À mesure que l’adoption du cloud augmente, les entreprises se trouvent de plus en plus sous pression pour assurer la protection de leurs données dans des environnements multi-cloud. Cependant, la gestion de l’accès à ces données et leur maintien en sécurité peuvent représenter des défis considérables.
Crystal Morin, stratège en cybersécurité chez Sysdig, affirme que les types de menaces observées dans les environnements multi-cloud ne diffèrent pas de ceux d’un environnement cloud unique. Cependant, l’équipe de recherche sur les menaces de Sysdig constate que les attaquants passent d’un environnement à un autre pendant les attaques, suscitant ainsi des préoccupations parmi les utilisateurs de multi-cloud.
“La plus grande erreur qu’une entreprise évoluant dans un environnement multi-cloud peut commettre, au-delà des pratiques normales de sécurité cloud, est de ne pas sécuriser et surveiller les déplacements entre les environnements cloud”, explique-t-elle. “Maintenir une vision globale de votre environnement est essentiel pour le maintenir en toute sécurité.”
À mesure que les environnements multi-cloud gagnent en popularité, on peut anticiper une augmentation des attaquants se déplaçant latéralement à travers les environnements à la recherche de privilèges supplémentaires et de données sensibles qui pourraient être stockées dans ces environnements, ajoute Morin.
En raison de la diversité du paysage cloud, englobant des configurations multi-cloud et hybrides, il se forme un réseau fragmenté qui élargit la surface d’attaque et complique la surveillance ainsi que la protection, selon Phani Dasari, responsable de la sécurité de l’information chez HGS, une entreprise spécialisée dans la gestion de l’expérience client numérique.
Surmonter cette fragmentation par le biais d’une visibilité améliorée sur l’ensemble de l’environnement cloud est crucial pour réduire les risques cybernétiques et demeure une priorité majeure pour les équipes de sécurité, ajoute-t-il.
Points-clés
Les lutins magiques ne sont pas la solution
Les entreprises doivent garantir que seules les personnes nécessitant l’accès à des données spécifiques de l’entreprise pour leur travail puissent y accéder, explique Wayne Anderson, directeur du cloud, de la sécurité et de l’infrastructure chez BDO Digital, un fournisseur de services de conseil en technologie et en affaires.
“Dans le paysage multi-cloud d’aujourd’hui, il ne s’agit pas d’une cohorte de lutins magiques prenant des décisions intelligentes en temps réel”, soutient-il. “Au contraire, les systèmes doivent être élaborés ou configurés afin de déterminer quelles autorisations sont nécessaires, qui devrait les détenir, et comment elles doivent être appliquées aux données ou aux fonctions d’application. Les machines suivront scrupuleusement ces règles, lesquelles doivent être irréprochables.”
Atteindre cet objectif implique qu’une organisation, dont les unités opérationnelles entretiennent une communication régulière avec l’équipe de sécurité, consacre autant de temps à la planification, notamment la mise en place de flux de travail, qu’à l’acquisition initiale des outils, selon Anderson.
“Les équipes de sécurité les plus performantes se comportent comme des conseillers et ont instauré une relation de confiance avec l’entreprise, agissant en tant que consultants trouvant un équilibre entre une implémentation rapide tout en préservant la sécurité de l’entreprise”, ajoute-t-il.
Brandon Leiker, architecte principal des solutions en sécurité chez 11:11 Systems, un fournisseur de solutions d’infrastructure gérée, souligne que l’une des méthodes les plus efficaces pour gérer le niveau d’autorisations attribuées aux entités au sein d’une organisation est le contrôle d’accès basé sur les rôles (RBAC). Avec le RBAC, différents rôles sont créés en fonction des types d’utilisateurs ou des niveaux d’accès nécessaires à un environnement ou des données, puis des comptes utilisateurs sont attribués à ces rôles.
“Cependant, gérer l’accès et les autorisations dans plusieurs environnements cloud via la solution de gestion des identités et des accès de chaque environnement peut s’avérer administrativement contraignant”, souligne-t-il. “De plus, les utilisateurs pourraient être confrontés à la nécessité de gérer plusieurs noms d’utilisateur, mots de passe et jetons MFA [authentification multi-facteurs], les incitant ainsi à adopter la mauvaise habitude de réutiliser des mots de passe à travers ces environnements.”
Pour alléger ces contraintes, les organisations devraient envisager la mise en place de solutions d’authentification unique, ajoute Leiker. Cela permet aux administrateurs de gérer l’accès et les autorisations dans les différents environnements cloud exploités par les organisations via une plateforme centralisée. Les utilisateurs disposent ainsi d’un portail centralisé pour accéder à ces environnements en utilisant un seul nom d’utilisateur, mot de passe et MFA.
Les assaillants concentrent leurs attaques sur les sauvegardes
Dans le contexte d’un environnement multi-cloud, Evan Pease, leader technologique chez Launch Consulting Group, souligne l’importance cruciale de garantir la sécurité des données. Pour les entreprises, l’une des méthodes pour y parvenir consiste à maintenir des sauvegardes dans divers emplacements et à élaborer des plans de récupération solides.
