La résilience des services hébergés sur le cloud repose sur la maîtrise d’un équilibre. Une attention constante portée sur la posture de sécurité des fournisseurs ne doit pas affaiblir, voire limiter les mesures de contrôle idoines sur l’ensemble de la chaîne jusqu’à l’utilisateur final.

Les prévisions autour de la croissance digitale sont unanimes: ciel radieux pour le monde du cloud, les solutions SaaS se taillant la part du lion avec plus de la moitié des revenus. L’IDC (International Data Corporation), acteur majeur de veille technologique dans le domaine des TIC, définit d’ailleurs les plateformes et écosystèmes cloud comme «les rampes de lancement pour une explosion en ampleur et en rythme de l’innovation digitale».

L’irrépressible croissance du cloud, véritable lame de fond depuis une dizaine d’années, est un témoin manifeste du consensus autour de ses avantages (flexibilité, scalabilité, agilité), mais aussi de la confiance dans son niveau de sécurité. Les infrastructures cloud sont d’ailleurs dans bien des cas jugées plus sécurisées que les data centers traditionnels (gestion des assets et mise à jour des softwares, orchestration optimisée, très haute redondance de la connectivité, firewalls et anti-DDoS intégrés, etc.).

Les motivations qui poussent les fournisseurs de cloud à renforcer continuellement leur posture de sécurité sont évidentes: législations fortes protégeant les données privées des citoyens, visibilité externe immédiate en cas d’interruption de service et la (relative) facilité de migration vers un concurrent si les clients jugent le niveau de sécurité insuffisant. Cette dynamique vertueuse se traduit chez les fournisseurs par des solutions et processus de pointe et conformes aux standards de sécurité les plus exigeants (voir Huawei Cloud Security Whitepaper). 

Face à ce tableau idyllique, certains pourront toutefois objecter des annonces encore régulières dans les médias de fuites de données ou de compromissions. Le récent hack de comptes Twitter d’une centaine de personnalités en est la parfaite illustration. Il est intéressant de noter que la plupart des techniques utilisées contre ces plateformes n’incluent généralement pas le moindre «hacking» sur les infrastructures sous-jacentes. Dans le cadre de Twitter par exemple, les pirates n’ont pas exploité une faille au sein de l’infrastructure Google Cloud Platform (hébergeur de Twitter), mais plutôt des accès et outils mal protégés au sein de la firme au petit oiseau bleu.

Gartner annonce que «d’ici 2022, 95% des failles de sécurité dans le cloud seront imputables aux clients». Et devinez quoi? Les mauvaises configurations d’origine humaine demeurent le principal facteur de risque, que ce soit pour les SME ou les grands groupes. La réalité est que ces incidents pourraient souvent être évités: répertoires accessibles publiquement, identifiants d’utilisateurs privilégiés faiblement sécurisés ou règles d’accès trop permissives.

D ’ ici 2022, 95% des failles de sécurité dans le cloud seront imputables aux clients.
Yoann Klein

Yoann KleinCyber Security Advisor Huawei

Alors, que faut-il faire pour améliorer la sécurité du cloud? Chez Huawei, nous recommandons aux sociétés de développer leur propre stratégie, incluant des lignes directrices claires sur le type de données autorisées à être utilisées dans le cloud, et dans quelles circonstances. Nous estimons qu’il est vital de mettre en place une gouvernance intégrant un cycle de vie complet des données. Et enfin, ces mesures doivent être soutenues par une expertise interne dans les différents modèles de cloud employés.

Sécuriser le cloud ne devrait pas se limiter à augmenter les exigences vers ses fournisseurs, mais véritablement établir un dialogue avec ces derniers. Seul un dialogue ouvert et transparent permettra à tous les acteurs de mettre en place des mesures complémentaires pour un cloud plus sécurisé.