Le cloud : opportunité ou risque pour la cybersécurité ?
Depuis une dizaine d’années, un nombre croissant d’entreprises migre dans le cloud avec l’objectif de se prémunir plus efficacement des cyberattaques. Une petite révolution qui n’est pas sans poser de nouveaux défis autour de la notion de confiance et de contrôle sur les données.
« C’est un mouvement qui est engagé : on voit de plus en plus de services délivrés dans le cloud », amorce Jean-Baptiste Voron, CTO Cybersécurité d’Atos France. Et selon lui, il ne fait pas de doute que « du point de vue de la cybersécurité, et dans l’immense majorité des cas, le cloud représente surtout des opportunités. »
De fait, le cloud répond aux critères essentiels que l’on évalue habituellement en cybersécurité, à commencer par la disponibilité des données (généralement vitale pour les entreprises). « La redondance des données est intégrée par défaut par la plupart des fournisseurs de services cloud (cloud providers) : peu importe où je mets mes données, elles seront répliquées plusieurs fois dans des data centers partout dans le monde », expose Jean-Baptiste Voron. Ce critère va de pair avec celui de l’intégrité des données : « à partir du moment où je suis multi-géographie et multi-cloud, il y a quand même très peu de risques que je perde accidentellement mes données. »
En outre, le cloud permet aux entreprises de renforcer la confidentialité et la traçabilité des données. « Les cloud providers proposent de façon intégrée dans leurs offres des mécanismes de sécurité que l’on peut utiliser pratiquement sur étagère afin de protéger les accès aux données : du contrôle d’identité et d’accès, du chiffrement, du marquage, de l’authentification forte… Ce sont des choses qui prendraient beaucoup plus de temps et coûteraient bien plus cher à mettre en place en opérant son propre data center », assure-t-il tout en précisant qu’un certain nombre d’acteurs opérant des données particulièrement sensibles, par exemple « diffusion restreinte » ou « secret défense », n’ont pas le droit de migrer dans le cloud à l’heure actuelle.
Redéfinition du risque
À en croire Jean-Baptiste Voron, les entreprises auraient donc tout à gagner à opter pour les services d’AWS, Microsoft et autres Google pour s’armer contre les cyberattaques - à condition néanmoins de s’assurer que les utilisateurs de ces services s’en emparent correctement. Le dernier rapport de l’ANSSI « Panorama de la menace informatique 2021 » publié au début de l’année 2022 a en effet révélé que les entreprises augmentaient leur vulnérabilité en stockant leurs données dans le cloud.
« La plupart des incidents de sécurité qui ont lieu dans le cloud sont dus à des mauvais usages ou configurations de services qui sont livrés par les fournisseurs du cloud, et non au niveau de sécurité de ces services qui est très élevé, analyse Jean-Baptiste Voron. Ce sont des objets extrêmement puissants et complexes. La moindre coquille dans un fichier de configuration ou dans le code source et vous risquez de libérer des droits, de partager des secrets ou d’exposer publiquement vos données. Ce sont autant d’informations sensibles et de failles qui sont très facilement exploitables par des attaquants. »
L’entrée de la cybersécurité dans l’ère du cloud s’accompagne en réalité d’une redéfinition même du risque et de la manière de les appréhender. « Il y a un changement de paradigme qui a secoué la sphère cyber en transformant complètement le rôle du RSSI [responsable de la sécurité des systèmes d'information, ndlr], observe Jean-Baptiste Voron. Jusqu’à présent, celui-ci pouvait à la limite camper dans le data center pour vérifier que tout se passe bien, il était maître à bord de la sécurité. Aujourd’hui, il est plutôt dans une position de chef d’orchestre et de pilote de la relation de confiance qui lie l’entreprise aux cloud providers. »
Une question de confiance
Difficile en effet de savoir précisément ce qui se passe « derrière le rideau » dans un data center de Microsoft ou de Google, fait-il remarquer. En migrant sur le cloud, le service informatique de l’entreprise délègue forcément une partie de la gestion des données. « C’est là où la notion de confiance intervient. En fonction du modèle de cloud computing “as a service”, vous lui déléguez plus ou moins de choses », précise Jean-Baptiste Voron en énumérant les modèles les plus classiques, du plus haut niveau de maîtrise et de responsabilités pour le service informatique de l’entreprise au plus bas : IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service), et SaaS (Software-as-a-Service).
« Quoi qu’il en soit, vous restez responsable a minima d’une chose, à savoir les données que vous allez confier et opérer dans le service du cloud provider, poursuit-il. Il est donc primordial d'identifier clairement ces données et leur sensibilité, et de construire, en fonction, la stratégie cybersécurité en combinant les outils et services mis à disposition par les fournisseurs et les contrôles d’un tiers de confiance. Le résultat est généralement plus rapide, efficace et homogène que lorsque les équipes du RSSI reconstruisent à la main les protections de ces données. »
Renforcer ce lien de confiance, c’est précisément le rôle de tiers de confiance tels que Atos, qui propose des offres de sécurité en partenariat notamment avec AWS, Google Cloud et Microsoft. Par exemple en permettant à une partie des workloads (traitements) d’être réalisés chez Atos en France plutôt que par Microsoft en Irlande. « Les fournisseurs de cloud vont pouvoir s’appuyer sur le savoir-faire d’Atos en termes de capacités data center, de capacités cryptographiques ou encore de détection d’intrusion et de fraude », illustre Jean-Baptiste Voron.
Pour asseoir leur souveraineté sur les données, un certain nombre d’entreprises misent sur le cloud hybride. Selon une étude Nutanix (2021), 85 % des sociétés françaises considèrent en effet ce dernier comme le « modèle informatique idéal ». « C’est une stratégie qui consiste à ne pas mettre tous ses œufs dans le même panier, commente Jean-Baptiste Voron. C'est d'ailleurs un sentiment qui a été renforcé depuis le conflit Russie-Ukraine, lorsque certains acteurs américains ont d’autorité coupé les services à des clients russes ou des clients proches ou apparentés russes du jour au lendemain. » Résultat, un certain nombre d’acteurs en France optent pour une stratégie « cloud first » tout en maintenant une capacité locale au cas où pour les workloads les plus sensibles : « si jamais il y avait un problème avec le fournisseur du cloud, il est alors toujours possible d’assurer le service en local, même dans un mode dégradé. »
Une évolution inévitable ?
De nouveaux dispositifs destinés à nourrir ce lien de confiance pourraient également voir le jour dans les années à venir. Début 2022, Google Cloud a annoncé avoir formé une équipe afin de développer diverses activités autour de la blockchain. « Face aux innovations, il faut toujours se poser la question de l'opportunité versus le risque, réagit Jean-Baptiste Voron. La blockchain est d’ailleurs une technologie que nous utilisons dans plusieurs cas d’usages, notamment pour faire de la traçabilité fine sur toutes les modifications des configurations de système. Cela permet de prouver que les systèmes tels qu’ils ont été construits n’ont pas été altérés. » Même si le potentiel de cette technologie semble incroyable, les cas d’usage opérationnels restent néanmoins peu nombreux pour le moment et le retour sur investissement dans ce domaine est très limité.
Pour le CTO Cybersécurité d’Atos France, c’est une certitude : l’utilisation du cloud en cybersécurité va continuer de s’accélérer. « D’un point de vue cyber, on a un vrai enjeu : celui de traiter des volumes de données et d'informations extrêmement importants qui ne sont plus compatibles avec les systèmes tels que nous les avons développés depuis des années, conclut-il. Et aujourd’hui, il n’y a que les cloud providers qui peuvent nous permettre de le faire. »