“Il est possible d’exploiter la flexibilité des configurations multi-cloud en recourant à différents fournisseurs de services cloud pour les sauvegardes”, explique-t-il. “Même si le stockage de données sur plusieurs clouds peut engendrer des coûts supplémentaires, les compromis peuvent être justifiés pour certaines données spécifiques.”
Steve Costigan, CTO sur le terrain pour la région EMEA chez Zadara, une entreprise spécialisée dans le cloud computing, est du même avis. Il affirme que les organisations doivent garantir la portabilité des sauvegardes entre différents environnements et emplacements.
“Il est essentiel de ne pas s’engager dans une solution verrouillée avec des options de récupération limitées”, prévient-il. “Assurez-vous d’établir une véritable isolation entre les systèmes, ce qui limitera le mouvement latéral est-ouest en cas de compromission.”
Costigan suggère également que les entreprises pourraient envisager des sauvegardes hors site immuables ou déconnectées, car la plupart des attaques dans les environnements ciblent spécifiquement les sauvegardes.
“Celles-ci constituent votre dernière ligne de défense pour la récupération”, souligne-t-il. “Si vos sauvegardes sont supprimées ou compromises, vous faites face à une menace sérieuse pour l’intégrité de vos données.”
Par ailleurs, les environnements multi-cloud exigent la mise en place de mécanismes de versioning et de plans de reprise après sinistre robustes, selon Dasari.
“La disponibilité rapide de versions historiques garantit une restauration efficace en cas de perte ou de corruption de données“, explique-t-il. “Il est crucial de soumettre le plan de reprise après sinistre à des tests rigoureux pour minimiser les temps d’arrêt et assurer la disponibilité continue des données.”
Ce n’est pas seulement une question d’outils techniques
Selon Nick Harrahill, directeur du support client chez Spin.AI, une entreprise spécialisée dans la sécurité en tant que service (SaaS), la protection des données dans un environnement multi-cloud va au-delà de l’utilisation d’outils techniques appropriés. Il insiste sur l’adoption d’une approche holistique englobant à la fois les aspects administratifs et techniques.
“Du point de vue technique, des mesures cruciales comprennent le chiffrement des données en transit et au repos, la surveillance régulière de l’intégrité des données via des signatures numériques ou des fonctions de hachage, ainsi que des contrôles d’identité et d’accès robustes”, explique-t-il. “Par ailleurs, des audits approfondis, une gestion réactive des vulnérabilités, l’adoption de plateformes de gestion des données, un renforcement de la sécurité réseau, et des solutions automatisées de reprise après sinistre sont incontournables.”
“D’un point de vue administratif, des évaluations rigoureuses des fournisseurs et des contrats assurant la conformité aux accords de niveau de service et aux normes de sécurité les plus élevées sont de la plus haute importance”, ajoute Harrahill. “Des audits réguliers par des tiers, des politiques de sécurité des données solides, une stratégie d’intervention en cas d’incident bien définie, et des directives strictes pour la gestion du cycle de vie des données sont tout aussi essentiels.”
“L’ensemble de l’effort visant à sécuriser les données dans un environnement multi-cloud se résume à favoriser des partenariats entre les clients et les fournisseurs, chacun apportant son expertise et ses contrôles à la table”, souligne-t-il. “Je tiens toujours à souligner la maxime ‘faire confiance mais vérifier’. Cette philosophie est fondamentale pour établir et maintenir des relations solides et sécurisées dans l’espace multi-cloud, garantissant l’intégrité et la sécurité des données en permanence.”
Une pierre angulaire de la protection des données réside dans la compréhension des mécanismes de sécurité de chaque fournisseur de cloud et dans la garantie de leur alignement avec les protocoles internes, selon Mike Fraser, VP de DevSecOps chez Sophos, un fournisseur de solutions de cybersécurité. “Le chiffrement des données nécessite le chiffrement des données au repos et en transit. Bien que de nombreux fournisseurs de cloud fournissent des outils de chiffrement, les organisations renforcent leur sécurité lorsqu’elles gèrent leurs clés de chiffrement”, précise-t-il.
La gestion de la posture de cybersécurité et de la posture de sécurité des données joue un rôle significatif en maintenant des configurations de services cloud et de données sécurisées et conformes, s’intégrant souvent de manière transparente dans les pipelines modernes DevSecOps pour assurer une mise en œuvre automatisée, ajoute Fraser.
Conclusion
A mesure que les menaces cyber évoluent et que les réglementations se renforcent, les organisations à l’échelle mondiale donneront la priorité à leurs investissements cyber en fonction de la protection des données “impactant les activités”, selon Dasari. “Cela implique d’acquérir une compréhension approfondie de ces données à travers l’organisation et d’évaluer continuellement leur introduction dans l’environnement, que ce soit par le biais du cloud, de solutions SaaS, d’applications centrales ou de relations avec des tiers”, explique-t-il. “Cette approche conduira à des programmes de cybersécurité plus résilients et à des risques minimisés pour les organisations.”