles depuis n’importe quel appareil via une connexion Internet.
C’est grâce à cette disponibilité instantanée que de nombreuses entreprises ont pu continuer à fonctionner malgré la pandémie, en facilitant la transition vers le travail à distance.
Le dernier rapport Cloud Adoption & Risk de McAfee illustre cette tendance en expliquant qu’entre janvier et avril 2020, l’adoption des services cloud par les entreprises a augmenté de 50 %. Et que l’utilisation des outils de collaboration cloud a augmenté de 600 %.
Le cloud s’est présenté comme la solution idéale pour de nombreuses entreprises à la recherche de moyens pour gérer leurs ressources et compétences afin de pouvoir administrer et exploiter les data center, les ressources d’infrastructures, les ressources logicielles et développement des logiciels etc… Dans cette approche, la question de la sécurité est plus que primordiale pour les entreprises.
En effet, en portant la chaine applicative chez un fournisseur, les entreprises perdent la main sur le contrôle de leur sécurité ainsi qu’à la capacité de sécuriser et de garantir que le flux applicatif destiné aux clients soit le plus sécurisé possible. C’est pour cette raison que la mise en place d’une stratégie de sécurité est l’un des plus grands enjeux liés à la migration d’une infrastructure vers le cloud. Cette problématique représente aujourd’hui l’un des challenges majeurs pour les entreprises.
Comme nous le savons, la pandémie a entrainé une migration massive des entreprises au télétravail ce qui a révélé l’importance du modèle Zero Trust. En effet, les entreprises ont rapidement pris conscience des risques auxquels elles s’exposaient en déportant le contrôle de la sécurité sur leurs salariés qui étaient tous ou en majeure partie en télétravail. Toutefois, le modèle Zero Trust, pour être efficace, nécessite impérativement d’avoir une visibilité des données et du trafic.
Le cloud ? Oui, mais pas sans la visibilité
La plupart des entreprises accèdent au cloud par l’intermédiaire de plusieurs technologies et services. Et il s’avère que les applications et les données peuvent très souvent se trouver à des endroits géographiquement opposés et en mouvement. Ce qui n’est pas sans conséquence, puisque les entreprises n’ont plus la main sur la sécurité, dorénavant géré par le fournisseur, elles ne disposent pas (ou de manière très limitée) non plus d’une visibilité sur leur trafic. Elles se retrouvent donc incapables de la contrôler et donc de la sécuriser.
En effet, on ne peut sécuriser ce que l’on ne voit pas. D’autant plus que lorsque les entreprises migrent vers le cloud, la surface d’attaque s’étend inexorablement. Passer au cloud revient à introduire un nouvel ensemble de risques. Sans cartographie de leur infrastructure, il est presque impossible pour les entreprises de sécuriser leurs environnements cloud. Par ailleurs, sans visibilité du trafic, les menaces de sécurité restent cachées et indétectables, ce qui augmente le risque de violation et de perte de données.
Tout cela plaide en faveur de l’importance que représente la visibilité au sein des stratégies de migration vers des infrastructures cloud. Cela ne signifie pas que le cloud n’est pas sécurisé, mais la confiance n’exclut jamais le contrôle. Il existe, aujourd’hui, des solutions de sécurité adaptées pour aider les entreprises qui ont migré toute ou une partie de leur chaine applicative dans le cloud.
Ces solutions offrent la possibilité de capter le trafic de la chaine applicative dans le cloud afin de permettre aux outils de sécurité d’accéder à ce trafic pour en assurer la sécurité. De manière globale, le modèle représente la meilleure solution pour les entreprises de s’assurer que la ressource est accessible de manière sécurisée pour les salariés travaillant à distance. Le passage au cloud doit s’accompagner d’une approche Zero Trust afin de bénéficier d’une meilleure visibilité et une meilleure détection des menaces.
Cette année, il n’a jamais été aussi vital pour les entreprises d’être responsables et vigilantes face aux acteurs malveillants qui espère profiter des opportunités créées par les surfaces d’attaque élargies. Malheureusement, encore beaucoup d’entreprises se focalisent sur les enjeux business liés au cloud et laissent la question de la sécurité en suspens. Ces dernières attendent trop souvent d’être confrontées à une attaque avant de réagir. C’est pour cette raison qu’il faut retenir que le passage au cloud ne peut être dissocié du facteur visibilité si les entreprises souhaitent être efficacement protégées.
